Werken met partners kan duur komen te staan: cybersecurity-aanvallen via derden een van de duurste datalekken voor Europese bedrijven

Redactie WINMAG Pro
De nieuwste editie van Kaspersky's jaarlijkse IT Security Economics-rapport onthult de toenemende ernst van cybersecurity-incidenten die bedrijven treffen via leveranciers met wie ze gegevens delen. Voor een Europees bedrijf was de gemiddelde financiële impact van een dergelijk incident 1,7 miljoen euro (2 miljoen dollar) in 2021. Daarmee is dit het vijfde duurste type incident voor Europese bedrijven. Op wereldwijd niveau was de gemiddelde financiële impact van zo’n aanval 1,2 miljoen euro (1,4 miljoen dollar) en staat daarmee wereldwijd op de eerste plaats van duurste type incident. De algemene rangorde van verliezen als gevolg van verschillende soorten aanvallen is sinds 2020 daarnaast aanzienlijk veranderd.

Aanvallen waarbij wereldwijde bedrijven via hun toeleveranciers worden getroffen, zijn een duidelijke trend geworden. Bedrijfsgegevens worden doorgaans gedeeld met meerdere derde partijen, waaronder dienstverleners, partners, leveranciers en dochterondernemingen. Daarom moeten organisaties niet alleen rekening houden met de cybersecurityrisico's die hun IT-infrastructuur treffen, maar ook met de risico's die van buitenaf kunnen komen.

Volgens het onderzoek is bijna een derde (28 procent) van de grote Europese organisaties het slachtoffer geworden van aanvallen waarbij gegevens zijn gedeeld met leveranciers. Dit aantal is niet significant veranderd sinds het rapport van 2020 (toen 29 procent).

De financiële impact van datalekken

Aanvalstypen die een hogere financiële impact hebben zijn DDoS aanvallen (1,7 miljoen euro / 2 miljoen dollar), ongepast gebruik van IT-middelen door werknemers (1,8 miljoen euro / 2 miljoen dollar), ransomware-aanvallen (1,8 miljoen euro / 2,1 miljoen dollar) en cryptomining-aanvallen (1,9 miljoen euro / 2,2 miljoen dollar).

Opmerkelijk is dat de gemiddelde financiële impact van een aanval voor het Europese mkb is afgenomen waar dit voor grote Europese organisaties juist is toegenomen. Voor het mkb was dit een daling van 3 procent - €82k ($95k) in 2021 versus €85k ($98k) in 2020 – en voor grote organisaties was dit een opmerkelijke stijging van 31 procent ten opzichte van de resultaten van vorig jaar – €947k ($1.1m) in 2021 versus € ($839k) in 2020 – terwijl het gemiddelde in 2017 €807k ($938K) bedroeg.

Wereldwijd is dezelfde trend te zien als bij het Europese mkb en daalde de gemiddelde impact van €938k ($1,09 miljoen) in 2020 naar €799k ($927k) in 2021, wat nog lager was dan het gemiddelde in 2017 (€855k / $992k). De mogelijke reden hierachter is dat eerdere investeringen in preventie- en risicobeperkende maatregelen goed uitpakten voor bedrijven. Een andere mogelijkheid is dat de gemiddelde kosten worden beïnvloed door het feit dat bedrijven dit jaar minder geneigd waren om datalekken te melden: 34 procent van de wereldwijde bedrijven slaagde erin om dat niet te doen, vergeleken met slechts 28 procent in 2020. Financieel kwetsbare bedrijven zijn wellicht terughoudend om tijd en geld te steken in een strafrechtelijk onderzoek of reputatieschade te riskeren als een inbreuk bekend wordt.

Evgeniya Naumova, Executive VP, Corporate Business bij Kaspersky: "De ernst van cyberaanvallen maakt duidelijk dat organisaties bij de beoordeling van de cybersecuritybehoeften van hun bedrijf rekening moeten houden met het risico van een inbreuk op gedeelde gegevens met leveranciers. De pandemie heeft het bedreigingslandschap veranderd en organisaties moeten klaar zijn om zich daaraan aan te passen. Bedrijven moeten hun leveranciers rangschikken op basis van het soort werk dat ze doen en de complexiteit van de toegang die ze krijgen (of ze nu omgaan met gevoelige gegevens en infrastructuur of niet), en in overstemming daarmee securityvereisten toepassen. Bedrijven moeten ervoor zorgen dat ze alleen gegevens delen met betrouwbare derde partijen en hun bestaande security-eisen uitbreiden tot leveranciers. In het geval van de overdracht van gevoelige gegevens of informatie betekent dit dat alle documentatie en certificeringen (zoals SOC 2) van leveranciers moeten worden gevraagd om te bevestigen dat zij op een dergelijk niveau kunnen werken. In zeer gevoelige gevallen raden we bovendien aan om een voorafgaande compliance-audit van een leverancier uit te voeren voordat een contract wordt ondertekend."

Om het risico op aanvallen en datalekken voor bedrijven tot een minimum te beperken, moet een effectieve endpointbescherming met bedreigingsdetectie en reactiemogelijkheden worden gebruikt. Daarnaast zullen managed protection services bedrijven helpen met hun aanvalsonderzoek en deskundige respons. Dit essentiële niveau van endpointbescherming is opgenomen in het Kaspersky Optimum Security framework. Voor organisaties met een volwassen IT-securityfunctie biedt het Kaspersky Expert Security-framework bovendien anti-APT, de nieuwste informatie over bedreigingen en speciale professionele training.

Om meer inzichten te krijgen over IT-securitykosten en -budgetten in bedrijven in 2021 bezoek de interactieve Kaspersky IT Security Calculator. Het volledige rapport "IT Security Economics 2021: Managing the trend of growing IT complexity" is hier te downloaden

Redactie WINMAG Pro
Door: Redactie WINMAG Pro
Redactie

Redactie WINMAG Pro

Redactie