Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Beheer van cyberbeveiligingsrisico's > Cyentia IRIS 2025 Vooruitblik: Praktische inzichten in gegevensbeveiliging en compliance voor organisatieleiders
Cyentia IRIS 2025 Vooruitblik: Praktische inzichten in gegevensbeveiliging en compliance voor organisatieleiders

Cyentia IRIS 2025 Vooruitblik: Praktische inzichten in gegevensbeveiliging en compliance voor organisatieleiders

by Patrick Spencer updated mei 30, 2025 Beheer van cyberbeveiligingsrisico's
Reading Time: 13 minutes

Gefeliciteerd aan Professor Wade Baker en de uitzonderlijke teams van Cyentia en Feedly voor een verhelderend pre-release webinar op 28 mei, waarin we een exclusief voorproefje kregen van de aankomende 2025 Information Risk Insights Study (IRIS). Hoewel we tot juni moeten wachten op het volledige rapport, zijn de inzichten die tijdens deze sessie werden gedeeld te belangrijk om te negeren. Wat Wade onthulde, zet alles wat we dachten te weten over het beschermen van bedrijfsdata op zijn kop.

Ben je verantwoordelijk voor gegevensbeveiliging of naleving binnen jouw organisatie? Maak dan de komende 15 minuten vrij. Wat je hieronder leest uit het webinar kan het verschil zijn tussen het uitleggen van een datalek aan toezichthouders volgend kwartaal of het volledig voorkomen ervan. De cijfers die Wade deelde zijn confronterend: 9,3% van de organisaties krijgt dit jaar te maken met een ernstig beveiligingsincident, met extreme verliezen tot $786,9 miljoen. Maar wat echt je aandacht moet trekken—je grootste bedreiging is geen schimmige hackersgroep. Het zijn de geldige inloggegevens die nu al binnen je organisatie circuleren.

Na het bijwonen van het pre-release webinar op 28 mei waren we niet alleen onder de indruk van de toename van bedreigingen, maar vooral van hoe fundamenteel het speelveld is veranderd. Traditionele beveiligingsaanpakken falen niet alleen—ze worden irrelevant. Terwijl we reikhalzend uitkijken naar het volledige rapport in juni, duiken we alvast in de belangrijkste inzichten die Wade en het Feedly-team deelden over wat dit betekent voor jouw programma’s op het gebied van gegevensbeveiliging en compliance.

Wat is het Cyentia IRIS-rapport en waarom zou de preview je zorgen moeten baren?

De Cyentia Information Risk Insights Study (IRIS) is de gouden standaard voor evidence-based security-analyse. In tegenstelling tot leveranciersrapporten die vaak een onvolledig beeld schetsen, baseert IRIS zich op uitgebreide incidentdata uit diverse sectoren, bedrijfsgroottes en aanvalstypen om onbevooroordeelde inzichten te geven in reële dreigingen.

Wade Baker, medeoprichter van Cyentia en uitmuntend dataspecialist, brengt decennia aan ervaring mee uit zijn tijd als leider van het Verizon Data Breach Investigations Report-team. Zijn methodologie richt zich op bruikbare intelligence in plaats van angstzaaierij, waardoor securityleiders wereldwijd elk jaar reikhalzend uitkijken naar de bevindingen. De samenwerking met Feedly voegt een extra dimensie toe door realtime Threat Intelligence te integreren, wat vooruitkijkende inzichten oplevert naast historische analyses.

Tijdens het webinar op 28 mei gaf Wade ons een intrigerend voorproefje van wat er in juni in het volledige rapport komt. Wat IRIS onderscheidt, is de toewijding aan statistische grondigheid. Elke bevinding wordt peer-reviewed, elke statistiek bevat betrouwbaarheidsintervallen en elke aanbeveling is gebaseerd op daadwerkelijke incidentdata in plaats van speculatie. Wanneer Wade zegt dat supply chain-aanvallen zes keer vaker voorkomen dan gerapporteerd, gokt hij niet—hij laat zien wat de data onthult als je verder kijkt dan oppervlakkige rapportages.

