Mkb isoleert zich door beperkt bewustzijn cyberdreiging

Bron: rapport ABN AMRO
mei 03, 2023 · 10 min lezen

Cybercriminelen verleggen hun aandacht naar kleinere bedrijven, zo blijkt uit onderzoek van ABN AMRO onder 233 zakelijke klanten. Waar vorig jaar het grootbedrijf nog significant meer werd aangevallen dan het mkb, zijn die verschillen nu nog marginaal. Kleinere bedrijven lijken op deze ontwikkeling weinig acht te slaan; hun risicoperceptie is gelijk gebleven.

Bij grotere organisaties steeg de risicoperceptie wel sterk. Kleine bedrijven moeten dan ook het been bijtrekken, mede om te voorkomen dat ze als gevolg van nieuwe wetgeving geen opdrachten meer krijgen.

Hoewel veel bedrijven zich veilig wanen, is de kans groot dat zij vroeg of laat slachtoffer worden van cybercriminaliteit. Bedrijven zijn namelijk digitaal op allerlei manieren met elkaar vervlochten. Onlangs meldden meerdere marktonderzoeksbureaus datalekken nadat een hack op softwareleverancier Nebu de deur naar de privégegevens van zeker twee miljoen Nederlanders wijd open had gezet. Deze bureaus, veelal in de mkb-categorie, peilen de klanttevredenheid namens grotere organisaties zoals NS, VodafoneZiggo en CZ.

Bron: ABN AMRO en MWM2

Terwijl bedrijven in rap tempo hun IT-landschap uitbreiden, voegen daarnaast ook kwaadwillenden steeds meer innovatieve technologieën toe aan hun gereedschapskist. Zo helpt kunstmatige intelligentie met het razendsnel kraken van wachtwoorden, het vormgeven van overtuigende ‘phishing’-campagnes, en de creatie van kwaadaardige programma’s die zichzelf automatisch verbeteren. “Bedrijven lopen steeds verder achter op de hackersgemeenschap”, zegt Matthijs Blokker van cyberveiligheidsbedrijf MMOX.

“Het beperkte gevoel van urgentie bij kleinere bedrijven wordt ook herkend door Frank Breedijk. Vanuit zijn rol als CISO bij IT-dienstverlener Schuberg Philis schakelt hij met grotere bedrijven. Als ‘ethisch hacker’ voor de stichting Dutch Institute for Vulnerability Disclosure (DIVD) ziet hij daarnaast ook hoe het er soms in het mkb aan toegaat. “Als ik een security-issue meld bij een klein bedrijf, krijg ik regelmatig iets terug in de trant van: dankjewel, ik zal het aan de systeembeheerder melden. Alleen blijkt deze lang niet alle dagen te werken, terwijl juist haast geboden is.” Met een dergelijke houding maken bedrijven zich tot een gemakkelijk doelwit. Breedijk: “Een cyberaanval kan iedereen overkomen, maar degenen die hun beveiliging het slechtst op orde hebben zijn als eerste aan de beurt.”

Frank Breedijk, CISO Schuberg Philis

Beperkt gevoel van urgentie bij mkb

Een integrale aanpak van cyberweerbaarheid is vereist om de toenemende bedreiging van phishing, malware en ransomware in te dammen. Toch wordt die urgentie niet over de gehele linie gevoeld. Terwijl het percentage ervaringsdeskundigen in het midden- en kleinbedrijf (mkb) en onder zelfstandigen (zzp’ers) in rap tempo toeneemt, is hun risicoperceptie ten opzichte van vorig jaar praktisch gelijk gebleven.

Onder de grootste organisaties daarentegen laat de risicoperceptie een duidelijke stijging zien. Omdat grote bedrijven in de regel met meer partners samenwerken, meer toeleveranciers hebben en meer klanten bedienen, zijn zij meer kwetsbaar voor cyberaanvallen. Die kwetsbaarheden via derden worden door kwaadwillenden momenteel volop benut, met name middels aanvallen op IT-bedrijven die een breed scala aan klanten bedienen.

Bron: ABN AMRO en MWM2

Kritische blik op ketenpartners

Met het toenemende risicobewustzijn van grote bedrijven groeien ook de cybersecuritystandaarden waaraan zij hun partners houden. Kleinere bedrijven riskeren dat zij de cyberveiligheidstoets van hun grotere klanten niet doorstaan en zichzelf buiten spel zetten, los van schade aan hun eigen bedrijf. En het zijn juist de kleine bedrijven die voor het eerst meer door cybercriminaliteit worden geraakt dan grote.

“Er is sprake van een waterbed-effect”, zegt Breedijk van Schuberg Philis. “Cybercriminelen verleggen hun aandacht van het grootbedrijf naar het mkb.” Grote organisaties houden de cyberweerbaarheid van hun partners en leveranciers daarom kritisch tegen het licht. “Ze gaan steeds hogere eisen stellen aan hun toeleveranciers”, zegt Breedijk van Schuberg Philis. “En hebben deze hun cybersecurity niet goed voor elkaar, dan doen ze geen zaken.”

Frank Breedijk, CISO Schuberg Philis

De kritische blik op ketenpartners zal nog extra worden versterkt door nieuwe Europese regelgeving op het gebied van cybersecurity. NIS2, de opvolger van de eerdere Network and Information Systems-richtlijn (NIS), spoort namelijk bedrijven aan om afspraken rond cyberveiligheid contractueel vast te leggen met hun directe leveranciers en partners. Ondanks dat NIS2 niet van toepassing is op de kleinste bedrijven, zullen grotere klanten naar aanleiding van de nieuwe wet wel degelijk met kritische vragen kunnen komen.

Het is dan ook belangrijk dat cyberveiligheid binnen bedrijven een integraal onderdeel is van de bedrijfsvoering. Wat dat betreft ziet Erik Michielen, managing consultant bij SEQRIT, een positieve trend. “Eindelijk zitten er ook directeuren aan de tafel om mee te denken over cyberveiligheid.”

“Met de afhankelijkheid van verschillende clouddiensten, open source-softwarecomponenten waar ontwikkelaars gretig gebruik van maken en nieuwe technologie die in rap tempo wordt ingebed in de bedrijfsvoering, groeit het aanvalsoppervlak. Ook worden IT-landschappen steeds complexer. “We maken met zijn allen een enorme IT-ontwikkeling mee”, vertelt Breedijk van Schuberg Philis. “Functionaliteit wordt op functionaliteit gestapeld, maar zonder de aandacht die nodig is om ook op securityniveau bij te blijven.”

Frank Breedijk, CISO Schuberg Philis

Meer informatie

Lees hier volledige rapport 'Mkb isoleert zich door beperkt bewustzijn cyberdreiging'.

Meer weten?

Neem contact op met Frank Breedijk.

Stuur mij een e-mail \