Schrikbarende cijfers cybercriminaliteit: mkb'ers onderschatten gevaren flink

De grootste reden waarom mkb-bedrijven zich geen zorgen maken, is omdat ze denken dat ze goed beschermd zijn, laat het onderzoek zien. Of ze denken dat hun bedrijf niet interessant is of te klein voor een cyberincident. Er deden meer dan 300 bedrijven mee. Die zorgeloosheid blijkt niet terecht, want want ook uit een groter onderzoek van het het Centraal Bureau van de Statistiek over 2016, blijkt dat één op de vijf bedrijven slachtoffer is geweest van een cyberaanval. En bij bijna de helft leidde dit tot extra kosten.

Dat kan voorkomen worden, zegt Nicole Mallens van ondernemingsorganisatie VNO-NCW. “De meeste mkb’ers nemen wel een aantal technische basismaatregelen. Denk dan aan een firewall, een virusscanner of het maken van backups. Maar”, zegt ze, “er is ook een groep mkb’ers die deze technische basismaatregelen niet neemt. En helaas, zijn deze technische maatregelen niet altijd up to date. Er zijn ook technische maatregelen die minder vaak worden genomen, zoals encryptie en monitoring. Vaak ontbreekt dan de kennis.”

Betere bescherming

Mkb-bedrijven zouden zichzelf dus beter moeten leren beschermen, of het misschien moeten uitbesteden? Dat laatste gebeurt al veel, geeft Mallens aan. "Veel mkb’ers besteden de IT uit en hopen dat het daarmee goed is geregeld. De bedrijven willen graag geholpen worden om de cybersecurity te versterken en willen informatie ontvangen via branche-orgnisaties.” Maar daarvoor moet het bedrijf zelf wel stappen nemen.

Ook uit het onderzoek van Centraal Beheer blijkt dat ICT-beheerders zich meer zorgen maken om de digitale veiligheid, dan de ondernemer zelf.

Nog een voorbeeld is bijvoorbeeld dat er weinig organisatorische maatregelen worden genomen. Ook daar valt nog een grote winst te behalen, zegt Mallens. “Veel mkb’ers hebben bijvoorbeeld geen intern beleid met betrekking tot online gedrag en een verplichting om wachtwoorden te veranderen.” En dat het van binnenuit beter moet, blijkt ook uit de cijfers van het onderzoek van het CBS. Grotere bedrijven hebben namelijk vaker last van ICT-incidenten, maar slechts 41% van die incidenten was door aanvallen van buitenaf. Waar zou die overige 59% van die incidenten vandaan komen?

Taboe

Dat het onderwerp cybercriminaliteit nog een taboe is om over te praten, blijkt ook bij het schrijven van dit artikel. Na het benaderen van meerdere bedrijven die in de afgelopen jaren een cyberaanval hebben gehad, wilde er slechts eentje een korte reactie geven. Namelijk het farmaceutische bedrijf MSD (Merck Sharp & Dohme), met vier Nederlandse vestigingen. In juni 2017 hadden zij te maken met een cyperaanval op hun netwerk, waardoor zelfs hun fabrieken even plat lagen.

Een ransomware-virus genaamd Petya greep wereldwijd om zich heen, met meerdere slachtoffers. Naast MSD, lagen bijvoorbeeld een aantal containerterminals in de Rotterdamse haven eruit en de websites meerdere banken lagen plat. Het virus zorgde ervoor dat data en documenten werden geblokkeerd. Om dat terug te krijgen werd om een betaling van bitcoins gevraagd. MSD zegt hier alleen het volgende over: "Eind juni 2017 hebben we een netwerk-cyberaanval ervaren die heeft geleid tot een verstoring van onze wereldwijde activiteiten, waaronder productie-, onderzoeks- en verkoopactiviteiten. We verwachten dat er in de toekomst meer geïnvesteerd zal worden in onze IT-infrastructuur."

Angst

De meeste bedrijven willen niet reageren uit angst dat ze informatie weggeven, waardoor ze opnieuw in de spotlight van criminelen komen te staan. Het is duidelijk dat er nog nog een hele wereld te winnen bij de online veiligheid van veel mkb-bedrijven. Door werknemers te leren hoe ze een foute email of website herkennen, kan al heel wat voorkomen worden.