De timing van deze pre-release had niet kritieker kunnen zijn. Nu de handhaving van regelgeving toeneemt, cyberverzekeringen moeilijker te verkrijgen zijn en de kosten van datalekken de pan uit rijzen, kunnen organisaties het zich niet permitteren om tot juni te wachten met het aanpassen van hun beveiligingsstrategie. De inzichten die Wade deelde vragen om directe aandacht en actie.

5 Kritieke Bevindingen uit de Pre-Release die Directe Actie Vereisen

Tijdens het webinar onthulde Wade vijf baanbrekende inzichten die elke security- en complianceleider moet begrijpen—zelfs voordat het volledige rapport in juni verschijnt:

  1. Compromitteren van geldige accounts blijft het #1 aanvalspad bij organisaties van elke grootte. Deze preview bevestigt wat velen vermoedden maar niet konden bewijzen—aanvallers geven de voorkeur aan het gebruik van legitieme inloggegevens boven complexe hacks. Als geldige accounts het favoriete wapen worden, komt elk complianceframework dat je volgt in gevaar.
  2. Supply chain-aanvallen komen zes keer vaker voor dan traditionele rapportages suggereren. Wade’s analyse laat zien dat deze aanvallen in incidentrapportages meestal op de negende plek staan qua frequentie, terwijl ze in werkelijkheid op de derde plek staan. Deze enorme kloof, voor het eerst onthuld in het webinar, betekent dat de meeste organisaties hun risico’s door derden drastisch onderschatten.
  3. Het incidentpercentage van 9,3% is een stijging van 3,7x sinds 2008. Deze verbluffende statistiek uit de preview betekent dat bijna één op de tien organisaties dit jaar een ernstig beveiligingsincident zal meemaken. Wade benadrukte dat dit hoger is dan het percentage bedrijven dat te maken krijgt met traditionele rampen samen.
  4. De mediane verliezen zijn geëxplodeerd tot $3,2 miljoen—een stijging van 20x. Het webinar liet zien dat dit geen geleidelijke groei is; het is een explosie die de economie van cyberbeveiliging fundamenteel verandert. Als één incident meer kost dan het volledige jaarlijkse beveiligingsbudget van veel bedrijven, wordt preventie een kwestie van overleven.
  5. Organisaties met meer dan $10 miljard omzet lopen 620x meer incidenten op. Deze preview laat zien dat grote ondernemingen niet alleen grotere doelwitten zijn—ze zijn fundamenteel andere doelwitten. Wade legde uit hoe operationele complexiteit exponentieel meer aanvalsoppervlak creëert, wat leidt tot vrijwel zekere datalekscenario’s.

Diepgaande Analyse: Crisis in Identity & Access Management

Waarom zijn geldige inloggegevens vandaag de grootste beveiligingsdreiging voor organisaties? Het antwoord ligt in een fundamentele mismatch tussen hoe we beveiliging hebben opgebouwd en hoe moderne bedrijven werken.

Traditionele beveiligingsmodellen gaan ervan uit dat bedreigingen van buitenaf komen, dus bouwen we muren—firewalls, inbraakdetectiesystemen, netwerksegmentatie. Maar als aanvallers geldige inloggegevens gebruiken, breken ze niet in; ze loggen gewoon in. Ze omzeilen elke perimeterverdediging, elk detectiesysteem dat is gekalibreerd op abnormaal gedrag, elke controle die is ontworpen om indringers te spotten. Ze lijken precies op geautoriseerde gebruikers omdat ze dat technisch gezien ook zijn.

De compliance-implicaties zijn enorm. GDPR Artikel 32 vereist “passende technische en organisatorische maatregelen” voor beveiliging. Maar wat is passend als het aanvalspad niet te onderscheiden is van normaal gebruik? CCPA eist “redelijke beveiligingsprocedures”, maar hoe definieer je redelijk als legitieme toegang het wapen wordt?

Tijdens het webinar benadrukte Wade dat de data laat zien dat compromitteren van geldige accounts consequent op de eerste plaats staat, in elke sector, elke bedrijfsgrootte, elke geografische regio. Dit is geen gericht probleem voor specifieke sectoren—het is universeel. De preview maakte duidelijk dat aanvallers hebben ingezien dat het stelen of kopen van inloggegevens veel eenvoudiger is dan het uitbuiten van technische kwetsbaarheden. Waarom de deur forceren als je de sleutels kunt stelen?

