Bedrijfsgegevens in de cloud belangrijkste doelwit van cyberaanvallen in Nederland

• 41 procent van de Nederlandse bedrijven kreeg vorig jaar te maken met een datalek in hun cloudomgeving, een afname van vier procent ten opzichte van 2021 (45%).
• Organisaties brengen steeds meer gevoelige informatie naar de cloud: volgens twee derde (67%) van alle bedrijven in Nederland is meer dan 40 procent van de data die ze in de cloud opslaan van gevoelige aard.
• Ondanks de grote toename van de hoeveelheid gevoelige data die bedrijven in de cloud opslaan, is gemiddeld wereldwijd slechts 45 procent daarvan versleuteld.
Thales publiceert vandaag de 2023 Thales Cloud Security Study. Het gaat om een jaarlijkse evaluatie van de laatste cyberbedreigingen gericht op de cloud, trends en nieuwe beveiligingsrisico’s. Het onderzoek werd uitgevoerd onder 3.000 IT- en security-professionals in achttien landen, waaronder honderd uit Nederland.

Veel gevoelige data in de cloud
Uit het onderzoek blijkt dat ruim vier op de tien (41%) van de Nederlandse bedrijven vorig jaar te maken kreeg met een datalek in hun cloudomgeving. In 2022 was dit nog 45 procent. Volgens een meerderheid van alle Nederlandse respondenten (57%) waren menselijke fouten de belangrijkste oorzaak van datalekken in de cloud.

Bedrijven wezen daarnaast op een toename van de hoeveelheid gevoelige data die ze in de cloud opslaan. Twee derde (67%) van de Nederlandse respondenten zegt dat meer dan 40 procent van alle data die ze in de cloud hebben ondergebracht gevoelige informatie omvat. In dezelfde periode van vorig jaar was dit nog 61 procent. Volgens ruim een derde (38%) van de respondenten wereldwijd vormden Software as a Service (SaaS)-oplossingen het belangrijkste doelwit, op de voet gevolgd door storage-omgevingen in de cloud (36%).

Gebrek aan encryptie en sleutelbeheer is zorgelijk
Hoewel de respondenten aangaven dat ze steeds meer gevoelige data in de cloud opslaan, blijkt dat organisaties nog maar weinig gebruikmaken van encryptie. Nog geen vijfde (17%) van de Nederlandse IT-professionals zegt dat meer dan 60 procent van al hun gevoelige data in de cloud is versleuteld. Wereldwijd is gemiddeld 45 procent van alle data in de cloud met encryptie beveiligd.

Verder blijkt dat er sprake is van gebrekkig sleutelbeheer. Slechts zes procent van de Nederlandse respondenten heeft zeggenschap over alle encryptiesleutels voor versleutelde data in de cloud. Wereldwijd zegt bijna twee derde (62%) van de respondenten met vijf of meer systemen voor sleutelbeheer te werken. Dit resulteert in toenemende complexiteit van de beveiliging van gevoelige data.

Operationele complexiteit door multi-cloud
Multi-cloudomgevingen nemen alsmaar in populariteit toe. Ruim driekwart (79%) van alle organisaties wereldwijd zegt met meerdere cloudproviders te werken. Het gebruik van SaaS-oplossingen is ongeveer gelijk gebleven in Nederland. In 2022 zei 22 procent van alle Nederlandse respondenten dat hun organisatie 51 tot 100 SaaS-oplossingen gebruikte. In 2023 is dit percentage 21 procent.

Toch staan organisaties nog altijd voor een flinke uitdaging. Een ruime meerderheid (61%) van de Nederlandse respondenten zegt dat het beheer van data in de cloud complexer is dan het beheer van data on-premise. Vorig jaar gold dat nog voor slechts 44 procent van alle respondenten. Wereldwijd blijkt datasoevereiniteit een belangrijk aandachtspunt voor de respondenten. 83 procent zegt zich hier zorgen over te maken. 55 procent was het eens met de stelling dat het waarborgen van privacy en compliance voor data in de cloud moeilijker is geworden.

Wegen naar verbeterde cloudbeveiliging
De onderzoeksresultaten benadrukken het belang van gedegen beveiliging. Zo is Identity & Access Management (IAM) onmisbaar voor het tegengaan van datalekken. Uit de resultaten blijkt dat het gebruik van multi-factor authentication (MFA) wereldwijd tot 65 procent is gestegen. Dit laat zien dat organisaties vooruitgang boeken met het versterken van hun mechanismen voor toegangsbeheer.

Verrassend genoeg past slechts 41 procent van alle organisaties wereldwijd zero trust-mechanismen toe binnen hun cloudomgeving. Nog een kleiner percentage (38%) gebruikt deze mechanismen voor hun cloudnetwerken. Deze cijfers onderstrepen de noodzaak om prioriteit te geven aan het uitbreiden van de beveiligingsmaatregelen om gevoelige data effectief te beschermen en de veerkracht van de bedrijfsbrede beveiliging te vergroten.

“Uit het onderzoek blijkt dat organisaties binnen een dynamisch multi-cloudlandschap werken. Dit vraag om naadloze en efficiënte toegang tot on demand IT-infrastructuren en -diensten”, zegt Sebastien Cano, Senior Vice President Cloud Protection & Licensing Activities bij Thales. “Cloudomgevingen moeten worden behandeld als een verlengstuk van de bestaande IT-infrastructuur. Exclusieve grip op data en de beveiliging daarvan is van cruciaal belang voor effectieve cloudbeveiliging, zeker als er gevoelige informatie in het spel is. Verder is het van essentieel belang dat organisaties de regie over de encryptiesleutels behouden. Op die manier kunnen ze profiteren van de schaalbaarheid, kostenefficiëntie en toegankelijkheid van de cloud en tegelijkertijd zorgen voor optimale waarborging van integriteit en geheimhouding van hun waardevolle informatie.”

—
Over het 2023 Thales Cloud Security Report
Het ‘2023 Thales Cloud Security Report’ is gebaseerd op een wereldwijde enquête door S&P Global Market Intelligence in opdracht van Thales onder zo’n 3.000 managers die verantwoordelijk zijn voor, of invloed hebben op de IT en informatiebeveiliging. De respondenten waren actief bij organisaties in achttien landen: Australië, Brazilië, Canada, Frankrijk, Duitsland, Groot-Brittannië, Hongkong, India, Italië, Japan, Mexico, Nederland, Nieuw-Zeeland, Singapore, de Verenigde Arabische Emiraten, de Verenigde Staten, Zuid-Korea en Zweden. Deze organisaties zijn actief in diverse sectoren. De grootste nadruk lag op de gezondheidszorg, financiële dienstverlening, retail, technologie en de overheid. De respondenten zijn actief in functies als CEO, CFO, Chief Data Officer, CISO Chief Data Scientist en Chief Risk Officer, senior vice president/vice president, IT-beheerder, beveiligingsanalist, beveiligingstechnicus en systeembeheerder. Ze werken voor bedrijven van diverse omvang, waarvan de meesten 500 tot 10.000 werknemers in dienst hebben. De enquête werd in november en december 2022 gehouden.