17 feb. 1999
5 minuten
Het Nederlandse bedrijfsleven moet een inhaalslag maken op het gebied van cybersecurity. De meeste organisaties hebben nog geen strategie voor digitale weerbaarheid en de securitybudgetten zijn vaak niet toereikend. Ook heeft Nederland een achterstand als het gaat om security-awarenesstrainingen. Dat blijkt uit een internationaal onderzoek van cyberbeveiliger Mimecast.
"Nederland loopt voorop in de digitalisering, maar onze digitale weerbaarheid blijft achter", zegt Sander Hofman, securityexpert van Mimecast. "Cybercriminelen zijn actiever dan ooit en zien Nederland als een aantrekkelijk doelwit. We zijn immers een welvarend land dat sterk afhankelijk is van digitale technologie. Het is zorgwekkend dat cybersecurity na alle incidenten nog steeds geen prioriteit heeft in het bedrijfsleven. Op cruciale onderdelen presteren we ondermaats. Dit moet echt veranderen."
Digitale dreiging neemt toe
Aan het State of Email Security 2022-onderzoek werkten 1400 IT-professionals mee in 12 verschillende landen, waaronder Nederland. De deelnemers beantwoordden vragen over de concrete digitale dreiging voor hun organisatie in het afgelopen jaar, en de beveiligingsmaatregelen die al zijn geïmplementeerd. Een belangrijke conclusie van het onderzoek is dat cybercriminelen hun activiteiten hebben opgeschroefd.
Twee derde (67 procent) van de Nederlandse organisaties werd in het afgelopen jaar vaker aangevallen via e-mail. 56 procent meldt een toename van het aantal phishingaanvallen. Ruim een derde (38 procent) werd vaker bestookt met impersonatie-aanvallen. Daarbij doen cybercriminelen zich via e-mail voor als een leidinggevende of een andere vertrouwde partij. Merkmisbruik is eveneens een groeiend probleem. Een groot deel van de Nederlandse bedrijven zag meer nagemaakte websites (48 procent) of nepmails (42 procent) waarbij hun merk werd misbruikt.
Nederland onvoldoende weerbaar
Het jaarlijkse State of Email Security-onderzoek geeft ook een beeld van het volwassenheidsniveau op het gebied van cybersecurity. Nederland scoort op verschillende onderdelen niet al te best. Zo traint slechts 8 procent van de Nederlandse organisaties zijn personeel op continue basis in het herkennen van cyberaanvallen. Wereldwijd doet 23 procent van de bedrijven dit. In Duitsland biedt zelfs 30 procent continu security-awarenesstrainingen aan. Van de 12 onderzochte landen blijft Nederland alleen Singapore (7 procent) voor.
Slechts 21 procent van de Nederlandse organisaties heeft een strategie voor cyber resilience, ook wel bekend als digitale weerbaarheid. Zo’n strategie is gericht op het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van cruciale systemen en data. Ook op dit punt scoort Nederland beduidend slechter dan het wereldwijde gemiddelde (38 procent) en de landen om ons heen, zoals Duitsland (43 procent) en het Verenigd Koninkrijk (38 procent).
Zes op de tien Nederlandse IT-professionals geven aan dat het huidige budget voor digitale weerbaarheid binnen hun organisatie niet toereikend is. "Door het gebrek aan investeringen worden bestaande securityoplossingen niet geüpgraded, krijgt het IT-personeel niet de juiste trainingen en kan er geen nieuw securitytalent worden aangetrokken", licht Hofman toe. "Dit is funest voor het algehele beveiligingsniveau en vergroot de risico’s aanzienlijk."
Neerwaartse trend
Een vergelijking met voorgaande jaren wijst er zelfs op dat Nederland minder weerbaar is geworden. Het percentage van de Nederlandse organisaties die het personeel continu trainen in gevaarherkenning loopt gestaag terug: van 12 procent in 2020 naar 11 procent in 2021 naar 8 procent nu. De neerwaartse trend is nog duidelijker als wordt gekeken naar de aanwezigheid van een strategie voor cyber resilience. In 2020 had bijna de helft van de organisaties (47 procent) zo’n strategie, een jaar later 38 procent en nu dus slechts 21 procent.
