Midden- en kleinbedrijf is nog niet klaar voor nieuwe Europese privacy-wet.
Nergens in Nederland is de digitalisering zo groot als in het mkb. Maar op het gebied van cybersecurity valt nog veel te winnen. Op technisch vlak worden vaak wel maatregelen getroffen, maar die worden niet getest en op organisatorisch vlak gebeurt er weinig. Ook blijken weinig bedrijven zich bewust van de implicaties van de GDPR.
Ongeveer 80 tot 90 procent van de Nederlandse mkb-organisaties voldoet nog niet aan de strenge regels van de GDPR, die vanaf 2016 in werking is getreden en vanaf 25 mei door de Nederlandse privacy waakhond AP streng worden gecontroleerd. Als bedrijven niet voldoen aan de Europese wettelijke regels, kunnen ze een boete krijgen die kan oplopen tot 20 miljoen of 4 procent van hun bedrijfsomzet. “We hebben veel mkb-bedrijven uit Nederland en België als klant en uit de gesprekken en overleggen die we de afgelopen maanden hebben gevoerd, maak ik op dat 80 tot 90 procent van de bedrijven hier nog niet klaar voor is”, zegt directeur Christian Oudenbroek van Brand Compliance.
0-meting
In Nederland maakt het mkb 90 procent van het bedrijfsleven uit en is daarmee voor een groot deel bepalend voor economische activiteiten. Onderzoek van Capgemini en Interpolis wees uit dat veel ondernemers best goed scoren op de gebieden fysieke beveiliging, toegang tot het bedrijfsnetwerk en de beveiliging van de website, maar bij het organisatorisch inrichten van de bedrijfsprocessen schort er nog vaak aan een duidelijke visie en beleid. Omdat veel bedrijven de urgentie van cybersecurity niet zien, is awareness vaak een ondergeschoven kindje, totdat er een incident optreedt. En dat slachtofferschap is vrij hoog, zo blijkt uit de 0-meting die het lectoraat Cybersecurity in het MKB van de Haagse Hogeschool afgelopen jaar uitvoerde in het midden- en kleinbedrijf. Lector Rutger Leukfeldt schrok van de cijfers: “20 procent van de bedrijven is slachtoffer geweest van cybercrime en bij 21 procent zijn pogingen tot digitale aanvallen gedetecteerd. Dat betekent dat dit niet af en toe gebeurt, maar dat het risico dat een onderneming te maken krijgt met cybercrime niet meer verwaarloosbaar is.”
Hoog slachtofferschap
De 0-meting is de start van een diepgravend onderzoek naar de mate van cybersecurity in het Nederlandse midden- en kleinbedrijf. “Meer en meer bedrijfsprocessen maken gebruik van digitale systemen, onze hele maatschappij wordt steeds digitaler, dus de verwachting is dat cyberaanvallen alleen nog maar gaan toenemen. Nu is al 20 procent van de ondernemers slachtoffer, als we niets doen, wordt dat alleen maar hoger”, zegt Leukfeldt. Het lectoraat kent vier onderzoekslijnen. Ten eerste willen de onderzoekers meer inzicht in de aard en de omvang van de problematiek, daar hoort de 0-meting bij. Een tweede onderzoek richt zich op het in kaart brengen van de risicofactoren die maken dat de kans dat een onderneming wordt aangevallen groter of kleiner wordt. “Dan kan het gaan om persoonskenmerken van medewerkers of bepaalde bedrijfskenmerken. Misschien blijkt wel dat cybercriminelen vooral één soort organisatie op de korrel nemen.” Daarnaast wil het lectoraat de weerbaarheid van mkb’ers verhogen. “Met de input uit de andere onderzoeken willen we ondernemers handvatten bieden om, als ze een keer worden aangevallen, te weten hoe ze moeten handelen zodat de schade en impact van een aanval beperkt blijven.” Tot slot wordt onderzoek hoe de aanpak van cybercrime in het mkb in Nederland kan worden verbeterd.
