3min Security

CISO’s staan alleen in hun zorgen over ransomware

Kwetsbaarheid cloudomgevingen staat echter hoog op de agenda van álle executives

CISO’s staan alleen in hun zorgen over ransomware

CISO’s lijken zo’n beetje de enige executives die wakker lijken te liggen van ransomware. Deze vorm van cybercriminaliteit is voor 42 procent van hen een grote zorg, terwijl andere leidinggevenden dit niet eens in hun top drie zetten van grootste IT-gerelateerde dreigingen.

Dreigingen die specifiek cloudomgevingen treffen, staan daarentegen wél algemeen hoog op de agenda van beslissers: bij 42 procent van hen voert deze de lijst met cyberzorgen aan. Dat blijkt uit de 2025 Global Digital Trust Insights van PwC.

Eén de redenen waarom clouddreigingen zo hoog scoren, zou weleens kunnen zijn dat organisaties zich slecht voorbereid voelen om dergelijke gevaren het hoofd te bieden. In hetzelfde rapport geeft namelijk 34 procent van de respondenten toe (nog) geen passend antwoord te hebben op deze vorm van dreiging.

Top vijf van dreigingen

Het onderzoek van PwC is gehouden onder meer dan 4000 respondenten en geeft inzicht in de zorgen op IT-gebied die bij managers en executives het meeste spelen. Naast de genoemde dreigingen in cloudomgevingen (denk aan onveilige API’s, DDoS-aanvallen, foutieve configuraties of het gebruik van ongeoorloofde diensten) zijn dat zogeheten hack-and-leak operaties ofwel datadiefstal na een succesvolle hack (38 procent), inbreuken in de diensten van derde partijen zoals databeheerders (35 procent), aanvallen op connected devices als IoT-apparatuur (33 procent) en ransomware (27 procent).

Interessant is dat ransomware lager scoort voor de meeste leidinggevenden, maar juist een grote zorg blijkt voor CISO’s wanneer je de cijfers voor deze groep afzonderlijk bekijkt. Mogelijk omdat ze zich meer bewust zijn van de ravage die het kan aanrichten.

Cloud maakt kwetsbaar

De toenemende complexiteit van het cybersecurity-landschap maakt het voor bedrijven moeilijker om bij te blijven. Het rapport wijst op een groeiende attack surface, juist te wijten aan de gang naar de cloud die veel bedrijven de afgelopen jaren hebben gemaakt. Ook AI, connected devices en de hoge mate van afhankelijkheid van tussenpartijen en vendoren zijn reden tot zorg. Hier goed mee omgaan ‘vraagt om een flexibele, bedrijfsbrede benadering van resilience”, waarschuwt het rapport.

AI ontbreekt natuurlijk niet in het onderzoek, en blijkt een tweesnijdend zwaard te zijn. De respondenten noemen het zowel een krachtig hulpmiddel voor hun IT-verdedigingslinie als een gevaarlijk wapen voor aanvallers. Hoewel 78 procent van de organisaties meer geld heeft gestoken in AI-gestuurde oplossingen, vindt 67 procent van hen dat AI hen ook kwetsbaarder heeft gemaakt voor cyberaanvallen – meer dan enige andere factor in het afgelopen jaar. Ondanks al deze bezwaren zetten bedrijven AI op grote schaal in voor kritieke workloads op het gebied van cybersecurity, met name het proactief opsporen en mitigeren van dreigingen en kwetsbaarheden.

Nog veel werk aan de winkel

Er is in elk geval nog genoeg werk aan de winkel, want bijna 80 procent van de tech-executives verwacht komend jaar meer uitgaven te moeten doen om de security op te krikken. Slechts 2 procent van de ondervraagde bedrijven zegt over de gehele linie al voldoende weerbaar te zijn. Geen actie ondernemen kost geld: gemiddeld kost een datalek al snel 3,3 miljoen dollar (bijna 3 miljoen euro).

Regelgeving heeft een positieve invloed, vinden de ondervraagden. Uit het PwC-rapport blijkt namelijk dat organisaties onder druk van regelgeving zoals de AVG en de NIS2-richtlijn hun security hebben moéten opschroeven. Hoewel daar wel één en ander over te morren valt, is 80 procent van mening dat wetgeving heeft gefungeerd als stevige stok achter de deur om de eigen security op een hoger peil te krijgen. Van alle respondenten vindt 96 procent van de respondenten dat ze om deze reden een betere dagelijkse omgang met security hebben.

Lees ook: Cybersecurity-teams lopen achter op nieuwe aanvalstechnieken