Wanneer je dit leest, hoef ik je waarschijnlijk niet meer uit te leggen dat cybersecurity voor elke organisatie cruciaal is. Cybersecurity is intussen een van de voornaamste factoren in welke bedrijfsvoering dan ook geworden. Tegelijk is het een aandachtsgebied waarin voortdurend ontwikkelingen plaatsvinden. Om je daar (enigszins) op voor te bereiden, heb ik de – naar mijn idee – belangrijkste ontwikkelingen in 2024 voor jou op een rijtje gezet.
Voordat ik naar 2024 kijk, blik ik eerst nog even kort terug naar 2023. In het afgelopen jaar was AI het gesprek van de dag. Toepassingen als ChatGPT en Copilot zijn in mijn ogen nog maar het begin van een ontwikkeling die in 2024 alleen maar verder gaat. Dat heeft heel veel impact op ons dagelijks leven, maar ook op cybersecurity; zowel vanuit aanvallend als verdedigend perspectief. Hieronder lees je mijn ideeën daarover, gevolgd door een aantal andere ideeën over cybersecuritytrends in 2024.
Deepfakes
Hackers kunnen AI op verschillende manieren gebruiken. Ze kunnen zich in deepfakes voordoen als de CEO van een bedrijf. Dan sturen ze een videoboodschap of gesproken bericht naar medewerkers. Daarin vragen ze bijvoorbeeld om een bepaalde actie uit te voeren. Denk aan het overmaken van geld naar een specifieke rekening. Overigens hebben niet alleen hackers profijt van AI. Ook vanuit defensief oogpunt biedt AI mogelijkheden. Dankzij AI kan cybersecurity namelijk effectiever worden ingezet en (deels) geautomatiseerd.
Slimme(re) phishing mails
In 2023 heeft ChatGPT de wereld in rap tempo veroverd. Dat is bepaald niet vreemd. Je kunt ChatGPT bijvoorbeeld gebruiken als persoonlijke assistent om online research te doen, een eerste opzet van een artikel te schrijven of om je creatief te laten inspireren. De generatieve AI-medaille heeft echter ook een andere kant. Zo kunnen hackers de toonzetting van phishing mails volledig op jou afstemmen. Ze analyseren dan jouw taalgebruik en reageren in dezelfde tone of voice. Daarmee proberen ze jouw vertrouwen te winnen.
Bescherming van data en privacy
AI heeft jouw data nodig om jou te kunnen helpen. Je moet er dus voor zorgen dat jouw data niet misbruikt kan worden. Volgens de AVG mogen bedrijven alleen data bewaren zolang dat strikt noodzakelijk is. Dat kan invloed hebben op toekomstige AI-modellen. Er bestaat een grote kans dat organisaties in 2024 hun privacyregels herzien en maatregelen, zoals Data Loss Prevention (DLP), implementeren om hun data beter te beschermen.
Meer samenhang in cybersecurity
Ik gaf het in mijn inleiding al aan; cybersecurity is constant in beweging. Dat zorgt ervoor dat specifieke beveiligingsoplossingen steeds vaker plaats maken voor geïntegreerde cybersecurity op basis van een holistische benadering. Denk hierbij aan het uitgebreide Microsoft security-ecosysteem. Het gaat niet meer om de stevigste firewall of de beste antivirusoplossing, maar om verschillende cybersecuritymaatregelen die in onderlinge samenhang bij elkaar worden gebracht om de effectiviteit van cybersecurity te vergroten.
Tekort aan cybersecurityprofessionals
Waar je kansen kunt signaleren, moet je (vaak) ook rekening houden met bedreigingen. Daarbij springt het tekort aan cybersecurityprofessionals misschien nog wel het meest in het oog. Dat is niet alleen een probleem voor IT-organisaties, maar ook voor hun (potentiële) klanten die cybersecurity willen uitbesteden omdat ze zelf niet voldoende kennis en ervaring in huis hebben. De vraag naar gekwalificeerde IT’ers neemt toe; het aanbod blijft achter. Dus wordt de werkdruk steeds hoger, met alle risico’s van dien. Wat de oplossing is? Ik durf het nu echt niet te zeggen… Hopelijk kunnen we met AI een deel van de pijn wegnemen.
‘Cybersecurity moet echt een vaste plek op de agenda van de directie hebben.’
In 2023 kreeg cybersecurity gelukkig een vaste plek op menige directie-agenda’s. Logisch, nu directieleden steeds vaker verantwoordelijk zijn voor risk management en die verantwoordelijkheid niet meer bij de IT-afdeling ligt. Coördinatie op C-level is essentieel, zeker als je te maken krijgt met een cyberaanval. Dan moeten diverse disciplines op elkaar worden afgestemd, moet iedereen weten wat er moet gebeuren en wat zijn of haar rol in dat proces is. Om je goed voor te bereiden op een echte cyberaanval, is het absoluut aan te raden om een cyberrampscenario te oefenen met een crisisteam waarin de directie uiteraard vertegenwoordigd moet zijn.
