Volgens het nieuwste bedreigingsonderzoek van SecurityScorecard heeft 21% van de S&P 500-bedrijven in 2023 te maken gehad met ieen cyberincident. Het nieuwe S&P 500 Cyber Threat Report geeft details over opkomende trends en strategieën voor Chief Information Security Officers (CISO’s).  In het najaar van 2023 heeft de U.S. Securities and Exchange Commission (SEC) baanbrekende regelgeving op het gebied van cyberbeveiliging aangenomen, die vereist dat ‘materiële’ cyberbeveiligingsincidenten binnen vier dagen openbaar worden gemaakt. Voorheen waren er zeer weinig vereisten voor het melden van inbreuken, waardoor overheidsfunctionarissen, beleidsmakers en investeerders belangrijke informatie over cyberbeveiligingsincidenten misten.

Dr. Aleksandr Yampolskiy, CEO en medeoprichter van SecurityScorecard, verklaart: “De druk van regelgeving blijft toenemen en bedrijven hebben behoefte aan een uniforme definitie van cybersecurity due diligence met duidelijke metrics. Net zoals kredietscores de financiële wereld hebben gestandaardiseerd, hebben bedrijven een universeel raamwerk nodig om cyberbeveiligingsrisico’s te meten en materialiteit te definiëren.”

Tegen de achtergrond van deze tegenwind door regelgeving analyseerden SecurityScorecard STRIKE dreigingsjagers de beveiligingsbeoordelingen van S&P 500-bedrijven om manieren te vinden om de beveiliging van belangrijke spelers in de Amerikaanse economie te verbeteren.  Belangrijkste bevindingen

21% van de S&P 500-bedrijven rapporteerde inbreuken in 2023: Aanvallers jagen op geld. Ransomware-exploitanten zien S&P 500-bedrijven als bijzonder waardevolle doelwitten op basis van de marktwaarde van hun aandelen en vragen dienovereenkomstig hoge losgelden. Aanvallers weten dat grotere doelwitten doorgaans in staat zijn om hoge losgelden te betalen.

25% van deze inbreuken had gevolgen voor financiële diensten en verzekeringsmaatschappijen: Financiële instellingen hebben een aantal van de meest robuuste beveiligingsprogramma’s omdat ze over veel geld en activa beschikken. Het onderzoek illustreert hoe de onderlinge verwevenheid van de financiële sector betekent dat het compromitteren van één instelling of veelgebruikt product kan leiden tot bredere gevolgen in de hele sector.

–52% van de bedrijven had persoonlijke informatie blootgelegd:Aanvallers krijgen toegang tot informatie over medewerkers, wat social engineering-aanvallen vergemakkelijkt. Bekwame bedreigingsactoren combineren verschillende bronnen om hun social engineering-aanvallen af te stemmen op maximale impact of om zich voor te doen als werknemers.

–Het gemiddelde Social Engineering-risicocijfer voor de S&P 500 is een ‘ F’: Social engineering vormt een aanzienlijk risico voor veel bedrijven, zelfs voor bedrijven met verder een gezond risicoprofiel en een sterke beveiliging. Veel bedreigingsactoren gebruiken social engineering-aanvalsvectoren omdat ze aanvallers in staat stellen technische beveiligingsoplossingen te omzeilen door menselijke gebruikers te manipuleren.

Ransomware-aanvallers eisen miljoenen dollars: Ransomware-eisen voor S&P 500-slachtoffers liggen nu vaak in de orde van grootte van acht cijfers. Ransomware-exploitanten baseren hun losgeldeisen vaak op de grootte van een bedrijf in termen van het aantal werknemers en de geldwaarde (bijv. marktkapitalisatie of jaarlijkse omzet).

Aanvallen op de toeleveringsketen hebben een materiële impact: Aanvallers gaan via de leveranciers en partners van een bedrijf als ze niet rechtstreeks toegang tot hen kunnen krijgen. Zoals geciteerd in de SEC-vereisten, heeft onderzoek van SecurityScorecard uitgewezen dat 98% van de bedrijven een relatie heeft met een derde partij die is geschonden. Daarom moeten dergelijke bedrijven al dan niet beursgenoteerd – zich ook vertrouwd maken met de nieuwe regelgeving.

Ryan Sherstobitoff, Senior Vice President van Threat Research and Intelligence, zegt: “Bedrijven geven prioriteit aan het toezicht op leveranciers nadat grote cyberaanvallen op de toeleveringsketen duizenden bedrijven hebben getroffen en gegevens van miljoenen klanten hebben geschonden. De kracht van de cyberbeveiliging van een bedrijf is direct gekoppeld aan de beveiligingsmaatregelen van zelfs de kleinste leveranciers.”

Aanvullende bronnen

– Download het 2024 SecurityScorecard S&P 500 Cyber Threat Report.

The post SecurityScorecard: 21% van de S&P 500-bedrijven rapporteert cyberincidenten in 2023 appeared first on Risk & Business.