80% mkb’ers was ooit doelwit van cybercriminelen

Steeds meer bedrijven in Nederland hebben wel eens te maken gehad met cybercriminaliteit, zo blijkt uit onderzoek van ABN AMRO onder 233 zakelijke klanten die eind- of medeverantwoordelijk zijn voor de cyberveiligheid van hun bedrijf. In 2023 geldt dit voor meer dan driekwart van de bedrijven, terwijl dit begin vorig jaar nog bij ‘slechts’ 45 procent het geval was. 

De toename onder mkb’ers gaat opvallend snel: inmiddels is tachtig procent van hen wel eens het doelwit geweest van cybercriminelen. Hiermee zijn aanvallen in het mkb-segment voor het eerst dieper doorgedrongen dan in het grootbedrijf, waarvan 75 procent te maken heeft gehad met cybercriminaliteit. Waar het grootbedrijf vorig jaar nog significant meer werd aangevallen dan het mkb, lijken criminelen hun aandacht volgens ABN AMRO nu te verleggen naar kleinere kwetsbare bedrijven. Hoewel de cyberdreiging onder mkb’ers flink is toegenomen, blijft de risicoperceptie van deze groep achter bij de daadwerkelijke dreiging. Zo ziet slechts 29 procent van de mkb’ers cybercriminaliteit als een groot risico, hetzelfde niveau als vorig jaar. Onder grootbedrijven laat de hoge risicoperceptie wel een duidelijke stijging zien: van 41 naar 64 procent van de bedrijven.

Innovatieve technologieën

Terwijl veel bedrijven in rap tempo hun IT-landschap uitbreiden, voegen criminelen daarnaast ook steeds meer innovatieve technologieën toe aan hun werkwijze. Zo helpt kunstmatige intelligentie hun met het razendsnel kraken van wachtwoorden, het vormgeven van overtuigende ‘phishing’-campagnes, en de creatie van kwaadaardige programma’s die zichzelf automatisch verbeteren. De aanvallen doen zich dan ook in allerlei gedaantes voor. ‘Phishing’ is het vaakst voorkomend: bijna twee derde (66 procent) van de bedrijven heeft hier wel eens mee te maken gehad. Via e-mails, sms- of WhatsApp-berichten en telefoontjes worden mensen verleid om een actie uit te voeren die later schadelijk blijkt. Ook met malware heeft een flink deel van de bedrijven ervaring (38 procent). De verspreiding van deze kwaadaardige programma’s gaat gemakkelijk in een tijdperk waarin de toegang tot software en softwarecomponenten met een paar muisklikken tot stand komt. Doordat de ontwikkelingen zo snel gaan, dreigen bedrijven achter te lopen op de hackersgemeenschap.

Regelgeving

Kwaadwillenden richten zich steeds vaker op IT-leveranciers, zoals cloudbedrijven, IT-dienstverleners en softwareontwikkelaars. Verstoringen in het IT-landschap van een bedrijf kunnen zowel de eigen operatie als die van ketenpartners raken. Ook vormen kwetsbaarheden in IT-systemen een potentiële ingang naar een grotere groep slachtoffers. ‘Om de toenemende bedreiging van phishing, malware en ransomware in te dammen, is een ketenbrede aanpak vereist. Die urgentie wordt echter nog onvoldoende gevoeld. Met name kleine bedrijven wapenen zich te weinig tegen deze vorm van criminaliteit’, zegt Julia Krauwer, Sector Banker Technologie, Media en Telecom van ABN AMRO.

‘De kritische blik op ketenpartners zal nog extra worden versterkt door nieuwe Europese regelgeving op het gebied van cybersecurity. NIS2, de opvolger van de eerdere Network and Information Systems-richtlijn (NIS), spoort namelijk bedrijven aan om afspraken rond cyberveiligheid contractueel vast te leggen met hun directe leveranciers en partners. Zij moeten daarom aandacht besteden aan hun eigen cybersecuritybeleid om kritische vragen van partners goed te kunnen beantwoorden. Bedrijven die hun cyberveiligheid niet goed op orde hebben – en dit zijn dus met name kleine bedrijven – dreigen zichzelf anders buitenspel te zetten.’