Cyberweerbaarheid ondernemers blijft achter bij realiteit

Lees alle feiten en ontwikkelingen in het rapport 'Cyberweerbaarheid Nederland blijft achter bij geopolitieke realiteit'.

Vrijwel alle ondervraagde bedrijven met personeel geven aan ooit slachtoffer te zijn geweest van ten minste één cyberincident. In het grootbedrijf was dit 93 procent, tegenover 85 procent van de mkb-bedrijven en 67 procent van de zelfstandigen (zzp’ers).

Interessant genoeg hebben organisaties een sterk vertrouwen in hun vermogen om de eigen cyberveiligheid op orde te krijgen en houden. Een kwart van hen vindt dit “helemaal niet lastig”, en 55 procent “een beetje lastig”. Hoe kleiner de organisatie, hoe optimistischer de houding.

Die zelfverzekerdheid staat op gespannen voet met de realiteit. De cijfers over mkb’ers en zzp’ers wijzen eerder op kwetsbaarheid dan op controle. Zo ligt bij hen de nadruk op het beveiligen van apparaten, firewalls en antivirusprogramma’s, maar ontbreken veelal proactieve detectie van inbraken of plannen voor herstel na een hack. Grotere bedrijven nemen daarentegen een bredere set aan maatregelen en werken vanuit de reële aanname dat ze op een zeker moment (weer) geraakt zullen worden.

Gevraagd naar de specifieke hoek waaruit de dreiging voor de organisatie komt, worden vooral cybercriminelen genoemd (52 procent van de ondervraagden), gevolgd door individuele hackers (24 procent) en de eigen medewerkers (13 procent). Statelijke actoren werden het minste genoemd, door slechts 9 procent van de organisaties.

De actualiteit laat echter een ander beeld zien. Eind april werden tientallen Nederlandse websites belaagd door een pro-Russische hackersgroep, als vergelding voor de militaire steun aan Oekraïne. Ook vervagen de grenzen tussen cybercriminelen en statelijke actoren. Zo maken overheden steeds vaker gebruik van toegang die is verkregen via criminele derden (‘initial access brokers’), huren ze commerciële hackers in, of laten ze cyberaanvallen uitvoeren via schijnbaar onafhankelijke groepen van ideologisch gemotiveerde hackers (‘hacktivisten’). In Rusland en Iran zijn er sterke aanwijzingen dat ransomware-groepen bewust worden gedoogd of zelfs gestuurd door inlichtingendiensten.

In een wereld waar landen en bedrijven sterk digitaal verbonden zijn en macht ook via de digitale weg wordt uitgeoefend, kiest de Europese Unie ondertussen voor een duidelijke strategie. Ze wil minder afhankelijk zijn van buitenlandse technologie en haar eigen markt beter beschermen tegen cyberdreiging. Een voorbeeld hiervan is de NIS2-richtlijn, die een breed scala aan organisaties verplicht om hun cyberweerbaarheid naar een minimaal niveau te tillen – van de energiesector en voedingsmiddelenindustrie tot transportbedrijven en digitale diensten.

Hoewel de richtlijn in de loop van dit jaar in Nederlandse wetten zal zijn verankerd, is NIS2 nog niet overal doorgedrongen. Twee derde van het grootbedrijf zegt de nieuwe wetgeving te kennen, maar bij mkb-organisaties is dat minder dan de helft. Dat is weinig, zeker gezien het feit dat NIS2-plichtige bedrijven ook de digitale kwetsbaarheden van toeleveranciers, klanten en partners in beeld moeten hebben.

Het merendeel van deze bedrijven denkt grotendeels te voldoen, al moet meer dan de helft nog de laatste stappen zetten om volledig compliant te worden. De intentie en richting vanuit Europa zijn duidelijk, maar in de praktijk is er werk aan de winkel om het brede dreigingsbeeld het hoofd te bieden.

Beluister het fragment met Sector Banker Julia Krauwer over de cyberweerbaarheid van ondernemers.

Lees alle feiten en ontwikkelingen in het rapport 'Cyberweerbaarheid Nederland blijft achter bij geopolitieke realiteit'.

Lees verder in de technologiesector

Technologie, Media & Telecom (TMT) is een van de snelst groeiende sectoren. Geholpen door de toenemende inzet van software, algoritmen en sensoren staat deze sector aan de basis van de digitale vernieuwing van andere sectoren.

Bekijk alle artikelen