Volgens het Cloud Threat Report 2019 van Oracle & KPMG nam vorig jaar bij zeven van de tien organisaties het gebruik van cloud-services toe. En niet alleen was er een toename van het gebruik van de cloud, ook de waardering voor het hosten van data en applicaties in de cloud steeg. Hoewel bedrijven al jaren cloud-services gebruiken, is pas sinds kort de groei van bedrijfskritieke data en services in de cloud te zien. Deze shift is vooral toe te schrijven aan organisaties die hun kosten willen verlagen en de mogelijkheden voor werknemers willen vergroten. Met het groeiende cloud-gebruik gaan echter risico’s gepaard die om aandacht vragen. Onderstaande voorspellingen lichten het verder toe.
Volgens onderzoek van Pricewaterhouse Coopers is minder dan de helft van de bedrijven wereldwijd voorbereid op een cyberaanval. Gelukkig zijn steeds meer ceo’s betrokken bij het verbeteren van de security en spelen zij een centrale rol in het verlagen van risico’s en het veiligstellen van data- en privacybescherming.
Security is daardoor niet langer alleen de verantwoordelijkheid van de ciso of de it-afdeling. Sterker nog, steeds meer bedrijven creëren de rol van biso (business information security officer) die een specifieke verantwoordelijkheid heeft voor security en privacy.
Toename cyberaanvallen
Sectoren die over hoogwaardige data beschikken zijn gevoeliger voor cyberaanvallen dan andere branches. Toch zijn niet al deze sectoren voorbereid op zo’n aanval. De gezondheidszorg staat bovenaan deze lijst, gevolgd door de productie en financiële branche, overheden en nutsbedrijven. De verwachting is dat het aantal ransomware-aanvallen op de gezondheidszorgsector de komende jaren zal verviervoudigen. De financiële sector zal te maken krijgen met meer financiële fraude en diefstal. Nutsbedrijven investeren momenteel minder dan 0,2 procent van hun omzet in cyberveiligheid terwijl de gevaren omvangrijk kunnen zijn; aanvallen richten zich vooral op uitval van infrastructuur.
Sommige industrieën en landen vechten terug door verhoogde investeringen te doen in programma’s voor cyberbestendigheid. De VS bijvoorbeeld geven nu meer uit aan cybersecurity-activiteiten (vijftien miljard dollar) dan de totale defensie-uitgaven van Noorwegen en Noord-Korea samen.
Personeel
Er is een veranderende dynamiek in de technologiesector, waaronder toename van kansen voor vrouwen en de groei van buitenlandse functies. De uitdaging voor de cybersecurity-sector is echter niet zozeer de beschikbaarheid van posities maar de beperkte mogelijkheden om deze in te vullen met gekwalificeerd personeel. Dat zegt ook Monster.com. Ook Oracle voorspelt dat er in 2020 wereldwijd bijna drie miljoen niet te vullen security vacatures zullen zijn en dit aantal zal alleen maar verder stijgen.
In 2019 rapporteerde Fire Eye dat 91 procent van de cyberaanvallen plaatsvindt via een phishing-aanval aan de voorkant van de aanvalsketen. Dit duidt op de groeiende trend dat cyber-aanvallen zich richten op werknemers. Cybercriminelen zoeken in dit soort situaties via carrièrepagina’s van de bedrijfswebsite eerst uit op wie ze zich willen richten en voeren vervolgens gerichte phishing-aanvallen (zogeheten spear-phishing) uit. Aanvallers gebruiken talloze tools om data te pakken te krijgen via werknemers. Bedrijven die hier slim op anticiperen trainen hun werknemers om te voorkomen dat ze bewust of onbewust bedrijfsdata vrijgeven.
Richtlijnen
In tijden van oorlog kun je het luchtruim niet goed verdedigen met grondtroepen. Hetzelfde geldt in de it-wereld: Cloud defense heeft een andere aanpak nodig dan andere onderdelen van bedrijfsbeveiliging. De meeste bedrijven die zijn overgestapt naar de cloud werken echter nog steeds met enkel basis-beveiligingscontroles, zoals identiteitsbeheer en nog niet met de extra beveiligingslagen die nodig zijn om veilig in de cloud te werken.
Volgens het eerder genoemde Oracle en KPMG Cloud Threat Report kan slechts 10 procent van de organisaties het grootste deel van hun telemetrie over beveiligingsgebeurtenissen verzamelen, analyseren en erop reageren. 93 procent van de bedrijven die cloud-applicaties gebruiken, heeft geen specifieke cloud-security richtlijnen. Terwijl security teams wel te dealen hebben met onder andere de vele cloud-services die werknemers gratis of via een creditcard verkrijgen.
Deze services zijn in gebruik zonder dat beveiligings- en risicoteams hiervan op de hoogte zijn, maar bevatten wél bedrijfskritische data. Organisaties die veilig in de cloud willen werken, zullen beveiligings- en risicoprogramma’s moeten implementeren om de hierboven genoemde én andere risico’s af te dekken.
Jean-Pierre van Tiggelen, hoofd Oracle cloud infrastructure EMEA