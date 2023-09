Cybersecurity is al jaren een toenemende bron van zorg, zo ook in de zorgsector. Afgelopen januari was er bijvoorbeeld een DDoS (distributed denial of service)-aanval op diverse Nederlandse ziekenhuizen, gecoördineerd door de pro-Russische hacktivistengroep Killnet. Tijdens corona zorgde de snelle, vergaande digitalisering al voor meer cyberaanvallen op de zorgsector, schreef security-instantie Z-Cert in 2021. In februari 2021 werd er Europawijd een voorlopige piek bereikt. De oorlog in Oekraïne heeft het gevaar van cyberaanvallen door statelijke actoren zoals door Rusland gesteunde hackersgroepen verder vergroot.

Opvattingen bestuurders

‘The 2023 Board Perspective Report’ beschrijft in bredere zin de opvattingen van bestuurders over het wereldwijde bedreigingslandschap, cybersecurity-prioriteiten en de samenwerking met CISO’s (chief information security officers). Het rapport richt zich op drie thema’s: cyberbedreigingen en -risico’s waarmee bestuurders te maken hebben, de mate waarin zij voorbereid zijn om zich tegen deze bedreigingen te verdedigen, en of ze op één lijn zitten met CISO’s. Uit het rapport blijkt dat het aantal CISO’s dat zich kwetsbaar en onvoorbereid voelt, op vergelijkbare wijze is gestegen, en dat bestuurders en beveiligingsleiders meer op één lijn zitten dan voorheen.

Het rapport analyseert de enquête-antwoorden van 659 bestuursleden van organisaties met 5.000 of meer werknemers uit allerlei sectoren. In juni 2023 werden meer dan 50 bestuursleden ondervraagd in de volgende landen: de VS, Canada, het VK, Frankrijk, Duitsland, Italië, Spanje, Australië, Singapore, Japan, Brazilië en Mexico.

Vrees voor generatieve AI

Het afgelopen jaar werd gekenmerkt door aanhoudende geopolitieke spanningen, een toename van ontwrichtende ransomware en aanvallen op de supply chain. Het groeiende risico van kunstmatige intelligentie (AI)-tools zoals ChatGPT kan ook bijdragen aan dit sentiment: 59 procent van de bestuursleden is van mening dat generatieve AI een beveiligingsrisico vormt voor hun organisatie.

Bestuursleden maken zich hier dus zorgen over, ondanks dat 73% van hen cybersecurity al als een prioriteit beschouwt. Daarnaast meent 72% dat hun bestuur de cyberrisico’s waarmee ze worden geconfronteerd goed begrijpt en denkt 70 procent dat ze voldoende hebben geïnvesteerd in cybersecurity.

Consensus bestuurders en CISO’s goed teken

“Deze consensus tussen bestuurders en hun CISO’s over cyberrisico’s en -paraatheid is een positief teken dat zij nauwer samenwerken,” meent Ryan Kalember, Executive Vice President Cybersecurity Strategy bij Proofpoint. “Deze toenadering heeft echter nog niet geleid tot significante verbeteringen in de cybersecurityhouding. En dat terwijl bestuursleden tevreden zijn over de tijd en middelen die ze investeren om dit risico te bestrijden.”

Het blijft volgens Kalember een uitdaging om de toegenomen bewustwording te vertalen naar effectieve cybersecurity-strategieën. Het is volgens hem essentieel om de band tussen de raad van bestuur en de CISO nog verder te versterken. “Zo kunnen directeurs en beveiligingsleiders zinvollere gesprekken voeren en ervoor zorgen dat ze investeren in de juiste zaken.”

Belangrijkste bevindingen

De belangrijkste bevindingen uit het Cybersecurity: The 2023 Board Perspective Report zijn:

Generatieve AI heeft de aandacht van de bestuursraad: nu tools zoals ChatGPT regelmatig in de schijnwerpers staan, ziet 59 procent van de respondenten deze opkomende technologie als een beveiligingsrisico voor hun organisatie.

