Laten we beginnen met een cijfer dat ons het belang laat zien van beveiligingslekken: in 2021 gaf 54% van de Franse bedrijven aan tussen één en drie cyberaanvallen te hebben meegemaakt[1]. Dit cijfer is nog meer verontrustend sinds de gezondheidscrisis. 58% van de bedrijven verklaart dat telewerken hun bedrijf kwetsbaarder heeft gemaakt voor cyberaanvallen[2].

Niet alleen worden hackers steeds inventiever om complexere aanvallen te organiseren uit geldelijke of politieke redenen, ze richten zich tevens op zeer verschillende bedrijven. Hieruit blijkt duidelijk dat er van multinationale banken tot kleine bouwbedrijven niemand gespaard blijft.

Alle bedrijfssectoren worden echter niet op dezelfde manier getroffen. Ondanks een duidelijk groeiende tendens wereldwijd, zijn sommige bedrijfssectoren beter gewapend dan andere. Het is geen verrassing dat professionele constateren dat een bepaald aantal hackers de neiging hebben om specifieke activiteitsectoren te kiezen vanwege hun kwetsbaarheid.

De meest getroffen bedrijfssectoren

De gezondheidssector blijft aan de top

Medische data nemen een belangrijke plaats in onder de meest gevoelige data. In zijn Rapport 2021 over de kosten van beveiligingsinbreuken (Cost of a Data Breach Report 2021) verklaart IBM dat de gezondheidssector het meest getroffen wordt door beveiligingslekken. Aangezien de gemiddelde kosten 9,23 miljoen dollar per incident bedragen staat de gezondheidssector voor het tiende achtereenvolgende jaar op de eerste plaats. Dit blijkt uit een recent voorbeeld van deze sector. In 2020 was het medisch centrum van de universiteit van Vermont (UVM) slachtoffer van een grootschalige cyberaanval. Enkele dagen lang wist het personeel niet welke patiënten een afspraak hadden. Ofschoon het centrum nooit losgeld betaalde, kostte de cyberaanval het ongeveer 50 miljoen dollar[3].

De financiële sector, een geliefd doelwit

De financiële sector die op de tweede plaats komt besteedde hieraan in 2021 gemiddeld 5,72 miljoen dollar. Vanwege zijn intensieve gebruik van digitalisering beschikt de financiële sector over veel gevoelige data en is het een geliefd doelwit voor cyberaanvallen. Veiligheidsmanagers van MasterCard hebben onlangs verklaard aan New York Times dat zij te maken hadden met meer dan 460.000 aanvallen per dag, wat 70% meer is dan een jaar terug[4]“.

Deze indrukwekkende cijfers verklaren de investeringen die in deze sector werden gedaan. Financiële instellingen besteden namelijk gemiddeld 0,3% van hun omzet en 10% van hun IT-begroting aan cyberveiligheid volgens de cijfers van Deloitte[5].

Ook vormen de farmaceutische industrie en de nieuwe technologieën nog steeds een doelwit en wordt de energiesector steeds vaker getroffen

In hetzelfde rapport staan de farmaceutische industrie en de nieuwe technologieën respectievelijk op de derde en vierde plaats met 5,04 miljoen en 4,88 miljoen dollar aan gemiddelde kosten voor datalekken. In het algemeen gaan de industriesectoren waarvoor een zware regelgeving geldt beter om met cyberaanvallen ondanks een voortdurend stijgend aantal aanvallen.

De sectoren die het best voor de dag komen

Een openbare sector die het niet slecht doet

De openbare sector en met name activiteiten die verband houden met strategische activiteiten voor de Staat zoals Defensie, Vervoer enz. nemen de hoogste plaats in met “slechts” 1,93 miljoen dollar aan gemiddelde kosten voor veiligheidsfouten. Dit komt omdat deze organisaties eerder politieke dan financiële doelwitten zijn.

OIV en OSE: voldoende ervaring

Men kan veronderstellen dat een groot aantal particuliere bedrijven die de status van een OSE (Aanbieder van Essentiële Diensten) of OIV (Dienstverlener van vitaal belang) hebben voldoende ervaring hebben op het gebied van cyberveiligheid. Deze spelers worden namelijk continu geconfronteerd met alle soorten cyberdreigingen. In de ongeveer 15 sectoren met een OSE-status treffen we spelers uit het verzekeringswezen en de energiesector aan. Vanwege de negatieve gevolgen van een serviceonderbreking op het hele nationale grondgebied moeten sommige van deze bedrijven voortaan verplichtingen naleven met betrekking tot veiligheid van IT-systemen en netwerken.

Deze eisen met betrekking tot cyberveiligheid zijn de reden waarom de energiesector is gedaald van de tweede naar de vijfde plaats van de meest dure bedrijfssectoren, met een daling van de kosten van 6,39 miljoen dollar in 2020 tot 4,65 miljoen dollar in 2021 (een vermindering van 27,2%). In Frankrijk heeft ANSSI de taak de cyberveiligheid aan te sturen en bedrijven met OIV-status te begeleiden bij het invoeren van nieuwe maatregelen.

De horeca en de media zijn nog gespaard maar zijn in stijgende lijn

Nog altijd volgens hetzelfde rapport zijn de horeca en de mediasector de laatste bedrijfssectoren die de gemiddelde kosten van een datalek weten te beperken, met respectievelijk 3,03 miljoen en 3,17 miljoen dollar. Hierbij moet echter worden vermeld dat deze kosten stijgen in beide sectoren.

Sommige bedrijfssectoren lijken beter bestand te zijn dan andere tegen de aanvallen door een grotere ervaring op het gebied van cyberveiligheid of door investeringen in dit gebied, maar de overgrote meerderheid van bedrijfssectoren krijgt steeds meer te maken met cyberaanvallen en hogere gemiddelde kosten per datalek, ongeacht de omvang van het bedrijf of zijn geografische locatie.

Het lijkt daarom nog belangrijker om te investeren in grotere bewustmakingscampagnes een goede praktijken te ontwikkelen en ontwerper te investeren in cyberveiligheid, omdat voorkomen beter is dan genezen. Als laatste moeten de kwetsbaarheden en risico’s vaker in kaart worden gebracht.



[1] https://www.usine-digitale.fr/article/etude-ou-en-sont-les-entreprises-francaises-en-matiere-de-cybersecurite.N1774277

[2] https://www.hiscox.fr/courtage/blog/rapport-hiscox-2021-sur-la-gestion-des-cyber-risques

[3] https://www.aamc.org/news-insights/growing-threat-ransomware-attacks-hospitals

[4] https://www.nytimes.com/2019/07/30/business/bank-hacks-capital-one.html

[5] https://www2.deloitte.com/us/en/insights/industry/financial-services/cybersecurity-maturity-financial-institutions-cyber-risk.html

Per sector

Financiële Diensten

Kritieke infrastructuur

Gezondheidszorg

Overheid

Energy

Luchtvaart & defensie

Per afdeling

Marketing & Inkoop

R&D en techniek

Risicobeheer & compliance

Finance

Legal

Human Resources

Informatiebeveiliging