Zero-trust architectuur is het noodzakelijke antwoord, maar implementatie vereist fundamentele veranderingen in hoe organisaties werken. Elke toegangsaanvraag moet worden geverifieerd, elke sessie continu gevalideerd, elke permissie regelmatig herzien. Het is niet alleen een technologische verschuiving—het is een complete heroverweging van vertrouwen in digitale systemen.

De kosten van nietsdoen? Wade’s previewdata suggereert dat organisaties die vasthouden aan perimeterbeveiliging drie keer meer incidenten hebben dan organisaties die zero-trust principes toepassen. Als elke medewerker, aannemer en partner een potentieel compromitteringspunt is, wordt identiteit echt de nieuwe perimeter.

Verborgen Tijdbom: Supply Chain Compliance

Risico’s door derden zijn getransformeerd van een inkoopkwestie tot een existentiële bedreiging. De onthulling in het webinar dat supply chain-aanvallen zes keer vaker voorkomen dan gerapporteerd, zou elke bestuurskamer moeten opschudden—en Wade gaf aan dat het volledige junirapport nog alarmerender details zal bevatten.

Traditionele leveranciersbeoordelingen—jaarlijkse vragenlijsten, SOC 2-rapporten, contractclausules—zijn tegenwoordig security theater. Tegen de tijd dat je de beoordeling van vorig jaar bekijkt, heeft je leverancier mogelijk al meerdere niet-gerapporteerde compromitteringen meegemaakt. De mediane hersteltijd van 94 dagen voor gelekte inloggegevens betekent dat aanvallers drie maanden de tijd hebben om jouw vertrouwensrelaties uit te buiten.

GDPR vereist expliciet dat organisaties ervoor zorgen dat hun gegevensverwerkers passende beveiligingsmaatregelen hanteren. Artikel 28 eist schriftelijke contracten, beveiligingsgaranties en auditrechten. Maar hoe kun je compliance aantonen als je niet eens weet dat je leveranciers zijn gecompromitteerd? De regelgeving gaat uit van een zichtbaarheid die in de meeste leveranciersrelaties simpelweg niet bestaat.

Recente spraakmakende datalekken illustreren het cascade-effect. Toen Change Healthcare slachtoffer werd van ransomware, konden duizenden zorgverleners geen claims verwerken. Toen CDK Global werd gecompromitteerd, kwamen autodealers in het hele land tot stilstand. Toen Blue Yonder werd aangevallen, kwamen retail supply chains tot stilstand. Elk incident begon met een enkele leverancierscompromittering, maar had gevolgen voor hele sectoren.

Het “vertrouwde relatie”-aanvalspad richt zich vooral op middelgrote en grote organisaties en benut juist de verbindingen die moderne bedrijven mogelijk maken. Aanvallers weten dat ze, eenmaal binnen bij een vertrouwde leverancier, lateraal kunnen bewegen naar klanten met minimaal detectierisico. Jouw beveiliging is slechts zo sterk als de zwakste schakel bij je leverancier—en waarschijnlijk weet je niet eens wie dat is.

Een programma voor continue monitoring is niet langer optioneel. Organisaties hebben realtime inzicht nodig in de beveiligingsstatus van leveranciers, geautomatiseerde waarschuwingen bij compromitteringen en snelle responsmogelijkheden voor incidenten bij derden. De tijd van jaarlijkse beoordelingen en papieren verklaringen is voorbij. In de onderling verbonden economie zijn de risico’s van je leveranciers jouw risico’s, en hun datalekken zijn jouw datalekken.

Kleine Onderneming, Groot Doelwit: De 70%-Realiteit

De preview van het webinar maakte korte metten met de mythe dat cybercriminelen alleen grote ondernemingen aanvallen. Met 70% van de incidenten die organisaties met minder dan $100 miljoen omzet treffen, staan kleine en middelgrote bedrijven volop in het vizier—ze krijgen te maken met dezelfde complexe aanvallen als Fortune 500-bedrijven, maar zonder vergelijkbare middelen om zich te verdedigen.

