ABN Amro: Verfijndere cyberaanvallen nog geen wake-up call voor veel Nederlandse bedrijven

In 2023 kreeg bijna driekwart van de Nederlandse bedrijven te maken met een cyberaanval. Dat stelt ABN Amro na onderzoek onder 895 organisaties. ‘Ondanks het hoge dreigingsniveau blijft de risicoperceptie in het Nederlandse bedrijfsleven achter.’

Maar liefst 86 procent van het ondervraagde grootbedrijf – met een jaaromzet van minimaal 25 miljoen euro – was doelwit van cyberaanvallen. Bij middelgrote en kleine bedrijven gold dit voor 71 procent en onder zelfstandigen was dit 55 procent.

‘Ondernemers lijken de risico’s pas te onderkennen als een aanval tot schade leidt’, aldus de bank, ‘zoals in de vorm van kosten voor herstel van systemen, gederfde inkomsten door stilstand van het bedrijf of reputatieschade door gelekte klantgegevens.’

Inmiddels hebben aanvallen al bij 59 procent van het grootbedrijf en 43 procent van het mkb tot dergelijke schade geleid. Het aantal mkb- en zzp-bedrijven dat cybercriminaliteit als ‘veel’ of ‘heel erg veel’ risico beschouwt, is ondertussen afgenomen.

Intussen wordt de Europese wetgeving aangescherpt, waarmee het belangrijker wordt dat bedrijven hun cyberveiligheid op orde krijgen.

AI maakt cybercriminelen nog sterker

Volgens het onderzoek worden aanvallen van cybercriminelen steeds geraffineerder en verfijnder. Ruim de helft van de bedrijven beschouwt nieuwe ontwikkelingen op het gebied van AI dan ook als een grote bedreiging; een jaar geleden was dit nog geen kwart. Zo maakt generatieve AI het bijvoorbeeld eenvoudig in korte tijd overtuigende phishing-mails te creëren. Ook interactieve gesprekken kunnen aan AI-modellen worden uitbesteed. In een automatische chat kunnen inloggegevens worden ontfutseld of betalingen in gang gezet. Ook zetten oplichters technologie in om slachtoffers te doen geloven dat ze met iemand anders van doen hebben, zoals met ‘CEO-fraude’ of ‘whaling’. Bij deze vorm van phishing doen oplichters zich voor als CEO of lid van het hoger management. Zij benaderen medewerkers via e-mail of Whatsapp, of gebruiken deepfake-technieken via telefoon- en videogesprekken met het dringende verzoek om geld over te maken of gevoelige informatie te geven. Deze vorm van oplichting treft vooral grotere bedrijven. In 2023 was bijna één op de drie van deze bedrijven doelwit van zo’n aanval.

Beperkt bewustzijn nieuwe Europese wetgeving maakt Nederlandse bedrijven kwetsbaar

Om de weerbaarheid tegen cyberaanvallen te verbeteren, wordt in oktober nieuwe Europese wetgeving van kracht. NIS2 – de opvolger van de Network & Information Systems-richtlijn (NIS) – omvat een set van regels die vooral zijn gericht op bedrijven waar verstoringen veel maatschappelijke impact kunnen hebben.

“De nieuwe wet schrijft onder meer voor dat bedrijven cyberrisico’s in hun toeleveringsketen in kaart moeten brengen. De mate waarin dat gebeurt, verschilt echter sterk per bedrijf. Nederland loopt met de implementatie van NIS2 daarnaast achter ten opzichte van andere landen, zoals Duitsland en België. Actie vanuit bedrijven verdraagt echter geen uitstel, óók omdat klanten in andere delen van Europa NIS2-compliance van hun Nederlandse leveranciers zullen eisen”, benadrukt Julia Krauwer, sector banker Technologie, Media & Telecom van ABN AMRO.

“Als bedrijven hieraan niet voldoen, lopen ze het risico klanten kwijt te raken. Bedrijven die onvoldoende ‘cyberweerbaar’ zijn, zijn namelijk een risico voor de hele keten waarin zij actief zijn. Het is daarom cruciaal dat bedrijven vaart zetten achter hun voorbereidingen. Een goede mix van maatregelen is hierbij van groot belang. Naast basisveiligheidsmaatregelen verdienen menselijke kwetsbaarheden extra aandacht. Bijvoorbeeld door de alertheid van medewerkers op phishing en andere vormen van social engineering te vergroten via trainingen en simulaties en door de toegang van medewerkers tot data en systemen kritisch te bekijken. Daarnaast moeten directies steviger aan het stuur zitten om te kunnen voldoen aan NIS2, zeker nu individuele bestuurders ook persoonlijk aansprakelijk gesteld kunnen worden als hun organisatie nalatig is op het gebied van cybersecurity.”