De wereld van cybersecurity verandert in een razend tempo. Het gaat steeds minder over technologie en de mens treedt steeds sterker naar voren. Qua cybersecurity is de mens tegelijkertijd de zwakste schakel én de meest veelbelovende factor. Hoog tijd om onze neiging de mens uit het hele plaatje te verwijderen grondig te herzien. Welke veranderingen staan ons te wachten?
Het veiligste systeem laat de gebruiker geen enkele opties of vrijheden. Een dergelijk systeem is direct ook inefficiënt en zeker niet gebruikersvriendelijk. In cybersecurity gaat het erom de juiste balans te vinden tussen die twee: 1) veilig en 2) functioneel/efficiënt/vriendelijk. In onze zoektocht naar die balans moeten we aanvaarden dat digitale kwetsbaarheden onvermijdelijk zijn. Tijdens de laatste Gartner ITxpo zette Leigh McMullen enkele voorspellingen uiteen wat betreft cybersecurity. Daarbij nuanceerde hij de term ‘voorspellingen’. “Eerder zijn het mijlpalen of gebeurtenissen die een signaal afgeven. Evenmin vormen ze tezamen een lineair verhaal.” Desondanks geven de onderstaande zeven blikken in de toekomst een redelijke indicatie van wat ons te wachten staat op het gebied van cybersecurity.
Privacy als concurrentievoordeel
In 2024 heeft privacy regelgeving betrekking op alle data over de gehele consumentenmarkt. Toch heeft minder dan 10 procent van de organisaties privacy met succes ingezet als concurrentievoordeel.
Om onze focus op privacy in perspectief te plaatsen, gaf McMullen de volgende vergelijking. “Er vallen meer mensen onder de privacyregelgeving dan er toegang hebben tot schoon drinkwater.” Wanneer het onderwerp privacy voorbijkomt, gaat het over regelgeving en richtlijnen waaraan bedrijven en organisaties zich moeten houden. Eigenlijk zijn we voornamelijk bezig om boetes te vermijden. Terwijl privacy daadwerkelijk concurrentievoordeel kan opleveren voor een onderneming.
McMullen gaf Amazon als voorbeeld. “Dit bedrijf kwam als eerste met ‘bestellen in één klik’. Ze hebben het zelfs als een uitvinding gepatenteerd en verlenen nu licenties aan iTunes en andere organisaties zodat ook zij consumenten kunnen verleiden tot impulsaankopen op internet. In het begin geloofde Amazon zelf niet eens dat mensen bereid zouden zijn om hun creditcardnummer in bewaring te geven om het bestellen te vergemakkelijken. Inmiddels, een jaar of 20 later, is het de normaalste zaak ter wereld.
”De echte waarde van cybersecurity is dat het een organisatie in staat stelt om te opereren in gevaarlijk gebied
Privacy biedt enorme concurrentievoordelen wanneer consumenten een organisatie zodanig vertrouwen dat we hen zelfs onze financiële gegevens in bewaring geven. Een andere organisatie die al heel vroeg de waarde van privacy en cybersecurity voor hun klanten begreep, is Apple. Dat voeren ze zo ver door dat ze zelfs een opdracht van de FBI om iemands telefoon te ontgrendelen, negeerden.
Privacy is meer dan sec een compliancy verplichting. Het kan daadwerkelijk vertrouwen genereren en daadwerkelijke klantloyaliteit. De keerzijde is dat consumenten, als ze eenmaal een aanbieder vertrouwen, niet meer durven te switchen naar een ander. Het is namelijk maar de vraag of die ander ons dezelfde privacywaarde kan bieden. McMullen: “Privacy wordt in toenemende mate een cruciaal onderdeel van onze aankoopbeslissingen en in die hoedanigheid een belangrijk concurrentiewapen.”
De stress van de CISO
In 2025 zal bijna de helft van de cybersecurity-leiders van baan veranderen. De helft van hen zal kiezen voor een compleet andere rol.
