Er gaat geen week voorbij zonder een cyberincident in het nieuws. Een greep uit de voorbije maand: een snowboardfabrikant die de hele maand januari niet kon leveren, autodiefstal met behulp van een ingeplugde USB-kabel en een boekwinkelketen waar alleen cash betaald kan worden. Van alle ondernemers met meer dan 10 FTE in de Europese Unie heeft 22% in de voorgaande twaalf maanden te maken gehad met cybercrime. Dat blijkt uit recente cijfers van Europees statistiekbureau Eurostat. Nederland zit binnen Europa in de kopgroep: hier heeft 30% er mee te maken gehad. Een toename van 5% ten opzichte van 2019, de laatste meting voor de COVID-pandemie. Het statistisch bureau onthoudt zich van waardeoordelen, maar uit de cijfers valt op te maken dat Nederland niet altijd in de kopgroep zit wanneer het aankomt op het nemen van maatregelen tegen cybercrime. Waar ligt er ruimte voor verbetering en onderschatten sommige ondernemers het risico?
Bewustzijn meestal op orde
Om te beginnen: van echte onderschatting lijkt geen sprake te zijn. Nederlandse ondernemers zijn zich zeer bewust van cybercrime en de gevaren die het met zich meebrengt. 96% geeft aan hier bewust mee bezig te zijn en cybersecurity staat wereldwijd hoger op de zorgenlijst dan een nieuwe pandemie of de oorlog in Oekraïne. Toch laten de cijfers zien dat zij dit in de praktijk niet zo vaak en volledig doen als wenselijk. Hoe komt dit? In de aanpak van cybersecurity door ondernemers zitten twee blinde vlekken: outsourcing aan leveranciers en het vergeten van de menselijke factor.
Dat zou jij toch doen?
Om met de eerste te beginnen: Nederland loopt voorop in het outsourcen van ICT-dienstverlening. Een trend die door COVID nog verder versneld is. Daardoor nemen ondernemers aan dat hun leveranciers de cybersecurity regelen. Bij de ondernemers zelf verdwijnt het naar de achtergrond. Dit leidt tot een vreemde paradox, die ook al in eerder onderzoek van SIDN naar voren kwam: gevraagd naar cybersecurity zei 79% van de ondernemingen dat zij hiervoor rekenden op hun leveranciers, maar 60% van de leveranciers gaf aan dat 58% hun MKB klanten de beveiliging niet goed op orde had. Het lijkt er dus op dat cybersecurity vaak blijft liggen tussen ondernemers en hun leveranciers.
De menselijke factor
Dat is in Nederland vooral een issue als het gaat om het voorkomen van menselijke kwetsbaarheden. Een derde van alle incidenten is het gevolg van persoonlijke fouten. Het begint vaak met phishing. Hier loopt Nederland in Europees verband achter. Slechts 47% van de Nederlandse mkb’ers doet aan het voorlichten en trainen van personeel, terwijl het Europees gemiddelde 58% is. Ook een verzekering tegen cyberaanvallen is in Nederland niet heel populair: slechts 29% van de ondervraagden heeft deze. Denemarken is binnen Europa het best presterende land op dit gebied: nergens nemen ondernemers zoveel maatregelen om security-incidenten te voorkomen.
Internet of Things
Niet meegenomen in het onderzoek, maar ook een belangrijke trend is het Internet of Things (IoT). IoT geeft een heleboel apparaten die geen computer of mobiel zijn toegang tot internet en maakt ze daardoor kwetsbaar voor cybercriminelen. Zonnepanelen, koelkasten en horloges zijn nu ook kwetsbaar. Dat is relevant, omdat de bedrijven die deze apparaten ontwikkelen of importeren van nature geen sterk ontwikkelde ICT of cybersecurity-functie hebben. Steeds meer organisaties werken gelukkig al op basis van Security-by-design, maar er is hier nog een wereld te winnen.
Ondernemers investeren wel degelijk.
Bovenstaande alinea’s wekken wellicht de indruk dat het Nederlandse MKB zijn zaken niet op orde heeft, maar niets is minder waar. In de afgelopen jaren namen investeringen in cybersecurity ieder jaar met meer dan 10% toe. 96% van de Nederlandse ondernemers zegt bezig te zijn met cybersecurity. Positief daarbij is dat steeds meer ondernemers ook training van medewerkers proactief oppakken. De aandacht voor de menselijke factor groeit.
Houd zelf de regie
Een belangrijke les voor ondernemingen is dat je als ondernemer altijd de regie over je cybersecuritybeleid moet houden. Wees proactief naar je leveranciers toe en leg afspraken vast. In aanvulling adviseren wij ook te investeren in monitoring. Zowel van verouderde applicaties (bijvoorbeeld met Patchman) als verdachte domeinnamen die voor phishing gebruikt kunnen worden (bijvoorbeeld met SIDN Merkbewaking). 41% van de bedrijven doet dit al. Let daarbij ook op regelmatige reviews: slechts een kwart van de ondernemers reviewt ieder jaar zijn of haar cybersecuritybeleid. Driekwart doet het dus niet.
Geef als eerste een reactie