De digitale wereld blijft veranderen, en daarmee ook de cyberrisico’s. Hoewel bedrijven van elke omvang hier geconfronteerd mee worden, zijn deze risico’s voor mkb-bedrijven vaak nog groter door beperkte middelen en expertise op het gebied van digitale beveiliging.
Veel mkb-bedrijven blijven achter met hun cyberweerbaarheid, zo luidde de conclusie van de Cyber Security Raad in april dit jaar. In hun onderzoek, uitgevoerd door Deloitte, bleek dat de mkb-sector onvoldoende cyberbewustzijn en -kennis heeft, onvoldoende inzicht in risico’s en handelingsperspectief heeft, en niet genoeg kennis heeft om te bepalen hoeveel en waarin geïnvesteerd moet worden. Daarnaast noemde het rapport vijf externe factoren die ook bijdragen aan de cyberweerbaarheidsproblemen, namelijk:
- Een algemeen tekort aan personeel in Nederland met expertise in ICT en cyberveiligheid
- Een beperkte toepasbaarheid van de huidige cyberrichtlijnen voor het mkb
- De afhankelijkheidsrisico’s in toeleveringsketen
- De beperkte vindbaarheid van (overheids-)hulpmiddelen
- Een veranderend dreigingslandschap
Al deze factoren dragen ertoe bij dat de mkb-sector kwetsbaar is voor aanvallen. En dit moet veranderen, zo zegt Deloitte. De mkb-sector genereert aanzienlijke werkgelegenheid, speelt een belangrijke rol in het Nederlandse innovatie- en concurrentievermogen, en draagt bij aan regionale ontwikkeling en sociale cohesie. Zeker gezien het continu veranderende dreigingslandschap is het daarom essentieel dat deze organisaties het vermogen hebben om hun cyberweerbaarheid te versterken – en de hele Nederlandse mkb-sector zo cybervolwassen mogelijk te maken.
De grootste dreigingen in 2024
Waartegen moet je je eigenlijk beschermen? Het dreigingslandschap verandert continu, en het is belangrijk om je beveiliging hier ook op aan te blijven passen. Dreigingen die momenteel spelen zijn:
- Gijzelsoftware (ransomware)
Schadelijke software die toegang tot systemen of gegevens blokkeert totdat er losgeld wordt betaald. - DDoS-aanvallen (Distributed Denial of Service)
Aanvallen waarbij meerdere systemen worden gebruikt om een netwerk, server of website te overspoelen met verkeer, waardoor deze onbereikbaar wordt. - Malware
Schadelijke software die ontworpen is om schade toe te brengen aan, of ongeautoriseerde toegang te verkrijgen tot een computersysteem. - Social engineering
Technieken waarbij aanvallers menselijk gedrag manipuleren om vertrouwelijke informatie te verkrijgen of toegang tot systemen te krijgen. - Data-aanvallen
Aanvallen die gericht zijn op het stelen, wijzigen of vernietigen van gegevens. - Desinformatie & misinformatie
Het opzettelijk verspreiden van valse of misleidende informatie. - Aanvallen op toeleveringsketens
Aanvallen die zich richten op kwetsbaarheden bij leveranciers of partners om zo toegang te krijgen tot het netwerk van een groter doelwit.
Aanvallers kunnen op veel verschillende manieren bij een bedrijf binnendringen. ‘Wij proberen daarom samen met een bedrijf te begrijpen waar hun kwetsbaarheden liggen’, zo zegt Stef Liethoff. ‘Denk bijvoorbeeld aan je netwerktekening. Is deze up to date, weet je hoe alles met elkaar is verbonden heen lopen? En als dat niet zo is, dan helpen we je daarmee.’
Wat als het misgaat?
Wat zijn de gevolgen van een hack? Natuurlijk zijn er de directe en indirecte financiële gevolgen:
- Directe financiële schade: Cybercriminelen kunnen geld stelen door bankrekeningen te hacken, facturen te vervalsen of ransomware te installeren en losgeld te eisen.
- Kosten van herstel: Het herstellen van systemen, het onderzoeken van de aanval en het versterken van de beveiliging kost geld.
- Verlies van omzet: Bedrijven kunnen inkomsten verliezen door uitvaltijd of verloren orders.
Maar ook kan een bedrijf te maken krijgen met juridische gevolgen, denk bijvoorbeeld aan:
- Boetes en sancties: Bedrijven kunnen boetes krijgen als ze niet voldoen aan wettelijke vereisten voor gegevensbescherming: denk bijvoorbeeld aan de GDPR-wetgeving en NIS2.
- Rechtszaken: Klanten of partners kunnen rechtszaken aanspannen als hun gegevens zijn gestolen of misbruikt.
Daarnaast zijn er ook de gevolgen voor de reputatie van een bedrijf:
- Negatieve publiciteit: Media-aandacht voor een cyberaanval kan leiden tot een slechte reputatie, wat toekomstige zaken kan schaden.
- Verlies van klantvertrouwen: Als klanten weten dat hun persoonlijke of financiële gegevens zijn gestolen, kunnen ze hun vertrouwen in een bedrijf verliezen.
Cybersecurity als strategie
De cyberweerbaarheid verbeteren om bovenstaande gevolgen te vermijden is een logische stap. Maar het verbeteren van de cyberveiligheid heeft nog een voordeel, zo zegt Stef Liethoff, oprichter van SBL. ‘Wij zien dat klanten meer vertrouwen krijgen van grote partijen zodra ze met ons samenwerken. Wanneer wij bij bedrijven op regelmatige basis assessments uitvoeren, en continu hun netwerk in de gaten houden, geeft dat eigenlijk een garantie af aan die grote klanten. Zij weten, onze partner heeft hun zaken goed op orde.’
Op deze manier wordt cybersecurity deel van de bedrijfsstrategie: wanneer een bedrijf de cyberweerbaarheid op orde heeft en dat ook aantoonbaar kan maken, wordt het ook gemakkelijker nieuwe klanten binnen te halen.