Afgelopen zomer publiceerden ABN AMRO en MWM2 een van de vele recente onderzoeken naar cybercrime en cybersecurity in Nederland. Een zin uit het onderzoek trok mijn aandacht: “Bedrijven schatten het risico op cybercriminaliteit veel lager in dan vóór de crisis.” Tweederde van de ondervraagden zag cybercriminaliteit niet als een groot risico voor de organisatie. Een cijfer dat in schril contrast staat met het nieuws en met de statistieken. Hoe kan het dat cijfers en bewustzijn zo ver uiteenlopen?
Eerst de cijfers: in 2021 vormde cybercrime een donkere wolk boven het online ondernemen. Mondiaal rapporteerde de Anti Phishing Working Group dat het aantal phishingaanvallen record na record brak. In juli werden voor het eerst meer dan een kwart miljoen aanvallen per maand gemeld. Een record dat daarna meermalen gebroken werd. In Nederland rapporteerde de politie al in het eerste kwartaal een verdubbeling in het aantal aangiften van digitale misdrijven. Daarbij bleef het niet bij kleine criminaliteit. De schade van sommige groots opgezette fraudezaken en ransomware-aanvallen liep in de miljoenen.
Wat in deze piek opvalt is dat de daders vaak gebruikmaken van menselijke zwakheden bij bedrijven. Door zich voor te doen als iemand anders of door medewerkers te verleiden op links in mail te klikken, verschaffen zij zich toegang, waarna ze enorme schade kunnen aanrichten. Ondernemers verkijken zich vaak op deze factor. Gevraagd naar hun maatregelen tegen cybercrime, wijzen zij vooral op technische voorzieningen, zoals firewalls en antivirusprogramma’s.
Niet alleen wordt de menselijke factor soms over het hoofd gezien, ook de uitvoering van de technische maatregelen belandt organisatorisch vaak tussen wal en schip. In het mkb wordt ICT meestal uitbesteed aan een leverancier en is de organisatie zelf te klein voor het aanstellen van een dedicated securityprofessional. In 2019 gaf 80% van de ondernemingen in ons onderzoek Trends in Online Security & e-Identity aan dat ze er op vertrouwen dat de leverancier zijn zaakjes voor elkaar heeft. Maar wie is de gesprekspartner van die leverancier? Bij ICT’ers en inkopers in het mkb ontbreekt het vaak aan specifieke kennis van cybersecurity.
Een derde factor die bijdraagt aan onderschatting is dat de werkwijze van cybercriminelen fundamenteel anders is dan die van ‘gewone’ criminelen. Waar gewone criminelen vaak gespitst zijn op de sector waarin een onderneming actief is, de waarde van de activa en de verhandelbaarheid, kijken cybercriminelen veel meer naar de technische kwetsbaarheid. Draait een bedrijf verouderde software op zijn webserver? Dan is de kans groot dat de beveiliging ook elders niet op orde is. Wat het bedrijf doet is niet relevant, het gaat erom wat de crimineel kan verdienen.
Bij identiteitsfraude lijkt de selectie van getroffen ondernemingen soms zelfs volledig random. Een voorbeeld is de case van een groothandel in Aziatische zoutjes, waarvan de identiteit gebruikt werd om een fake webwinkel voor mondkapjes op te tuigen. In andere gevallen worden opgeheven domeinnamen van legitieme bedrijven waar nog verkeer op binnenkomt gebruikt, omdat deze nog in Google geïndexeerd worden. Zo kan het zijn dat een nepsite goedkope sneakers aanbiedt op de domeinnaam van een wijnhandel.
Mede daarom merken wij bij SIDN dat steeds meer ondernemingen op internet het gebruik van hun merknaam actief monitoren. Zijn er sites actief waar wij niet van weten? Handelt iemand uit onze naam online? Tot voor kort een activiteit die was voorbehouden aan overheden en grote financiële instellingen. Recentelijk zien wij dat ook middelgrote ondernemingen of ondernemingen die geheel online actief zijn dit doen. SIDN zag het aantal aanvragen voor merkbewaking in 2020 en 2021 daarom fors toenemen.
Voor ondernemers in het mkb is de eerste stap echter bewustzijn. Bewustzijn dat cybersecurity begint met awareness, met de menselijke factor. Dat het niet alleen een bijzaak is die je geheel aan je leverancier overlaat, maar een cruciale factor in je bedrijfsvoering, waar je je als ondernemer actief mee bezig moet houden. Online ondernemen is een steeds sterker fundament onder onze economie. Laat cybercriminelen dat niet aantasten.
Geef als eerste een reactie