De cijfers die Wade deelde, zijn hard. Grote ondernemingen krijgen bij 39% van hun datalekken te maken met ransomware, kleine bedrijven zelfs bij 88% van de incidenten. Het mediane verlies van 0,65% van de jaaromzet lijkt misschien beheersbaar, tot je beseft dat dit voor een bedrijf van $10 miljoen neerkomt op $65.000—vaak het verschil tussen winst en verlies voor het jaar. Voor bedrijven met kleine marges kan één incident een neerwaartse spiraal veroorzaken.

Waarom kiezen aanvallers graag kleinere doelwitten? Simpele economie. Kleinere organisaties hebben doorgaans zwakkere beveiligingsmaatregelen, beperkte IT-staf en minimale beveiligingsbudgetten. Ze vallen onder dezelfde regelgeving als grotere bedrijven—GDPR kijkt niet naar je omzet—maar missen compliance-expertise. Ze zijn verplicht “passende technische maatregelen” te implementeren, maar kunnen zich geen oplossingen op ondernemingsniveau permitteren.

De compliance-druk is extra zwaar. Een kleine huisartsenpraktijk moet aan dezelfde HIPAA-vereisten voldoen als een groot ziekenhuis. Een regionale retailer moet voldoen aan identieke PCI DSS-standaarden als een landelijke keten. Een startup die Europese data verwerkt, krijgt dezelfde GDPR-verplichtingen als een multinational. De regelgeving gaat uit van middelen die simpelweg niet aanwezig zijn.

Maar er is hoop in de previewdata. Wade liet zien dat gerichte investeringen in basismaatregelen—multi-factor authentication, regelmatig patchen, training van medewerkers—zelfs bij beperkte middelen het aantal incidenten drastisch verlagen. De sleutel is prioriteren. Kleine bedrijven kunnen niet alles doen, maar wel de juiste dingen. Inzicht in welke maatregelen maximale bescherming bieden voor minimale investering is cruciaal om te overleven in dit dreigingslandschap. Het volledige rapport in juni zal naar verluidt een gedetailleerd stappenplan voor MKB-beveiliging bevatten.

Previewbevindingen Vertalen naar Jouw Complianceprogramma

Terwijl we wachten op het volledige rapport, bieden de bevindingen uit het webinar nu al een stappenplan om je compliancepositie te versterken binnen elk belangrijk regelgevend kader.

Voor GDPR-naleving:

De 72-uurs meldplicht voor datalekken wordt vrijwel onmogelijk als je de previewbevindingen in ogenschouw neemt. Compromitteren van geldige accounts blijft vaak maanden onopgemerkt en supply chain-aanvallen verschuilen zich in vertrouwde relaties—hoe kun je toezichthouders informeren over datalekken waarvan je niet weet dat ze zijn gebeurd? Wade adviseerde om continue monitoring te implementeren die specifiek is ontworpen om misbruik van geautoriseerde toegang te detecteren—niet alleen ongeautoriseerde toegang.

Uitdagingen rond dataresidentie nemen toe als je kijkt naar het 620x hogere incidentpercentage bij grote organisaties. Multinationals moeten ervan uitgaan dat ze gelijktijdig meldingsplichtige incidenten in meerdere rechtsbevoegdheden ervaren. Dit vereist vooraf gepositioneerde incidentresponsteams in elke regio, vooraf opgestelde meldingssjablonen in lokale talen en duidelijke escalatieprocedures die binnen enkele uren kunnen worden geactiveerd, niet dagen.

Voor CCPA/State Privacy Laws:

De norm “redelijke beveiliging” krijgt een nieuwe lading als 9,3% van de organisaties incidenten meemaakt. Rechtbanken en toezichthouders zullen traditionele perimeterbeveiliging steeds vaker als onredelijk beschouwen, gezien het gedocumenteerde falingspercentage. Organisaties moeten aantonen dat ze hun beveiligingsprogramma’s hebben aangepast aan het werkelijke dreigingslandschap, niet aan theoretische risico’s.

Vereisten voor leverancierscontracten worden cruciaal gezien de zesvoudige onderrapportage van supply chain-aanvallen. Standaard contracttaal over “industriestandaard beveiliging” zegt niets als de industriestandaard faalt. Contracten moeten specifieke beveiligingsvereisten bevatten, verplichtingen tot continue monitoring en snelle meldingsdeadlines—gemeten in uren, niet dagen.

