Cybercriminelen verleggen hun aandacht naar kleinere bedrijven, zo blijkt uit onderzoek van ABN AMRO onder 233 zakelijke klanten. Waar vorig jaar het grootbedrijf nog significant meer werd aangevallen dan het mkb, zijn die verschillen nu nog marginaal. Kleinere bedrijven lijken op deze ontwikkeling weinig acht te slaan; hun risicoperceptie is gelijk gebleven.
Bij grotere organisaties steeg de risicoperceptie wel sterk. Kleine bedrijven moeten dan ook het been bijtrekken, mede om te voorkomen dat ze als gevolg van nieuwe wetgeving geen opdrachten meer krijgen.
Hoewel veel bedrijven zich veilig wanen, is de kans groot dat zij vroeg of laat slachtoffer worden van cybercriminaliteit. Bedrijven zijn namelijk digitaal op allerlei manieren met elkaar vervlochten. Onlangs meldden meerdere marktonderzoeksbureaus datalekken nadat een hack op softwareleverancier Nebu de deur naar de privégegevens van zeker twee miljoen Nederlanders wijd open had gezet. Deze bureaus, veelal in de mkb-categorie, peilen de klanttevredenheid namens grotere organisaties zoals NS, VodafoneZiggo en CZ.
Terwijl bedrijven in rap tempo hun IT-landschap uitbreiden, voegen daarnaast ook kwaadwillenden steeds meer innovatieve technologieën toe aan hun gereedschapskist. Zo helpt kunstmatige intelligentie met het razendsnel kraken van wachtwoorden, het vormgeven van overtuigende ‘phishing’-campagnes, en de creatie van kwaadaardige programma’s die zichzelf automatisch verbeteren. “Bedrijven lopen steeds verder achter op de hackersgemeenschap”, zegt Matthijs Blokker van cyberveiligheidsbedrijf MMOX.
Beperkt gevoel van urgentie bij mkb
Een integrale aanpak van cyberweerbaarheid is vereist om de toenemende bedreiging van phishing, malware en ransomware in te dammen. Toch wordt die urgentie niet over de gehele linie gevoeld. Terwijl het percentage ervaringsdeskundigen in het midden- en kleinbedrijf (mkb) en onder zelfstandigen (zzp’ers) in rap tempo toeneemt, is hun risicoperceptie ten opzichte van vorig jaar praktisch gelijk gebleven.
Onder de grootste organisaties daarentegen laat de risicoperceptie een duidelijke stijging zien. Omdat grote bedrijven in de regel met meer partners samenwerken, meer toeleveranciers hebben en meer klanten bedienen, zijn zij meer kwetsbaar voor cyberaanvallen. Die kwetsbaarheden via derden worden door kwaadwillenden momenteel volop benut, met name middels aanvallen op IT-bedrijven die een breed scala aan klanten bedienen.
Kritische blik op ketenpartners
Met het toenemende risicobewustzijn van grote bedrijven groeien ook de cybersecuritystandaarden waaraan zij hun partners houden. Kleinere bedrijven riskeren dat zij de cyberveiligheidstoets van hun grotere klanten niet doorstaan en zichzelf buiten spel zetten, los van schade aan hun eigen bedrijf. En het zijn juist de kleine bedrijven die voor het eerst meer door cybercriminaliteit worden geraakt dan grote.
De kritische blik op ketenpartners zal nog extra worden versterkt door nieuwe Europese regelgeving op het gebied van cybersecurity. NIS2, de opvolger van de eerdere Network and Information Systems-richtlijn (NIS), spoort namelijk bedrijven aan om afspraken rond cyberveiligheid contractueel vast te leggen met hun directe leveranciers en partners. Ondanks dat NIS2 niet van toepassing is op de kleinste bedrijven, zullen grotere klanten naar aanleiding van de nieuwe wet wel degelijk met kritische vragen kunnen komen.
Het is dan ook belangrijk dat cyberveiligheid binnen bedrijven een integraal onderdeel is van de bedrijfsvoering. Wat dat betreft ziet Erik Michielen, managing consultant bij SEQRIT, een positieve trend. “Eindelijk zitten er ook directeuren aan de tafel om mee te denken over cyberveiligheid.”