Uit onderzoek van Sophos onder 5.000 IT- en cyberbeveiligingsmanagers blijkt dat 71% van de onderzochte organisaties het afgelopen jaar te maken kreeg met minstens één identiteitsgerelateerd beveiligingsincident. Menselijke fouten en gebrekkig beheer van niet-menselijke identiteiten zijn daarbij de voornaamste oorzaken. De gemiddelde herstelkosten bedroegen 1,64 miljoen dollar.
Sophos publiceert het rapport ‘State of Identity Security 2026’, gebaseerd op een leveranciersonafhankelijk onderzoek uitgevoerd in het eerste kwartaal van 2026. Aan het onderzoek namen 5.000 IT- en cyberbeveiligingsmanagers deel uit 17 landen, in organisaties met 100 tot 5.000 medewerkers verspreid over 14 sectoren.
Organisaties meldden gemiddeld drie afzonderlijke incidenten. Vijf procent rapporteerde zelfs zes of meer inbreuken. Twee derde van de ransomware-slachtoffers (67%) bevestigde dat hun incident voortkwam uit een identiteitsaanval, waarmee identiteitscompromittering volgens Sophos het voornaamste distributiemechanisme voor ransomware is. Bij 73% van de getroffen organisaties lagen de kosten op 250.000 dollar of meer; het gemiddelde bedroeg 750.000 dollar.
Menselijke fouten en NHI-beheer domineren oorzaken
Bij bijna 43% van de incidenten speelde menselijke fout een rol: medewerkers werden misleid om inloggegevens te verstrekken. Zwak beheer van zogeheten Non Human Identities (NHI’s) — zoals API-sleutels opgeslagen in broncode, statische inloggegevens en verweesde serviceaccounts — werd in 41% van de gevallen als oorzaak genoemd. Sophos meldt dat organisaties met zwak NHI-beheer 22% meer kans hebben op financiële diefstal en gemiddeld circa 150.000 dollar meer herstelkosten maken.
Slechts één op de drie organisaties wisselt of controleert serviceaccounts en niet-menselijke identiteiten regelmatig. Elf procent doet dit continu. Sophos geeft aan dat agentic AI dit probleem vergroot: AI-agents kunnen zelfstandig subagents opzetten die elk nieuwe inloggegevens genereren met brede en blijvende toegangsrechten, terwijl menselijk toezicht beperkt blijft.
Zichtbaarheid en detectie als zwakke schakels
Slechts 24% van de onderzochte organisaties controleert continu op ongebruikelijke inlogpogingen; meer dan de helft doet dit maximaal eens per kwartaal. Veertien procent van de getroffen organisaties kon de voornaamste aanval niet detecteren en stoppen voordat schade was aangericht. Kleinere organisaties met 100 tot 250 medewerkers hadden volgens het rapport bijna twee keer zoveel kans op een mislukte detectie vergeleken met middelgrote organisaties.
Uit de sectorverdeling blijkt dat energie-, olie-, gas- en nutsbedrijven (80%) en de centrale overheid (78%) de hoogste inbreukpercentages rapporteerden. Organisaties die nalevingsvereisten als zeer uitdagend ervaren, meldden in 82,4% van de gevallen een inbreuk, tegenover 68,3% bij organisaties die minder moeite hebben met naleving.
Ross McKerchar, Chief Information Security Officer bij Sophos, stelt dat identiteit is uitgegroeid tot het voornaamste aanvalsoppervlak en dat de meeste organisaties terrein verliezen. Volgens McKerchar is het NHI-vraagstuk bijzonder urgent: AI-agents krijgen toegangsrechten toegewezen sneller dan beveiligingsteams kunnen bijhouden, en organisaties die hier niet tijdig op inspelen lopen het risico op steeds hogere herstelkosten.
Aanbevolen maatregelen
Sophos adviseert een meerlaagse aanpak die zowel menselijke als niet-menselijke identiteiten omvat. Concreet noemt het bedrijf: het verplicht stellen van multifactorauthenticatie (MFA) voor alle gebruikersaccounts, toepassing van het principe van minimale toegangsrechten en het direct deactiveren van inactieve identiteiten.
Voor NHI’s specifiek adviseert Sophos een volledige inventarisatie en classificatie, vervanging van langdurige inloggegevens door kortdurende alternatieven, en de inzet van platforms voor secretsmanagement. Gezien de verspreiding van agentic AI noemt het bedrijf Identity Threat Detection and Response (ITDR) en een Zero Trust-beveiligingsmodel als steeds belangrijkere verdedigingslagen.
Het volledige rapport is beschikbaar via de website van Sophos.
