Dat zijn de resultaten van een onderzoek dat werd geïnstigeerd door het Eindhovense ICT-bedrijf ACA IT-Solutions en gehouden in samenwerking met onder andere brancheorganisatie MKB Eindhoven. 195 bedrijven werden ondervraagd over de maatregelen die ze treffen om cyberaanvallen tegen te gaan. Bedrijven uit uiteenlopende sectoren in de provincie Noord-Brabant deden mee aan het onderzoek, van kleine met 2 fte tot grote ondernemingen met 999 fte. Van de ondervraagde bedrijven zijn er twaalf actief in de transportsector.

‘We zien in alle sectoren dezelfde tekortkomingen’, zegt Michael Waterman, cybersecurity architect bij ACA. ‘Voor de transportsector is niet een specifieke oplossing te bieden, het beeld is in alle sectoren hetzelfde. Het basisniveau moet omhoog.’ 20% van de bedrijven maakt nog altijd geen gebruik van meervoudige verificatie, terwijl dat nu als onderdeel van de basisbeveiliging gezien wordt. Back-ups worden door bijna alle bedrijven gemaakt, maar worden lang niet altijd getest op bruikbaarheid en veiligheid.

Lange tijd waanden mkb’ers zich veilig. Het waren eerst vooral grote bedrijven die slachtoffer werden van gerichte cyberaanvallen. De tactiek van de aanvallers is de laatste tijd gewijzigd, nu kiezen ze vaak voor een opzet waarbij een groot aantal kleinere bedrijven tegelijkertijd wordt benaderd.

Reputatieschade

‘Vaak is het een beetje met hagel schieten, met massale phishingcampagnes, het gereedschap daarvoor is makkelijk te verkrijgen’, legt Waterman uit. ‘Software waarmee je een aanval kunt opzetten, is vanaf 2017 breder beschikbaar gekomen op het deepweb. Voor relatief weinig geld. Je hebt tegenwoordig minder gespecialiseerde kennis nodig om binnen te komen.’

En niet alleen digitale beveiliging is belangrijk. Bij 25,8% van de ondervraagde bedrijven kunnen ongenode gasten zonder controle daadwerkelijk fysiek naar binnen lopen. Daar komt bij dat van de helft van de respondenten de laptop niet automatisch vergrendelt of pas na een kwartier. ACA raadt in het rapport aan om de laptop altijd te vergrendelen als de werkplek wordt verlaten. 56,3% van de bedrijven heeft een calamiteitenplan klaar voor het geval zich een aanval voordoet. Bij een datalek is er sinds 2016 een meldplicht van 72 uur. Dat om de schade te beperken en getroffen partijen op tijd te kunnen inlichten.

Hackers die werken met gijzelsoftware vragen vaak een percentage van de jaaromzet van een bedrijf. ‘Meestal is dat 3 tot 5%’, aldus Waterman. ‘En vergeet niet wat voor reputatieschade je oploopt. Je kunt nog claims krijgen omdat je niet meer kan leveren of toeleveranciers niet meer kan betalen. Een aanval heeft heel veel consequenties.’ Toch is bijna de helft van de respondenten niet verzekerd tegen een cyberaanval.

Phishing

Ruim 80% van de ondervraagde bedrijven is zich wel bewust van de risico’s van cyberaanvallen, meer dan de helft van hen heeft zelfs al eens te maken gehad met een cyberaanval. Ondanks de slechte ervaringen wordt de mens nog steeds bestempeld als zwakste schakel.

Dat blijkt uit het feit dat driekwart van de ondervraagden geneigd is om elke link aan te klikken die ze toegestuurd krijgen. Het verzenden van valse links, phishing, is een van de meest voorkomende vormen van internetfraude. Wanneer je zo’n link aanklikt, kunnen ­hackers vaak toegang krijgen tot je systeem.

Volgens Waterman zou de mens juist de sterkste schakel in digitale beveiliging kunnen zijn. Op het moment dat al het personeel zich bewust is van de risico’s van valse links, kan dat het aantal hacks drastisch verminderen, zegt hij. Daarbij is vooral openheid van zaken belangrijk. ‘Breed genomen heeft het mkb een tekort aan kennis en bewustwording. Vaak wordt er ook geen prioriteit aan gegeven vanuit de directie. Er zijn bedrijven die het redelijk goed voor elkaar hebben, maar er zijn ook organisaties, en dat zijn er helaas meer, die in de waan leven dat het nog vijftien jaar geleden is.’

Aanbevelingen

Bedrijven waar een open cultuur heerst, hebben volgens Waterman minder risico om slachtoffer te worden van digitale inbrekers. ‘Als het management heel benaderbaar is en je even kunt aankloppen om iets na te vragen, zijn phishingcampagnes minder succesvol. Op het moment dat die afstand groter is, worden er eerder fouten gemaakt.’

Het rapport doet een serie aanbevelingen om digitale beveiliging relatief eenvoudig op te schalen. Zo is het volgens ACA belangrijk om cybersecurity bij de directie aan te kaarten en frequent op de agenda te zetten. Het maken van back-ups is ook belangrijk, inclusief regelmatig testen op cyberveiligheid. Verder wordt aangeraden om meervoudige verificatie toe te passen op alle systemen en applicaties.

Applicaties en systemen moeten regelmatig bijgewerkt worden om bij te zijn met de laatste beveiliging. Bovendien kunnen organisaties meer aandacht besteden aan wie toegang heeft tot welke data en of zulke toegang wel nodig is. Bij ruim 40% van de respondenten is de organisatie niet ervaren in het beheer van accounts met meer rechten. Accounts hebben vaak toegang tot onnodig veel data of moeten eigenlijk meer verdedigings-lagen krijgen.

Calamiteitenplan

Een andere tip is om netwerken in de delen in kleinere segmenten. Als een van de netwerken besmet wordt, kan de schade eenvoudig beperkt worden. Mocht het alsnog fout gaan, dan is het belangrijk om een calamiteitenplan te hebben. Veel werknemers hebben onvoldoende kennis van cybersecurity. De Algemene Verordening Gegevensbescherming (AVG) die sinds 2018 in Nederland van kracht is, kennen de meeste mensen nog wel, maar cyberweerbaarheid gaat verder dan dat.

Ook al is digitale veiligheid nog een zwak punt binnen veel bedrijven, ACA ziet wel langzaam verbetering optreden. Het ICT-bedrijf wil het onderzoek over twee jaar herhalen om te zien hoe de vlag er dan bij hangt. Als de aanbevelingen worden opgevolgd, zo hoopt het bedrijf, dan moet het Brabantse mkb dan al een stuk veiliger kunnen opereren.

U las zojuist één van de gratis premium artikelen

Onbeperkt lezen? Sluit nu een abonnement af

Start abonnement