Hoe leuk is het nog om CISO te zijn? “Cybersecurity-leiders spelen een spel waarbij de enige mogelijke score 0 is of -1”, vertelt McMullen. “Je doet je stinkende best om niet te worden gehackt, waarvoor je nooit de waardering krijgt. En als je wél wordt gehackt, heb jij als CISO je werk niet goed gedaan.”
Het is een stressvolle job waarin je het eigenlijk nooit goed doet. Je hebt te maken met zoveel onbekende factoren, waar toezichthouders maar al te graag op inspringen. Kortom, het werk van een CISO is praktisch onbeheersbaar geworden. En hybride werken maakt het alleen maar nog moeilijker, omdat inmiddels het complete internet een aanvalsgebied is geworden. Terwijl de vraag naar securityprofessionals alleen maar toeneemt, gooit een groot aantal van hen de handdoek in de ring.
“Daarom,” betoogt McMullen, “moeten we de regels van betrokkenheid veranderen. Als we de metafoor van de Formule 1 erbij halen. De cybersecurity professionals hebben niet als taak de raceauto sneller te maken, maar om de raceauto überhaupt op het circuit houden door behendigheid en veerkracht te verbeteren.”
De echte waarde van cybersecurity is dat het een organisatie in staat stelt om te opereren in gevaarlijk gebied. En wie dat sneller en flexibeler doet en met meer zekerheid, wint het van organisaties die continu bezig zijn met het beheren van onzekerheid, wat uiteindelijk verlammend werkt. Wat hebben dringend een nieuwe impuls nodig, die ons verlost van deze voortdurende nachtmerrie waarin CISO’s alleen maar verliezen en verantwoordelijk worden gehouden voor dingen waar ze uiteindelijk weinig controle over hebben.
Het failliet van cyberrisico-kwantificatie
De helft van de cybersecurity-leiders heeft tegen 2025 tevergeefs geprobeerd om de kwantificering van cyberrisico’s in te zetten als middel voor het stimuleren van besluitvorming.
McMullen vraagt aan het publiek wie zich bezighoudt met het kwantificeren van cyberrisico’s. Bij het zien van de vele handen in de lucht, heeft hij maar één helder advies: “Stop ermee!” Hij noemt de meest chaotische verzekeringsmarkt ter wereld: autoverzekeringen. “Vergeleken met cybersecurity is autoverzekering super voorspelbaar. Ik kan met een hoge mate van zekerheid voorspellen wat er gebeurt als ik met 35 km per uur een voetganger op een zebrapad aanrij. Een CVE-rating zegt helemaal niets over wat dit ene risico zal doen in deze, die of een andere omgeving. De malware die omgeving X volledig opblaast, kan omgeving Y volledig met rust laten.”
Wat volgens McMullen wél zin heeft is het kwantificeren van schade. “Cybersecurity bestaat uit twee fundamentele strategieën: 1) het voorkomen van schade en 2) het beperken van schade. We weten dat het onmogelijk is om alle schade te voorkomen; denk alleen maar aan zero-days bedreigingen. In zekere zin vallen beide strategieën onder dezelfde noemer: het willen voorkomen is hetzelfde als het beperken van de schade, plus of minus een paar dagen en enkele dollars.
”Cyberrisicokwantificatie? Stop ermee!?
Meer aandacht voor zwakke signalen
Rond 2026 zal meer dan 60% van de onderzoeks- en responsmogelijkheden voor threat detectie gebruikmaken van data over blootstellingsbeheer om gedetecteerde bedreigingen te valideren en te prioriteren.
Dat aantal is minder dan 5% vandaag. Een gevolg van het hybride werken is dat organisaties niet meer hun volledige architectuur bezitten. “We hebben SaaS, PaaS en cloud-storage”, somt McMullen op, “en zelfs onze diverse cybersecurity-tools wisselen niet noodzakelijkerwijs informatie met elkaar uit op een goede manier. We moeten goed worden in het detecteren van zwakke signalen. We moeten onze zienswijze vergroten naar zowel binnen als buiten de onderneming. We moeten nadenken over zaken die op ecosystemen zijn gebaseerd en onszelf niet langer blindstaren op onze eigen capaciteiten en technologieën.”