Voor HIPAA:

De minimumnoodzakelijk-norm krijgt nieuwe uitdagingen wanneer geldige inloggegevens onbeperkte toegang bieden. Hoe handhaaf je minimum necessary als gecompromitteerde accounts overal bij kunnen? Het antwoord vereist dynamische toegangscontroles die zich aanpassen op basis van gedrag, niet alleen identiteit.

Business Associate Agreements moeten fundamenteel worden herzien. Het traditionele model van jaarlijkse beoordeling kan niet omgaan met de realiteit dat je zakenpartners hetzelfde incidentpercentage van 9,3% hebben. Zorgorganisaties hebben continue zekerheid nodig, geen momentopnames.

Voor CMMC 2.0:

De defensie-industrie kan deze bevindingen niet negeren. Nu supply chain-aanvallen in werkelijkheid op de derde plaats staan qua prevalentie, krijgt de nadruk op flow-down vereisten binnen het hele CMMC-framework nieuwe urgentie. Elke aannemer en onderaannemer is een potentieel toegangspunt voor statelijke actoren die defensie-informatie zoeken.

Jouw 90-dagen Actieplan

Wacht niet op het volledige junirapport—zet deze preview-inzichten nu om in actie met dit prioritaire implementatiestappenplan:

Dag 1-30: Beoordelingsfase

Begin met een uitgebreide audit van identiteit en toegang. Documenteer elk account met verhoogde rechten, elke serviceaccount, elke API-sleutel. Door de dreiging van compromitteren van geldige accounts heb je perfecte zichtbaarheid nodig op wie waar toegang toe heeft. Vertrouw niet op je huidige documentatie—controleer alles.

Maak een echte inventarisatie van derden. Niet alleen directe leveranciers, maar ook subverwerkers, clouddiensten en iedereen die jouw data aanraakt. Door de zesvoudige onderrapportage mist je huidige leverancierslijst waarschijnlijk kritieke relaties. Neem shadow IT en afdelingsaankopen mee die de inkoop omzeilen.

Stel je basisincidentpercentage vast. Kijk 24 maanden terug en documenteer elk beveiligingsincident, hoe klein ook. De 9,3%-benchmark zegt niets als je je eigen percentage niet kent. Neem bijna-incidenten en verijdelde aanvallen mee—die laten zien waar je maatregelen daadwerkelijk werken.

Voer een harde compliance gap-analyse uit. Vergelijk je huidige maatregelen met de IRIS-bevindingen, niet alleen met de wettelijke checklists. Waar zouden compromitteringen van geldige accounts je verdediging omzeilen? Hoe zou je supply chain-aanvallen detecteren? Wees eerlijk over zwakke plekken—ontkenning stopt aanvallers niet.

Dag 31-60: Quick Wins-fase

Implementeer MFA overal, te beginnen bij accounts met verhoogde rechten en daarna uitbreiden. Het rapport toont aan dat deze enkele maatregel het aantal succesvolle compromitteringen drastisch verlaagt. Sta geen uitzonderingen toe—elke account met toegang tot gevoelige data moet multi-factor bescherming hebben.

Voer snelle leveranciersbeoordelingen uit, gericht op je 20% meest risicovolle relaties. Wacht niet op jaarlijkse reviews. Stel gerichte vragen over hun identity management, incidenthistorie en procedures voor klantmelding. Beëindig relaties met leveranciers die geen bevredigende antwoorden kunnen geven.

Werk incident response-plannen bij om specifiek compromitteren van geldige accounts en supply chain-aanvallen te adresseren. Traditionele plannen gaan ervan uit dat je datalekken detecteert via technische indicatoren. De IRIS-bevindingen laten zien dat je gedragsdetectie en integratie van monitoring bij derden nodig hebt.

Start spoedtraining voor medewerkers over accountbeveiliging. Sla de standaard phishingvideo’s over. Focus op wachtwoordmanagers, MFA-gebruik en het herkennen van pogingen tot accountovername. Maak het persoonlijk—leg uit hoe hun gecompromitteerde account miljoenen kan kosten.

Dag 61-90: Strategische implementatiefase

Ontwikkel je zero-trust stappenplan met realistische tijdlijnen en budgetten. Het rapport bewijst dat perimeterbeveiliging heeft gefaald, maar vervanging kost tijd. Begin met kritieke systemen en breid uit. Focus op quick wins die waarde aantonen om verdere financiering veilig te stellen.