Hofman hoopt dat het onderzoek een wake-upcall is voor het bedrijfsleven. Volgens hem begint een verhoogde weerbaarheid in de directiekamer. "Maak extra financiële middelen vrij voor essentiële securitymaatregelen. Denk hierbij aan het opstellen en oefenen van een incident-responseplan, een permanent programma voor security-awareness en een goede bescherming tegen bedreigingen via e-mail. Zo creëert u een gelaagde beveiliging die de kans op én de impact van cyberincidenten verkleint."
Toegenomen dreiging
Intussen waarschuwt ABN Amro voor toegenomen cyberdreiging. Volgens onderzoek van deze bank onder 233 zakelijke klanten die eind- of medeverantwoordelijk zijn voor de cyberveiligheid van hun bedrijf, is het aantal Nederlandse bedrijven dat te maken heeft gehad met een cyberaanval in de afgelopen maanden met ruim de helft toegenomen tot 45 procent. ‘Terwijl in april 2021 nog geen drie op de tien bedrijven zijn geconfronteerd met cybercriminaliteit, geldt dit nu al voor bijna de helft van de bedrijven.’
Als gevolg van de verregaande digitalisering, die door corona in een stroomversnelling is gekomen, neemt het aantal potentiële toegangspunten voor cybercriminelen volgens ABN snel toe. Daarnaast worden zij steeds professioneler. Hoewel de gemeten toename in cyberincidenten losstaat van de oorlog in Oekraïne, geeft deze wel aanleiding tot extra alertheid. Zo schat het Nationaal Cyber Security Centrum (NCSC) de kans op gerichte aanvallen op Nederlandse bedrijven laag in, maar waarschuwt het voor nevenschade. Politiek gemotiveerde cyberaanvallen op Oekraïense doelwitten hebben in het verleden namelijk al eens voor grote verliezen bij bedrijven elders in Europa gezorgd.
Verdienmodel cybercriminelen
Vooral grote bedrijven komen in aanraking met cyberaanvallen. Cybercriminelen richten het vizier echter ook steeds vaker op kleinere bedrijven, in het bijzonder zzp’ers. Zo had in februari bijna één op de drie onderzochte zzp’ers te maken gehad met cyberaanvallen; in april 2021 was dit slechts 13 procent. In het mkb is eveneens sprake van een stijging (+8 procent), maar deze is niet significant. Het risico om doelwit te worden van een cyberaanval is dus voor alle bedrijven gegroeid. Bovendien worden cybercriminelen steeds professioneler. Zij zijn vaak actief voor organisaties die zich specifiek toeleggen op cybercriminaliteit en bijvoorbeeld gijzelsoftware als kant-en-klaar pakket aanbieden aan kwaadwillenden. Deze ‘ransomware-as-a-service’-bedrijven hebben zelfs een klantenservice die kopers helpt om deze software te implementeren.
Risicoperceptie blijft achter bij feitelijke dreiging
Hoewel de cyberdreiging is toegenomen, blijft de risicoperceptie van bedrijven hierbij achter. "Terwijl in 2021 drie op de tien bedrijven aangaven cybercriminaliteit als groot risico te beschouwen, is dat dit jaar niet significant toegenomen", zegt banker Julia Krauwer. "Dit betekent ook dat de digitale weerbaarheid van bedrijven slechts beperkt is toegenomen. De mate waarin bedrijven maatregelen treffen tegen cyberaanvallen hangt namelijk sterk samen met hun risicoperceptie. We zien dat de risicoperceptie het hoogst is onder bedrijven die al eerder in aanraking zijn geweest met een cyberaanval of phishing-mail. Hoewel de stijging in risicoperceptie bescheiden is, zien we wel dat de bereidheid van bedrijven om zich te wapenen tegen cybercriminaliteit toeneemt. Dat is cruciaal, want er staat veel op het spel voor ondernemers. Zij blijken het meest bang om toegang tot hun systemen verliezen, wat bevestigt hoe afhankelijk veel bedrijven zijn van digitale oplossingen. Door maatregelen te treffen – zoals het installeren van antivirussoftware en een firewall, en educatie van medewerkers om hun risicobewustzijn te vergroten – kunnen zij zich beter beschermen tegen de aanzienlijke operationele risico’s die cybercrime met zich meebrengt."
Anderen lazen ook
