Uit het 2026 Cybersecurity Outlook Report van Kaseya blijkt dat organisaties wereldwijd slecht voorbereid zijn op cyberaanvallen. Menselijke fouten, gebrekkige training en beperkte AI-adoptie vormen de belangrijkste kwetsbaarheden. Pentesten blijven veelal uit omdat ze te duur zijn. Hoe verder uit deze impasse?
Menselijke fouten blijven de achilleshiel van cybersecurity. Het rapport van Kaseya, gebaseerd op een onderzoek onder meer dan 700 mkb’s en 370 MSP’s wereldwijd, wijst uit dat medewerkers het meest gebruikte aanvalspad vormen voor de komende 12 maanden. Slechte gebruikerspraktijken en ontoereikende training maken organisaties kwetsbaar.
Phishing blijft dominant. Het vormt een logische combinatie met medewerkers die vaak op gevaarlijke hyperlinks klikken. 56 procent van de organisaties werd ooit getroffen door phishing, waarvan 49 procent alleen al in het afgelopen jaar. Dit is meer dan virussen en malware (32 procent) en business email compromise (27 procent).
De oorzaken liggen duidelijk bij mensen en processen: 30 procent van de incidenten komt door slechte gebruikerspraktijken, 29 procent door gebrek aan training en 27 procent door beperkte cybersecurity-expertise. We vragen ons wel af of die zaken zich niet in een spectrum bevinden: wanneer is een verkeerd gebruik niet genoeg weggetraind en wanneer is expertise voldoende om praktijken werkelijk te laten veranderen?
Incident response-plannen ontbreken vaak
De gereedheid voor incidenten baart hoe dan ook zorgen, ongeacht hoe vaak aanvallen werkelijk voorkomen. Slechts 40 procent van de ondervraagde organisaties heeft een formeel incident response-plan én test dit regelmatig. 27 procent heeft weliswaar een plan, maar heeft het nooit getest. Experts stellen continu dat dit feitelijk hetzelfde is als geen plan hebben, omdat de werkelijke gevolgen van een incident onvoorspelbaarder zijn dan een draaiboek kan omvatten. Nog zorgwekkender: 24 procent heeft helemaal geen formeel plan en 10 procent weet niet of hun organisatie een IR-plan heeft.
Dit gebrek aan voorbereiding is riskant, zeker omdat 70 procent van de organisaties verwacht in de komende 12 maanden slachtoffer te worden van een phishing-aanval. Meer dan de helft anticipeert een lek door ransomware.
Penetratietesten te duur voor velen
Hoewel 76 procent van de organisaties jaarlijks penetratietesten uitvoert, doet bijna een kwart dit inconsistent of helemaal niet. De grootste barrière zijn de kosten, genoemd door 47 procent van de respondenten.
Voor MSP’s blijkt pentesting juist winstgevend. Bijna 40 procent van de MSP’s rapporteert winstmarges tussen 21 en 40 procent, vooral wanneer pentesting onderdeel is van bundeldiensten. Opvallend: een derde van de MSP’s biedt de service helemaal niet aan, wat wijst op een onbenutte markt. Organisaties gebruiken pentesting vooral om controles te valideren (34 procent), de potentiële schade in te schatten (20 procent) en investeringen te prioriteren (17 procent).
AI groeit weliswaar in cybersecurity, maar vertrouwen blijft een obstakel. 18 procent van de bedrijven gebruikt AI nog helemaal niet voor security. Slechts 12 procent vertrouwt AI voldoende om autonoom te handelen. Voor 81 procent blijft menselijk toezicht noodzakelijk. AI wordt nu vooral ingezet voor e-mailbeveiliging (49 procent), endpoint protection (34 procent) en threat detection (32 procent). Voor de toekomst plannen organisaties vooral uitbreiding naar dreigings- en kwetsbaarheidsdetectie (32 procent) en geautomatiseerde response (30 procent).
De grootste zorgen over AI zijn nauwkeurigheid, inclusief valse positieven en negatieven (29 procent), dataprivacy (27 procent) en, jawel, kosten (19 procent).
Downtime en financiële verliezen nemen toe
De gevolgen van cyberincidenten zijn zwaar. Ongeveer 40 procent van de getroffen organisaties rapporteert minstens een dag downtime. 21 procent vermeed downtime, een daling ten opzichte van 27 procent in 2024. Dit is voornamelijk zorgwekkend omdat downtime gewoonlijk de grootste schade aanricht bij een incident, niet het bestaan van een lek alleen bijvoorbeeld.
Financieel zijn de verliezen aanzienlijk. Bijna 20 procent van de bedrijven verloor 100.000 dollar of meer door een beveiligingsincident. Voor MSP’s is de impact ook merkbaar, met 40 procent van de MSP’s die melden dat klanten downtime ervoeren door een breach. 12 procent verloor klanten, hoofdzakelijk door ransomware, account takeover en BEC-aanvallen.
Beveiligingsbudgetten groeien gestaag
Cybersecurity-budgetten stijgen, maar de groei blijft bescheiden. De meeste organisaties besteden tussen 10 en 50 procent van hun IT-budget aan beveiliging. In het afgelopen jaar verhoogde 44 procent de security-uitgaven.
Voor de komende 12 maanden verwacht 48 procent van de respondenten een budgetverhoging, waarvan 68 procent een stijging van 5 tot 25 procent voorziet. MSP’s anticiperen hierop: 74 procent plant een uitbreiding van hun cybersecurity-diensten.
De top investeringsprioriteiten voor het komende jaar zijn penetratietesten (17 procent), cloud detection and response (17 procent), dark web monitoring (16 procent) en BCDR (15 procent). Zorgelijk is dat 14 procent helemaal geen nieuwe security-oplossingen plant.
Lees ook: Kaseya koopt INKY voor AI-gestuurde emailbeveiliging