Gezamenlijke verantwoordelijkheid
Cybercrime in het mkb is namelijk niet alleen het probleem van ondernemers, vindt Leukfeldt. “Het is een maatschappelijk probleem waarin ook de overheid, politie en andere organisaties en instanties een rol moeten spelen.” Daarom wordt dit jaar door de overheid het Digital Trust Centre opgericht waarin met ondernemers wordt samengewerkt aan digitale veiligheid. Bij de aftrap van het DTC in september vorig jaar zei toenmalig minister Kamp van Economische Zaken: “Cyberveiligheid is de basis voor een kansrijke digitale economie waar ondernemers risico’s bij hun processen minimaliseren en consumenten zeker zijn van betrouwbare diensten en producten. Nederland heeft een succesvolle ICT-sector, maar kennis van en investeringen in cybersecurity blijken bij bedrijven in andere sectoren nog onvoldoende. Met de oprichting van een Digital Trust Centre in 2018 komt het kabinet tegemoet aan de wens van bedrijven om hen te helpen met actuele informatie over risico’s en adviezen over digitale veiligheid.”
Cyberveilig Nederland
Maar ook de securitymarkt kan een rol spelen bij het helpen van het mkb in de strijd tegen digitale criminelen. Een aantal Nederlandse securitydienstverleners hebben zich onlangs verenigt in de nieuwe brancheorganisatie Cyberveilig Nederland. Doel van deze organisatie is het vergroten van de digitale weerbaarheid van Nederlandse organisaties en het verhogen van de kwaliteit en transparantie in de sector zelf. Petra Oldengarm, directeur van de nieuwe organisatie: “Dit is een jonge en complexe markt. We krijgen signalen van klanten dat ze het moeilijk vinden om in te schatten hoe ze hun bedrijf moeten beveiligen tegen cybercrime. De ene leverancier zegt dit, een ander zegt dat. We willen met deze organisatie zorgen dat we klanten inzicht geven in wat goede maatregelen zijn om hun bedrijf te beveiligen.” Dat wil Cyberveilig Nederland onder meer doen door het instellen van keurmerken en een gedragscode voor de branche. Oldengarm: “Ik zou graag zien dat we een model kunnen ontwikkelen waarin organisaties, en zeker ook het mkb, kunnen zien welk risicoprofiel ze hebben als het gaat om cybercrime. Een model waarin eenvoudig wordt weergegeven dat als je een bedrijf hebt dat aan deze criteria voldoet, je dit risico loopt en dat daar een bepaalde set aan maatregelen bij hoort. Zo kun je een klein mkb-bedrijf hebben dat bijvoorbeeld levert aan een vitale organisatie. Dan is je profiel anders dan een klein mkb-bedrijf dat niet aan een vitale organisatie levert.”
Enorme diversiteit
Vooralsnog is er op security-gebied nog een enorme wereld te winnen voor het Nederlandse mkb. Zo blijkt uit de 0-meting van de Haagse Hogeschool bijvoorbeeld organisaties het meest worden getroffen door malware (30 procent) en ransomware (17 procent). Opvallend is bovendien dat mkb’ers het risico dat een andere organisatie slachtoffer wordt van cybercrime (41 procent) veel hoger inschatten dan de kans dat ze er zelf mee te maken krijgen (20 procent). En hoewel de meeste bedrijven wel technische maatregelen hebben getroffen zoals een firewall en antivirussoftware, blijkt het testen en up-to-date houden van deze systemen veel beter te kunnen. Maar het allerlastigste, zegt ook Leukfeldt, is dat het moeilijk is om uitspraken over ‘het mkb’ te doen. “Hét mkb bestaat namelijk niet, er zijn zoveel verschillende soorten bedrijven en branches. De ene doet het beter dan de andere als het om cybersecurity gaat. Maar door die diversiteit is het ook heel lastig om één aanpak te bieden die voor iedereen werkt. Daarom is het zo belangrijk dat we dit als maatschappelijk probleem zien en met z’n allen zorgen dat mkb-bedrijven weerbaar worden.”
Bron: https://www.agconnect.nl/artikel/cybersecurity-het-mkb-laat-nog-veel-te-wensen-over