Zet continue monitoring in voor zowel interne systemen als leveranciersomgevingen. Het 94-dagen venster voor credential exposure dat Wade noemde, vereist realtime detectie. Geautomatiseerde systemen kunnen je waarschuwen voor compromitteringen voordat aanvallers volledig misbruik maken.

Bereid risicocommunicatie op bestuursniveau voor die de previewbevindingen vertalen naar zakelijke impact. Bestuurders moeten begrijpen dat het 9,3%-incidentpercentage geen technologieprobleem is—het is een kwestie van overleven. Gebruik het mediane verlies van $3,2 miljoen om beveiligingsinvesteringen nu te rechtvaardigen, voordat het volledige rapport leidt tot branchebrede budgetconcurrentie.

Heralloceer budgetten van mislukte perimeterverdediging naar identity management en programma’s voor risico’s door derden. De previewdata toont aan waar aanvallen daadwerkelijk vandaan komen. Stop met investeren in oplossingen van gisteren en financier de verdediging van morgen voordat het junirapport de vraag naar beveiligingsmiddelen opdrijft.

ROI van Proactieve Gegevensbeveiliging

Wat is het rendement op investering voor het implementeren van deze beveiligingsmaatregelen? De previewdata levert overtuigende rekensommen die elke CFO moet begrijpen voordat het volledige rapport verschijnt.

Begin bij de basis: de mediane kosten van een datalek zijn opgelopen tot $3,2 miljoen, terwijl extreme verliezen $786,9 miljoen bedragen. Vergelijk dat met de kosten voor het implementeren van robuust identity management, monitoring van derden en zero-trust architectuur—doorgaans 5% tot 10% van het potentiële verliesbedrag. De ROI-berekening is eenvoudig: investeer honderdduizenden om miljoenen te voorkomen.

Maar directe kosten zijn slechts een deel van het verhaal. Boetes onder GDPR kunnen oplopen tot 4% van de wereldwijde omzet. Voor een bedrijf van $1 miljard is dat $40 miljoen—ruimschoots meer dan elk beveiligingsbudget. Tel daar de proceskosten bij op, die volgens het rapport jaarlijks met 40% stijgen, en het financiële argument wordt overweldigend.

Denk ook aan de opportunity costs. Het webinar liet zien hoe datalekken 3-6 maanden operationele verstoring veroorzaken tijdens het herstel. In die periode stagneren nieuwe initiatieven, vertraagt klantacquisitie en verdwijnt competitief voordeel. Bedrijven die datalekken vermijden, behouden hun momentum terwijl concurrenten worstelen met herstel.

Reputatiewaarde laat zich lastig berekenen maar is bepalend voor langetermijnsucces. Wade’s analyse wijst uit dat organisaties met een sterke beveiligingspositie 25% minder klantenverlies ervaren na sectorbrede datalekken. Wanneer je concurrent een datalek heeft, zoeken hun klanten alternatieven. Sterke beveiliging wordt zo een competitief voordeel, niet alleen een kostenpost.

Hoe Kiteworks de Kritieke Bevindingen uit de Cyentia Preview Aanpakt

De inzichten uit het webinar sluiten naadloos aan bij de beveiligingsuitdagingen die Kiteworks helpt oplossen. Laten we bekijken hoe onze Private Data Network-aanpak elk van de kritieke bevindingen van Wade direct adresseert.

De #1 Bedreiging Tegengaan: Compromitteren van Geldige Accounts

Kiteworks implementeert robuuste rolgebaseerde en op attributen gebaseerde toegangscontrole binnen het Private Data Network en levert zo de zero-trust architectuur die de preview aanbeveelt. In plaats van gebruikers alleen op basis van inloggegevens te vertrouwen, valideert ons platform continu toegangsrechten op basis van context, gedrag en gevoeligheid van data. Bij compromittering van inloggegevens leiden afwijkende toegangs­patronen tot directe waarschuwingen en automatische toegangsbeperkingen.