Kwetsbare apparaten
Tegenwoordig zijn steeds meer apparaten verbonden met het internet. Denk aan slimme thermostaten of energiemeters. Die apparaten zijn vooral gericht op het gebruik(er)sgemak en minder op veiligheid. Updates worden lang niet altijd (automatisch) doorgevoerd en dat maakt die apparaten kwetsbaar voor cyberaanvallen. Want diezelfde apparaten maken deel uit van een thuisnetwerk dat thuiswerkers gebruiken om met een laptop of telefoon verbinding te maken met de IT-omgeving van de organisatie. Zo’n veiligheidsrisico kun je maar beter afdekken.
Leveranciers en cybersecurity
Over thuiswerken gesproken… Doordat medewerkers steeds vaker op andere locaties werken dan op kantoor, wordt werken in de cloud vanzelfsprekend steeds populairder. In het verleden zorgden de IT-afdelingen van bedrijven vaak zelf voor de digitale beveiliging daarvan. Ik verwacht dat die taak in het komende jaar steeds vaker bij leveranciers of hosts van (digitale) diensten wordt neergelegd. Evengoed moet je als organisatie grip houden op de betrokken partijen. Ga daarom met hen in gesprek, vraag hoe zij hun cybersecurity hebben geregeld en of ze dat kunnen aantonen. Kunnen ze dat laatste niet? Dan moeten bij jou de alarmbellen afgaan, ook al vanwege het volgende onderwerp.
Toename supply chain attacks
Wat je in 2024 eveneens vaker gaat zien? Supply chain attacks; aanvallen in jouw leveranciersketen. Dat houdt in dat hackers inbreken in de IT-omgeving van jouw leveranciers en daardoor toegang kunnen krijgen tot klantgegevens, waaronder die van jou. Aan de hand daarvan kunnen ze dan binnendringen in jouw IT-omgeving en daar schade aan toebrengen. Ze kunnen data van jouw organisatie gijzelen, jouw organisatie volledig platleggen en gigantische bedragen eisen om jou de controle over jouw organisatie terug te geven. Daarom lijkt het me serieus verstandig om de digitale weerbaarheid van jouw leveranciers snel te checken.
Aanvallen op publieke organisaties
Ik zeg niet dat het gaat gebeuren, maar de kans wordt wel steeds groter dat hackers publieke organisaties gaan aanvallen. Dat heeft te maken met de onrust in verschillende (oorlogs)gebieden in de wereld. Dat nodigt de partijen die bij een conflict betrokken zijn om de strijd ook online te voeren. Denk aan landen die andere landen of publieke organisaties en nutsbedrijven – zoals ziekenhuizen, energievoorzieningen en waterschappen – aanvallen. Wanneer zo’n publieke voorziening wordt getroffen, heeft dat direct ontwrichtende gevolgen voor de samenleving.
NIS2: 17 oktober 2024
Tot (bijna) slot: op 16 januari 2023 is NIS2 van kracht geworden. NIS2 is de opvolger van NIS1, die alleen van belang was voor essentiële organisaties. De nieuwe EU-richtlijn NIS2 gaat over de beveiliging van netwerk- en informatiesystemen die van algemeen belang zijn voor de openbare veiligheid. In de richtlijn staat duidelijk omschreven om welke bedrijven en om welke maatregelen het gaat. Check de EU-documentatie om te achterhalen of jouw organisatie daarmee te maken heeft. Is dat het geval? Dan heb je uiterlijk tot 17 oktober 2024 om je cybersecurityzaken op orde te krijgen. Voor meer informatie kun je ook kijken/luisteren naar een aflevering over dit onderwerp in onze podcastserie Hack van de Dam: ’NIS2 komt eraan. Zorg dat je er klaar voor bent.’.
Meer Hack van de Dam
In onze podcastserie Hack van de Dam draait alles om het verhogen van de digitale weerbaarheid en veiligheid van organisaties. NIS2 is een van de vele onderwerpen die we in meerdere seizoenen hebben besproken. De thema’s die we aansnijden belichten we vanuit meerdere perspectieven (IT, werkwijze en gedrag) en hebben als doel om te informeren, te inspireren en de awareness te verhogen. Denk aan de juridische aspecten van cybersecurity, het verdienmodel van hackers of een samenvatting van een (nagespeelde) cyberaanval. Ben je benieuwd? Je vindt alle afleveringen op onze website.
Heb je na het lezen van deze blog vragen over cybersecurity voor jouw organisatie? Neem gerust contact met me op. Ik help je graag verder.
