Weinig mkb’ers maken zich druk om cybersecurity, maar aantal incidenten stijgt
Uit het onderzoek dat SIDN door GfK liet uitvoeren onder bijna 600 mkb-ondernemers, komt naar voren dat de meeste mkb’ers ervan uitgaan dat hun IT-beheerder een zekere zorgplicht heeft en daardoor ook bescherming biedt tegen cyberrisico’s. Dit sluit aan bij de recente uitspraak van de rechtbank Amsterdam dat van een IT-leverancier verwacht mag worden dat de beveiliging van de geleverde dienst onderdeel van de afspraak is. De praktijk blijkt vooralsnog echter weerbarstiger. Zo laat eerder onderzoek door Centraal Beheer zien dat in slechts 22% van de gevallen hier daadwerkelijk afspraken over zijn gemaakt tussen mkb-ondernemingen en IT-leverancier. Het lijkt er dus op dat mkb’ers te hoge verwachtingen hebben wanneer het gaat om de bescherming tegen cybercrime door hun IT-leverancier. Tegelijkertijd moeten IT-leveranciers de beveiliging van hun product op orde hebben, ook wanneer een klant daar niet expliciet naar vraagt.
Juridisch getouwtrek
“Verwachtingen en werkelijkheid lopen langs elkaar heen, zo toont het onderzoek aan,” licht Alex van Wijhe, business developer CyberSterk bij SIDN, toe. “Het is beter om juridisch getouwtrek te voorkomen en duidelijke afspraken te maken over wie (mede-)verantwoordelijk is voor de cybersecurity van bepaalde IT-diensten. Voorkomen is nog altijd beter dan genezen.” Maar er speelt meer, zo blijkt uit het onderzoek door SIDN. Van Wijhe: “Het gevoel van urgentie om digitaal beschermd te zijn, ontbreekt nog bij een te grote groep mkb-ondernemers. Slechts 30% van de ondervraagde directieleden maakt zich druk over cybercriminaliteit. Over personeelsbezetting en het voldoen aan wet- en regelgeving maakt men zich meer zorgen. Opvallend is verder dat 72% van de ondernemers cybercriminaliteit maar in beperkte mate als bedreigend beschouwt voor zijn bedrijf.”
Basale maatregelen
Ondertussen steeg het aantal mkb-slachtoffers van cybercriminaliteit de afgelopen 12 maanden naar 22%. Een jaar geleden lag dit percentage nog op 19%. De beschermingsmaatregelen die mkb-bedrijven nemen zijn over het algemeen basaal te noemen. Zo heeft 62% een gedegen antivirusprogramma, 52% een sterk spamfilter en voert 47% regelmatig updates uit. “Een virusscanner en een firewall zijn vandaag de dag onvoldoende om kwaadwillenden buiten de deur te houden,” licht Van Wijhe toe. “Veel belangrijker is het om afwijkend verkeer binnen je netwerkomgeving te signaleren. Slechts 29% van de ondervraagde mkb’ers maakt gebruik van een oplossing die hierin voorziet. Een belangrijke reden hiervoor is dat er tot voor kort geen security-oplossingen specifiek voor het mkb op de markt waren. Dat was voor ons een directe aanleiding om CyberSterk te ontwikkelen.”
CyberSterk
Met CyberSterk heeft een mkb-ondernemer de beschikking over een alles-in-één-oplossing die inzicht geeft in mogelijke kwetsbaarheden in het bedrijfsnetwerk en op de zakelijke website. Hiervoor wordt er een fysiek kastje in het netwerk geplaatst waarmee alle aangesloten apparatuur op kwetsbaarheden wordt gecontroleerd. Een dashboard toont overzichtelijk en begrijpelijk eventueel gevonden problemen. Daarnaast biedt CyberSterk ook ondersteuning bij gesignaleerde problemen. CyberSterk werkt hiervoor samen met verschillende IT-partners. Bekijk het rapport met de belangrijkste uitkomsten van het onderzoek.