In McMullen’s ideale wereld leren we zwakke signalen detecteren van alle technologieën en van externe en interne cloudproviders, terwijl onze instrumenten al deze zwakke signalen met elkaar uitwisselen.
“Traditionele detectie is waarschijnlijk niet in staat hierin mee te gaan. Er zijn nieuwe specialistische capaciteiten nodig om onze security zienswijze te verbreden, zodat we zicht krijgen op missie-kritische XaaS-systemen en -services.”
Verbeteringen aan de horizon
Tegen 2026 zal in 70% van de RvB’s één cybersecurity-expert zitten.
Dit zal zeker een duwtje in de rug krijgen van toezichthouders. “Die expert zal dan onmogelijke vragen krijgen van de andere bestuursleden”, waarschuwt McMullen. “Vragen waarop het enige echte antwoord zal luiden: Dat weet ik niet. Dit zal wat ik ‘het cybersecurity-theater’ noem drastisch reduceren, gelukkig. En terwijl de rookgordijnen verdwijnen, wordt het zicht op de daadwerkelijke cybersecurity risico’s beter.”
Tegen 2027 zal 75% van de werknemers technologie buiten het zicht van IT kopen, veranderen en creëren.
In 2022 was dat 41%.Dat wat we ooit schaduw-IT noemden zal stevig aan terrein winnen. McMullen noemt het liever ‘de democratisering van IT’. Veel IT-organisaties zullen verder uithollen. Businessmensen die vandaag nog Excel-spreadsheets gebruiken voor hun rapportages, zullen in toenemende mate zelf apps aanschaffen of maken die beter aansluiten op hun taken. “Dit is enerzijds een vergroting van ons probleem”, erkent McMullen, “omdat hiermee het aanvalsgebied groter wordt. Anderzijds is het ook een antwoord op ons probleem, omdat deze mensen uit eigen beweging technologie implementeren.”
Het is in dit kader misschien geruststellend om te weten dat die 41 procent die hier nu al mee experimenteert, nog steeds geen enorme explosies heeft veroorzaakt. De early adopters die nu al lowcode- en nocode-systemen gebruiken en generatieve AI uitproberen, zijn bij uitstek ontvankelijk voor security-awareness. McMullen: “Zij vormen een wezenlijke uitbreiding van onze cybersecurityleger.”
Naadloze controles
In 2027 zal de helft van de CISO’s bij grote ondernemingen mensgerichte security-praktijken uitvoeren om door cybersecurity veroorzaakte wrijving te verminderen en de acceptatie van controle te verbeteren.
Uit onderzoek van Gartner blijkt dat 90% van de ondervraagden toegeeft een securitycontrole te hebben overtreden. Op de vervolgvraag of ze dat een volgende keer weer zouden doen, antwoorde iedereen: ja. De irritatie die security-controles veroorzaken, is groot. Zoals aangegeven aan het begin van dit artikel, verschuift cybersecurity van de techniek naar de mens. McMullen pleit voor naadloze controles, waarbij de gebruiker een Xbox- of iPhone-ervaring heeft. “Ik kan heel veel dingen niet op een Xbox of een iPhone, maar alles wat ik wil doen op die apparaten kan ik doen. Alles dat ik kan bedienen op mijn Xbox en iPhone, voldoet volledig aan mijn gebruikersverwachting.” Tegelijkertijd waarschuwt hij voor het morele gevaar dat gebruikers door de onzichtbaarheid van controles, zich niet langer bewust zijn van hun eigen verantwoordelijkheid voor cybersecurity.
Wat er ook werkelijkheid gaat worden van deze zeven mogelijke mijlpalen, weten we niet. Wat we wel weten is dat in tijden van snelle verandering stilstaan het gevaarlijkste is dat je kan doen.
-/-