De Supply Chain Blind Spot Beveiligen

Nu supply chain-aanvallen zes keer vaker voorkomen dan gerapporteerd, hebben organisaties veilige kanalen nodig voor externe gegevensuitwisseling die communicatie met derden beschermen. Kiteworks biedt precies dat—speciaal ontwikkelde infrastructuur voor het delen van gevoelige content met leveranciers, partners en klanten, met volledige zichtbaarheid en controle. Elke bestandsoverdracht, elke toegangs­poging, elke databeweging wordt gelogd en geanalyseerd, waardoor de blinde vlekken die traditionele beveiliging mist, verdwijnen.

De Data-Centrische Beveiligingsaanpak

De bevinding uit de preview dat traditionele perimeterbeveiliging heeft gefaald (aangetoond door de 3,7x stijging van incidenten ondanks enorme investeringen) bevestigt de data-centrische aanpak van Kiteworks. In plaats van hogere muren te bouwen, beschermen wij gevoelige informatie waar deze zich ook bevindt—tussen mensen, systemen, clouds en organisaties. Deze aanpak erkent de moderne realiteit: data moet kunnen stromen, maar wel veilig.

Ondersteuning voor Organisaties met Beperkte Middelen

Voor de 70% van de incidenten die organisaties met minder dan $100 miljoen omzet treffen, biedt Kiteworks een complete maar beheersbare oplossing. Kleinere bedrijven kunnen aan dezelfde regelgeving voldoen als grote ondernemingen, zonder middelen op ondernemingsniveau nodig te hebben. Ons platform schaalt mee met jouw organisatie en biedt beveiliging op ondernemingsniveau bij een complexiteit die past bij het MKB.

Aanvallen via Vertrouwde Relaties Verslaan

De opkomst van “trusted relationship”-aanvallen, die vooral middelgrote en grote organisaties treffen, vraagt om nieuwe manieren van samenwerking met partners. De uniforme governance- en auditmogelijkheden van Kiteworks bieden volledige zichtbaarheid en controle over toegang tot gevoelige data, ook bij vertrouwde partners. Als vertrouwen een kwetsbaarheid wordt, heb je verificatie nodig—en dat is precies wat ons platform biedt.

Klaar voor Meldplicht bij Datalekken

Nu de kosten van extreme datalekken oplopen tot $786,9 miljoen en vijf keer sneller stijgen dan de gemiddelde verliezen, hebben organisaties volledige audittrails nodig die snelle meldingen bij datalekken in meerdere rechtsbevoegdheden ondersteunen. Kiteworks bewaart onveranderlijke logs van elke datainteractie, zodat organisaties kunnen voldoen aan de 72-uurs meldplicht van GDPR en vergelijkbare verplichtingen wereldwijd. Wanneer toezichthouders vragen: “Wat is er met de data van onze burgers gebeurd?”—heb jij sluitende antwoorden.

Conclusie: Van Preview-Inzichten naar Actie

Wade Baker en de teams van Cyentia en Feedly verdienen onze oprechte dank voor het delen van deze kritieke inzichten voorafgaand aan de volledige rapportrelease. In een sector die overspoeld wordt door leveranciershype en ongefundeerde claims, leveren zij harde data waar securityleiders echt iets mee kunnen—zelfs voordat de volledige analyse in juni verschijnt.

De transformatie die voor ons ligt is niet optioneel. Overgaan van reactieve naar proactieve beveiliging, van perimetergericht naar data-centrische bescherming, van momentopnames naar continue monitoring—dit zijn niet langer beste practices. Het zijn overlevingsvereisten in een omgeving waar 9,3% van de organisaties dit jaar ernstige incidenten zal meemaken.

De duidelijkste boodschap van het webinar? Traditionele aanpakken zijn niet alleen mislukt—ze zijn irrelevant geworden. Als geldige inloggegevens het primaire aanvalspad zijn, supply chains enorme risico’s verbergen en elke organisatie vrijwel zeker wordt gecompromitteerd, wordt het beveiligingshandboek van gisteren het datalekrapport van morgen.

Kiteworks staat klaar om organisaties te helpen navigeren in dit nieuwe landschap. We hebben ons Private Data Network specifiek gebouwd om de uitdagingen uit de preview aan te pakken. Maar technologie alleen is niet genoeg. Succes vereist een fundamentele verandering in hoe we denken over gegevensbescherming.

