Mkb niet klaar voor nieuwe digitale risico’s

Zo vergroot artificial intelligence (AI) de cyberdreiging doordat kwaadwillenden deze technologie inzetten en doordat datalekken ontstaan na onzorgvuldig gebruik van externe AI-tools als ChatGPT en Claude. Bijna een derde van het midden- en kleinbedrijf (mkb) maakt zich zorgen over medewerkers die gevoelige informatie met zulke assistenten delen. Tegelijk gebruikt 78 procent van deze organisaties – met een jaaromzet tot 25 miljoen euro – in enige mate AI, terwijl passende beheersmaatregelen vaak ontbreken: slechts 9 procent heeft formeel beleid voor het gebruik van externe AI-oplossingen, tegenover 32 procent van de grote bedrijven.

In het mkb ontbreekt vaak een actueel beeld van kwetsbaarheden; nauwelijks een derde van de organisaties voerde het afgelopen jaar een risicoscan uit. Bij grootbedrijven deed iets meer dan de helft dat. Ook de basis om cyberincidenten goed op te vangen is bij veel mkb-bedrijven nog niet op orde. Dat is risicovol, zeker nu AI aanvallen versnelt en de reactietijd voor organisaties verkort.

Slechts 26 procent heeft een formeel responsplan voor cyberincidenten, tegenover 49 procent van het grootbedrijf, en 43 procent van de mkb’ers heeft nog nooit een cyberaanval geoefend. Bovendien investeert het grootbedrijf een veel hoger percentage van de omzet in cybersecurity en heeft het veel vaker afspraken met ketenpartners gemaakt over digitale veiligheid dan het mkb.

Tegelijk laten de cijfers zien dat organisaties op sommige punten wel degelijk vooruitgang boeken. Het aandeel bedrijven dat een cyberincident meemaakte, is gedaald. Die afname komt vooral uit het mkb, waar het aandeel getroffen bedrijven terugliep van 72 naar 60 procent. Ook onder zzp’ers nam dit aandeel af, van 57 naar 48 procent. Bij grotere organisaties was die daling al een jaar eerder ingezet: daar daalde het aandeel getroffen bedrijven eerst van 86 naar 79 procent en dit jaar verder naar 76 procent.

Ook het aandeel bedrijven dat schade leed door een cyberaanval daalde, van 20 naar 15 procent. Die afname komt vooral door het grootbedrijf: daar zakte het percentage organisaties met schade van 29 procent vorig jaar naar 21 procent dit jaar. Bij mkb’ers en zzp’ers was eveneens sprake van een daling, maar minder sterk: van 20 naar 17 procent in het mkb en van 9 naar 6 procent onder zzp’ers. Deze ontwikkelingen zijn bemoedigend en wijzen erop dat organisaties beter grip krijgen op bekende risico’s, bijvoorbeeld door investeringen in basishygiëne, e-mailbeveiliging en snellere detectie van verdachte activiteiten.

Maar de dalende cijfers vertellen niet het hele verhaal. Hoewel de mate verschilt, zijn veel organisaties afhankelijk van een klein aantal cloud- en AI-aanbieders. Bijna de helft van de Nederlandse bedrijven ervaart een gedeeltelijke tot zeer grote afhankelijkheid van Amerikaanse tech-bedrijven: 35 procent van de zzp’ers, 46 procent van de mkb’ers en 60 procent van het grootbedrijf. Geopolitieke en juridische factoren vormen een risico voor de beschikbaarheid van buitenlandse digitale diensten.

Organisaties blijken op dit punt niet af te wachten. Bijna twee derde van de mkb’ers (63 procent) neemt al maatregelen om afhankelijkheden en de bijbehorende risico’s te verkleinen, vrijwel evenveel als in het grootbedrijf (69 procent). Opvallend is dat 17 procent van de mkb’ers al (deels) is overgestapt op Europese oplossingen, tegenover 12 procent van het grootbedrijf. Dat legt een interessant contrast bloot: grote organisaties beschikken vaak over meer cybervolwassenheid en formele beheersing, maar kleinere bedrijven zijn soms wendbaarder als ze daadwerkelijk moeten schakelen.

Lees alle feiten en ontwikkelingen in het rapport 'Mkb niet klaar voor nieuwe digitale risico's'.