Pas op voor cybercriminelen, is de boodschap. Dat hoef je ondernemers niet te vertellen. Maar liefst één op de drie ondernemers heeft er al mee te maken, zo blijkt uit onderzoek van Forum. Is het zinvol om daarmee naar de politie te stappen?
‘Ik heb er niet eens aan gedacht om aangifte te doen’, zegt ondernemer Willem Dikker Hupkes van Blanken Controls. Hij is een van de ondernemers die slachtoffer is geworden van cybercrime. ‘Veel kan de politie volgens mij niet uitrichten. De regelgeving en het budget dat wordt vrijgemaakt voor criminaliteitsbestrijding lopen altijd achter op maatschappelijke ontwikkelingen. Dat geldt zeker bij zoiets als cybercrime, met steeds nieuwe toepassingen die criminelen inzetten. Het is een permanente strijd.’
Spectaculaire stijging
Maar liefst één op de drie ondernemers is als eens slachtoffer geweest van cybercriminaliteit blijkt uit een onderzoek dat Forum voor de zomer liet uitvoeren. Drie jaar geleden was dat nog maar 3 procent. Een spectaculaire stijging dus. Des te zorgelijker dat 82 procent van de ondernemers niet eens meer naar de politie gaat. Veel meer dan bij ‘gewone’ criminaliteit wordt aangifte doen gezien als ‘bij voorbaat zinloos’. En dan kost het ook nog eens veel tijd. Het probleem wordt eerder gemeld bij een extern ict-bedrijf dat de beveiliging regelt. Want politie en justitie, zo denkt de helft van ondernemers, hebben niet genoeg kennis in huis. ‘Ik heb het idee dat de cybercrimineel altijd net even voorloopt’, zegt een ondernemer. ‘De georganiseerde misdaad heeft veel ruimere budgetten.’ ‘En er zou veel meer internationaal samengewerkt moet worden, aangezien een groot deel van de aanvallen van buiten Nederland of zelfs Europa komt.’
Niet gezien als échte criminaliteit
Cybercrime wordt niet altijd gezien als échte criminaliteit door de politie, zo geven ondernemers aan in de enquête. Bovendien zou de politie werken met verouderde systemen en een dito personeelsbestand, ‘dat geen animo heeft om een ict-opleiding te volgen’. Maar, relativeert een enkeling, de overheid moet dan ook concurreren met het bedrijfsleven op de arbeidsmarkt voor whizzkids.
Bij Dikker Hupkes werd het hele computersysteem van Blanken Controls platgelegd, nadat een stagiair een vreemde zipfile opende. Het openen van een zipfile is gewoon een menselijke fout, daar kun je je moeilijk tegen beveiligen, zegt hij. ‘Een fout die ons wel zo’n 5.000 euro aan herstelkosten en productieverlies heeft opgeleverd. Het geeft ook een hoop onrust binnen het bedrijf.’ De ondernemer heeft sindsdien zijn beveiliging aangescherpt.
Ondernemers laten zelf steken vallen
Voor ‘gewone’ criminaliteit heeft de politie inmiddels hele programma’s opgetuigd, zoals het Keurmerk Veilig Ondernemen. Daar zijn ondernemers best tevreden over. Maar op het gebied van cybercrime bestaat zoiets niet echt. Bijna de helft van de ondernemers vindt het buitengewoon jammer dat de overheid te weinig doet om cybercrime bij bedrijven te voorkomen. Dat zou veel beter kunnen, zeker nu steeds meer van hen er slachtoffer van worden. Meer voorlichting gericht op ondernemers zou welkom zijn. Al geeft zo’n beetje de helft van de ondernemers toe dat ze zelf ook wel steken laten vallen op het gebied van digitale beveiliging.
Campagne Alert Online
De jaarlijkse campagne Alert Online vindt dit jaar plaats van 3 tot en met 14 oktober. Doel is Nederland bewuster te maken van de noodzaak van cybersecurity. De campagne is ontwikkeld door de Nationaal Coördinator Terrorismebestrijding en Veiligheid, een onderdeel van het ministerie van Veiligheid en Justitie, in nauwe samenwerking met onder andere VNO-NCW, de politie en de Cyber Security Raad. Overheid, bedrijfsleven en wetenschap organiseren eigen activiteiten. Thema van de campagne dit jaar is Cyber Skills.
Niet eens gemerkt
‘Het is ook niet dagelijks onderwerp van gesprek’, zegt één van hen. ‘Menig ondernemer onderschat de mogelijkheden van cybercriminelen. Ik denk dat veel ondernemers het niet eens merken als ze bijvoorbeeld valse aanvragen van banken krijgen.’ Zo gek is dat ook niet: computercriminaliteit is soms moeilijk vast te stellen. Vooral phishing, DDos-aanvallen en ransomware komen voor. En dan blijkt ook: size does matter in dit geval. Kleinere bedrijven hebben niet voldoende speciale kennis in huis, merken ondernemers zelf op.
‘Je moet de politie ook wel wat te melden hebben’, zei Klaas Dijkhoff, staatssecretaris van Veiligheid en Justitie, eerder in Forum. ‘Als jouw website drie dagen plat ligt en je hebt niks meer te melden dan dat het volgens je host een DDoS-aanval was, kunnen we ook niks doen.’
Lesje goed geleerd
Áls ondernemers eenmaal last hebben gehad van cybercrime, hebben ze hun lesje goed geleerd: 86 procent neemt meteen maatregelen. Bijvoorbeeld door de beveiliging op te schroeven of door een extern bedrijf in te huren. Het personeel wordt nog eens duidelijk geïnstrueerd en er komen sneller back-ups, waardoor er minder gegevens verloren gaan bij een volgende aanval. Ondernemers móeten hun beveiliging ook goed op orde hebben, vindt Dijkhoff. ‘Dan kunnen we iets doen en je helpen. Zo kunnen we patronen herkennen en kan het cybersecurity centrum dat delen met andere bedrijven. Maar als je geen aangifte doet omdat je denkt dat we niks kunnen, dan zal je ook nooit merken wat we wél kunnen.’
Over het onderzoek
Het Forum-onderzoek naar de ervaringen van ondernemers met criminaliteit en het optreden van politie en justitie vond plaats tussen 31 mei en 10 juni van dit jaar. Forum stuurde de leden van de vijf regionale ondernemersverenigingen van VNO-NCW een e-mail met een uitnodiging om deel te nemen aan het onderzoek. In totaal vulden 150 ondernemers de uitgebreide vragenlijst in. Een apart deel was gewijd aan cybercrime.
Deze bijdrage verscheen eerder op de website van VNO-NCW https://www.vno-ncw.nl/forum/help-ik-ben-gehackt-d%C3%ADt-kun-je-dan-verwachten-van-de-politie-0