De urgentie kan niet genoeg worden benadrukt. Met stijgende incidentpercentages, exploderende verliezen en steeds strengere regelgeving betekent uitstel gevaar. Elke dag dat je werkt met traditionele beveiliging vergroot je blootstelling aan moderne dreigingen. En met het volledige rapport dat in juni verschijnt, hebben organisaties die nu op deze preview-inzichten acteren een aanzienlijk voordeel.

Veelgestelde Vragen

De Cyentia Information Risk Insights Study (IRIS) 2025 is een evidence-based security-analyse die incidentdata uit de praktijk onderzoekt in diverse sectoren en bedrijfsgroottes. Wade Baker en het Cyentia-team deelden tijdens een webinar op 28 mei met Feedly de belangrijkste bevindingen, waaronder een datalekpercentage van 9,3% bij organisaties en mediane verliezen van $3,2 miljoen. Het volledige rapport verschijnt in juni 2025 en biedt een uitgebreide analyse van cyberdreigingen, aanvalspaden en bruikbare beveiligingsaanbevelingen op basis van grondige statistische methodologie.

Compromitteren van geldige accounts staat bovenaan de dreigingslijst omdat aanvallers hiermee traditionele beveiligingsmaatregelen kunnen omzeilen door legitieme inloggegevens te gebruiken. De Cyentia-preview liet zien dat dit aanvalspad organisaties van elke grootte even hard treft, omdat gecompromitteerde accounts identiek lijken aan geautoriseerde gebruikers. Dit maakt detectie extreem lastig—aanvallers kunnen maandenlang onopgemerkt opereren, gevoelige data benaderen en zich lateraal door netwerken bewegen. Traditionele perimeterverdediging is nutteloos als bedreigingen geldige inloggegevens gebruiken, daarom benadrukte Wade Baker tijdens het webinar zero-trust architectuur als noodzakelijke aanpak.

Kleine bedrijven kunnen hun ransomware-incidentpercentage van 88% aanzienlijk verlagen door gerichte beveiligingsmaatregelen te nemen. De Cyentia-preview liet zien dat multi-factor authentication, regelmatig patchen en securitytraining voor medewerkers het hoogste rendement opleveren voor organisaties met beperkte middelen. Hoewel kleine bedrijven aan dezelfde compliancevereisten moeten voldoen als grote ondernemingen, moeten ze prioriteit geven aan: MFA op alle accounts met toegang tot gevoelige data, geautomatiseerd patchbeheer voor kritieke systemen, kwartaaltraining over security awareness en gedocumenteerde procedures voor incidentrespons. Wade gaf aan dat het volledige junirapport een gedetailleerd stappenplan voor MKB-beveiliging zal bevatten.

De Cyentia-preview liet zien dat supply chain-aanvallen in werkelijkheid op de derde plek staan qua prevalentie, tegenover de negende plek in traditionele rapportages. Dit betekent dat je risico door derden waarschijnlijk zes keer hoger is dan je denkt. Deze enorme kloof ontstaat doordat veel compromitteringen bij leveranciers onopgemerkt of niet gerapporteerd blijven, vooral als leveranciers geen datalekken melden die jouw data kunnen raken. Organisaties moeten verder gaan dan jaarlijkse beoordelingen en overgaan op continue monitoring van leveranciers, 24-uurs meldplicht opnemen in contracten, beveiligingsmaatregelen verifiëren in plaats van verklaringen accepteren en alle datastromen via derden, inclusief subverwerkers, in kaart brengen.

Organisaties moeten direct beginnen met het doorvoeren van veranderingen—wachten op het volledige junirapport kan betekenen dat je tot de 9,3% met incidenten behoort. De previewdata laat zien dat bedrijven die zero-trust principes toepassen drie keer minder incidenten ervaren dan organisaties met traditionele perimeterbeveiliging. Start met een 90-dagen actieplan: beoordeel huidig identity management en leveranciersrisico’s (dag 1-30), implementeer quick wins zoals MFA en kritische leveranciersreviews (dag 31-60), en ontwikkel strategische initiatieven zoals zero-trust stappenplannen en continue monitoring (dag 61-90). Met mediane datalekken van $3,2 miljoen verhoogt elke dag uitstel de kans op mogelijk catastrofale verliezen.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks