Ransomware blijft het grootste cyberrisico voor organisaties wereldwijd. Tegelijkertijd neemt het aantal incidenten rondom het compromitteren van zakelijke e-mailadressen in het ‘deep fake’-tijdperk verder toe. Ook zijn de oorlog in Oekraïne en de meer algemene geopolitieke spanningen een grote zorg, omdat de vijandelijkheden kunnen overslaan naar de cyberruimte en gerichte aanvallen kunnen veroorzaken tegen bedrijven, infrastructuur of toeleveringsketens.

Dit blijkt een rapport van Allianz Global Corporate & Specialty (AGCS). Het jaarlijkse overzicht van het cyberrisicolandschap van de verzekeraar wijst ook de opkomende bedreigingen door de toenemende afhankelijkheid van clouddiensten, een zich ontwikkelend aansprakelijkheidslandschap voor derden dat tot hogere vergoedingen en boetes leidt, evenals de impact van het tekort aan professionals in cyberbeveiliging. De digitale veiligheid van bedrijven krijgt momenteel aandacht van meer partijen dan ooit, waaronder investeerders. Veel bedrijven beschouwen het nu als hun grootste zorg voor milieu-, sociale en governancerisico’s (ESG), meldt Allianz.

‘Meeste bedrijven ontkomen niet aan een cyberdreiging’
“Het cyberrisicolandschap laat geen ruimte om op zijn lauweren te rusten. Ransomware en phishingaanvallen zijn onverminderd actief en bovendien is er het vooruitzicht van een hybride cyberoorlog”, zegt Scott Sayce, Global Head of Cyber bij AGCS en Group Head van het Cyber Center of Competence. “De meeste bedrijven zullen een cyberdreiging niet weten te ontkomen. Het is echter duidelijk dat organisaties met een goede cybervolwassenheid beter zijn opgewassen tegen incidenten. Zelfs wanneer ze worden aangevallen, zijn de verliezen doorgaans minder ernstig dankzij gevestigde identificatie- en responsmechanismen.”

“Hoewel wij goede vooruitgang zien, blijkt uit onze ervaring ook dat veel bedrijven hun cybercontroles nog moeten versterken, met name rond IT-beveiligingstrainingen, een betere netwerksegmentatie voor kritieke omgevingen en plannen voor de reactie op cyberincidenten en beveiligingsgovernance. Als cyberverzekeraar zijn wij bereid om verder te gaan dan pure risico-overdracht door klanten te helpen zich aan te passen aan een veranderend risicolandschap en het verhogen van hun beschermingsniveau.”

Over de hele wereld blijft de frequentie van ransomware-aanvallen hoog, evenals de daarmee samenhangende schadekosten. In 2021 was er een recordaantal van 623 miljoen aanvallen, wat neerkomt op een verdubbeling ten opzichte van 2020. Hoewel in de eerste helft van 2022 de frequentie met 23% wereldwijd verminderde, overtreft het totaal tot nu toe nog steeds dat van heel 2017, 2018 en 2019. Dit terwijl Europa in deze periode het aantal aanvallen zag toenemen. Ransomware veroorzaakt in 2023 wereldwijd naar verwachting $ 30 miljard schade in organisaties. Allianz meldt op basis van eigen cijfers dat de waarde van ransomware-claims waarbij het bedrijf samen met andere verzekeraars betrokken was, in 2020 en 2021 goed was voor ruim 50% van alle cyberclaimkosten.

Dubbele en driedubbele afpersing nu de norm
“De kosten van ransomwareaanvallen zijn gestegen, omdat criminelen zich op grotere bedrijven, kritieke infrastructuur en toeleveringsketens hebben gericht. Criminelen hebben hun tactiek aangescherpt om meer geld af te persen,” legt Sayce uit. “Dubbele en driedubbele afpersingsaanvallen zijn nu de norm. Naast de versleuteling van systemen, worden gevoelige gegevens steeds vaker gestolen en gebruikt als chantagemiddel voor de afpersing van zakenpartners, leveranciers of klanten.”

Ransomware blijft waarschijnlijk een belangrijke dreiging voor bedrijven, als gevolg van de toenemende verfijning van criminelen en de stijgende inflatie. Dit leidt tot hogere kosten van IT- en cyberbeveiligingsspecialisten.

Steeds vaker zijn kleinere en middelgrote bedrijven, die vaak niet over de nodige controlemogelijkheden en middelen beschikken om in cyberbeveiliging te investeren het doelwit van criminelen. Grotere bedrijven investeren juist meer in beveiliging. Daarnaast gebruiken criminelen een breed scala aan intimidatietechnieken, passen ze hun losgeldeisen aan specifieke bedrijven aan en maken ze gebruik van deskundige onderhandelaars voor het maximaliseren van de opbrengst.