Bestuursleden maken zich meer zorgen over cyberrisico’s: 73 procent van de ondervraagden vindt dat hun organisatie risico loopt op een materiële cyberaanval, vergeleken met 65 procent in 2022.

Bewustwording en budgetten vertalen zich niet in paraatheid: 73 procent van de bestuursleden stelt dat cybersecurity voor hen een prioriteit is, 72 procent gelooft dat hun bestuur de cyberrisico’s begrijpt waarmee ze te maken hebben, 70 procent vindt dat ze genoeg hebben geïnvesteerd in cybersecurity en 84 procent gelooft dat hun budget voor cybersecurity de komende 12 maanden zal toenemen. Deze inspanningen leiden echter niet tot een betere paraatheid: 53 procent denkt dat hun organisatie niet voorbereid is op een cyberaanval in de komende 12 maanden.

Bestuurders en CISO’s zijn het in grote lijnen eens over hun grootste bedreigingen: bestuurders noemen malware hun grootste zorg (40%), gevolgd door insider threats (36%) en aanvallen op cloudaccounts (36%). Dit verschilt nauwelijks van CISO’s. Zij noemen e-mailfraude/BEC (33%), insider threats (30%) en aanvallen op cloudaccounts (29%) als hun grootste zorgen.

Bestuurders zitten niet helemaal op één lijn met CISO’s op het gebied van menselijke risico’s en databeveiliging: hoewel de meeste bestuurders (63%) en CISO’s (60%) het erover eens zijn dat menselijke fouten hun grootste risico vormen, hebben bestuursleden (75%) een stuk meer vertrouwen in hun organisatie om data te beschermen dan CISO’s (60%).

Bovenaan het verlanglijstje van bestuursleden staan hogere budgetten, extra cybermiddelen en betere informatie over bedreigingen: 37 procent van de bestuursleden zegt dat hun organisatie baat zou hebben bij een groter cybersecurity-budget, 35 procent wil meer cybermiddelen en evenssns 35 procent wil betere informatie over bedreigingen.

De verstandhouding tussen bestuurders en CISO’s wordt geleidelijk beter: 53 procent van de bestuursleden zegt regelmatig contact te hebben met beveiligingsleiders. Hoewel dit een stijging is ten opzichte van vorig jaar (47%), is nog steeds in bijna de helft van de gevallen geen sprake van een sterke relatie tussen de CISO en de C-suite. Leden van de raad van bestuur en CISO’s zitten over het algemeen echter wel op één lijn als ze contact met elkaar hebben: 65 procent van de bestuursleden en 62 procent van de CISO’s zeggen dat ze het met elkaar eens zijn.

Persoonlijke aansprakelijkheid is een punt van zorg voor bestuurders en CISO’s: 72 procent van de bestuursleden geeft aan bezorgd te zijn over persoonlijke aansprakelijkheid in de nasleep van een cybersecurity-incident bij hun eigen organisatie en 62 procent van de CISO’s is het hiermee eens.

Bestuurders boeken vooruitgang

Bestuursleden nemen cybersecurity serieus en maken zich geen illusies over menselijke risico’s en de impact die cyberdreigingen hebben op het bedrijfsresultaat. Ze boeken vooruitgang in hun relaties met beveiligingsleiders en begrijpen dat een sterke samenwerking tussen de raad van bestuur en CISO belangrijker is dan ooit, concludeert Kalember tot slot.

“Maar dit is niet het moment om achterover te leunen. Het bestuur moet blijven investeren in de paraatheid en veerkracht van de organisatie. Dit betekent dat CISO’s nog meer, nog diepgaander gesprekken moeten voeren met bestuurders om tot weloverwogen, strategische beslissingen te komendie positieve resultaten opleveren.”

Het Cybersecurity: The 2023 Board Perspective Report kan hier worden gedownload.