Geavanceerde oplichting
Het aantal BEC-aanvallen (Business Email Compromitting) blijft toenemen, mede dankzij de toenemende digitalisering en beschikbaarheid van gegevens, de verschuiving naar thuiswerken en steeds vaker ook ‘deep fake’-technologie en virtuele conferenties. BEC-aanvallen brachten tussen 2016 en 2021 wereldwijd in totaal $ 43 miljard schade aan volgens de FBI, met een piek van 65% in oplichting tussen juli 2019 en december 2021.

Aanvallen worden steeds geavanceerder en gerichter, doordat criminelen nu virtuele vergaderplatforms gebruiken om werknemers te misleiden om geld over te maken of gevoelige informatie te delen. Deze aanvallen worden steeds vaker mogelijk gemaakt door kunstmatige intelligentie die ‘deep fake’-audio of -video’s mogelijk maakt die senior leidinggevenden nabootsen. Vorig jaar deed een bankmedewerker uit de Verenigde Arabische Emiraten een overboeking van $ 35 miljoen nadat hij was misleid door de gekloonde stem van een bedrijfsleider.

De dreiging van cyberoorlog
De oorlog in Oekraïne en de bredere geopolitieke spanningen vormen een belangrijke factor die het landschap van cyberdreigingen verandert. Zo neemt de kans op spionage, sabotage en schadelijke cyberaanvallen toe voor bedrijven die banden hebben met Rusland en Oekraïne evenals bondgenoten en bedrijven in buurlanden. Door de staat gesponsorde cyberacties kunnen mogelijk gericht zijn op kritieke infrastructuur, toeleveringsketens of bedrijven.

“Vooralsnog heeft de oorlog tussen Rusland en Oekraïne niet geleid tot een opvallende toename van cyberverzekeringsclaims, maar het wijst wel op een mogelijk verhoogd risico van natiestaten”, legt Sayce uit. Hoewel oorlogsdaden doorgaans zijn uitgesloten van traditionele verzekeringsproducten, kijken verzekeraars nu versneld naar het opnemen van oorlog en door staten gesteunde cyberaanvallen in formuleringen en klanten duidelijkheid over de dekking te verschaffen.

Trends
AGCS-experts identificeren een aantal andere trends in het rapport. Denk hierbij aan:

• Hackers richten zich op kwetsbare toeleveringsketens: Aanvallen in de toeleveringsketen zijn een aanzienlijk risico. Ransomwarecriminelen gebruiken in toenemende mate de dreiging van verstoring om bedrijven onder druk te zetten om losgeld te betalen, waarbij met name productiebedrijven kwetsbaar zijn.
• Cloud-outsourcing: Bedrijven blijven hun diensten en gegevensopslag naar de cloud verplaatsen, ondanks de groeiende bezorgdheid over beveiliging en risicoaggregatie. Door te vertrouwen op een klein aantal providers voor clouddiensten of cybersecurity creëert de samenleving grote concentraties rond een paar single points of failure. Het is een veelvoorkomende misvatting dat de outsourcing- of cloudleverancier bij een incident de volledige verantwoordelijkheid op zich neemt.
• Aansprakelijkheid van derden: Aansprakelijkheid van derden inclusief boetes en sancties wordt steeds relevanter door de technologische vooruitgang, organisaties die meer informatie verzamelen en de regulering van gegevensprivacy. Vrijwel elk cyberincident kan leiden tot rechtszaken en schadevergoedingseisen van betrokken partijen.
• Tekort aan professionals: Een tekort aan professionals belemmert inspanningen om de cyberbeveiliging te verbeteren. Hoewel er een groeiend bewustzijn is bij directies, is het aantal onvervulde vacatures voor cyberbeveiliging wereldwijd de afgelopen acht jaar met 350% gestegen tot 3,5 miljoen, aldus de schattingen. Dit betekent dat veel bedrijven moeite hebben om personeel aan te nemen om hun cyberbeveiliging te verbeteren.
• Cybersecurity wordt steeds meer gezien vanuit een ESG-perspectief: De veerkracht van bedrijven op het gebied van cyberbeveiliging wordt tegenwoordig door veel meer groepen belanghebbenden onder de loep genomen dan in het verleden. In toenemende mate worden cyberbeveiligingsoverwegingen opgenomen in de ESG-risicoanalysekaders van gegevensaanbieders, die de praktijken van bedrijven onderzoeken om hun paraatheid voor cybercriminaliteit te evalueren. Ervoor zorgen dat de cyberprocessen en het cyberbeleid van een bedrijf op directieniveau worden begrepen en dat processen voor risicobewaking aanwezig zijn, is nog nooit zo belangrijk geweest.

Petra Claessen, CEO van BTG en BTG Services: “Het dreigingslandschap is continu in beweging, wat betekent dat bedrijven hun digitale beveiliging ook voortdurend moeten doorontwikkelen. Om hierbij de juiste keuzes te maken is goed inzicht nodig in het dreigingslandschap. Het rapport van Allianz Global Corporate & Specialty geeft hier goed zicht op en zet onder meer de trends in het landschap uiteen. Zo kunnen BTG-partners en bedrijven in het algemeen hun digitale veiligheid naar een hoger niveau tillen.

Het rapport is hier beschikbaar.