Ondanks vele incidenten zijn Nederlandse bedrijven slecht voorbereid op datalekken en cybercriminaliteit

Het overgrote deel van de Nederlandse bedrijven (94%) is de afgelopen vijf jaar één of meerdere keren geconfronteerd met een datalek en ruim 60% van ondernemend Nederland heeft te maken gehad met cybercriminaliteit. Zo blijkt uit onderzoeken die deze week werden gepresenteerd door resp. Lloyd’s (onder 350 beleidmakers van bedrijven met een omzet van 250 miljoen euro of meer) en Adfiz. Beide onderzoeken hadden nog een gemeenschappelijke uitkomst: ondanks de toenemende dreiging zijn bedrijven onvoldoende voorbereid op dergelijke calamiteiten.

Het Lloyd’s-onderzoek wijst verder uit dat ruim twee derde (68%) van de Nederlandse bedrijven zich zorgen maakt over een mogelijk datalek in de toekomst. Het meest bezorgd zijn de ondernemingen op de impact hiervan op hun merk/reputatie (77%), op de winst of een financiële boete (beide 73%). Slechts één op de zeven directieleden (14%) vreest verlies van klanten. De kans op een datalek is volgens de respondenten het grootste vanwege hacking om politieke redenen (68%), gevolgd door opzettelijk lekken door insiders (55%) of een hack door een concurrent (52%).

De verantwoordelijkheid voor de aanpak van cybersecurity en het beleid daarvoor verschuift steeds meer richting de directie, concludeert Lloyd’s. “Bij ruim de helft van de onderzochte bedrijven ligt de verantwoordelijkheid voor cybersecurity bij de directeur, in Nederland zelfs twee derde (65%). Toch worden de risico’s en potentiële gevolgen van datalekken nog onderschat. Een derde van de Nederlandse bedrijven geeft aan niet bezorgd te zijn over datalekken, en slechts 14% vreest als gevolg hiervan klanten te verliezen.” Hoewel bijna alle bedrijven (97%) op de hoogte zijn van de nieuwe Europese wet- en regelgeving, waaronder de Meldplicht Datalekken, geeft 52% toe niet of nauwelijks  te weten wat de regelgeving precies inhoudt. Een andere uitkomst van het Lloyd’s-onderzoek is dat bij bijna twee derde (65%) van alle ondervraagde bedrijven de verantwoordelijkheid voor beslissingen op het gebied van cybersecurity bij de directie ligt.

Adfiz

Tijdens de derde editie van Adfiz’  Zakelijk Platform werden eveneens cijfers gepresenteerd met betrekking tot cyberrisico’s, die volgens de branche- en beroepsorganisatie voor financieel adviseurs toenemen. Cybercriminaliteit kost Nederlandse organisaties tien miljard euro per jaar, het tienvoudige van de schadelast die ‘gewone’ diefstal met zich meebrengt. Ruim 60% van ondernemend Nederland heeft te maken gehad met cybercrime. De meeste schade worden veroorzaakt door onderbrekingen van de operationele continuïteit (41%), derde partij- en privacy gerelateerde informatie (19%), verminderde betrouwbaarheid (18%), intellectueel eigendom (12%), strategische informatie (9%) en integriteit liquiditeiten (1%).

Ook de Adfiz-cijfers tonen aan dat dat voorbereiding van ondernemend Nederland op mogelijke cyberincidenten matig is. Van alle ondernemers geeft 83% aan niet volledig voorbereid te zijn op cybercrime; 55% van het MKB onderkent het gevaar niet en heeft niet of nauwelijks een idee hoe men informatie kwijt kan raken en 39% beschikt niet over een digitaal beveiligingsplan. Verder r heeft een derde (33%) van de ondernemers geen regels voor sterke wachtwoorden en heeft een zelfde percentage niets afgesproken over omgang met klantgegevens. Met betrekking tot het online gedrag van medewerkers blijkt dat bijna een kwart (24%) dezelfde online opslag te gebruiken voor privé én zakelijk, 39% niet uitlogt op het werk, 25 % accountinformatie deelt en 33% uitnodigingen van onbekenden accepteert. Van alle gebruikers wordt 12% gehackt.

Tijdens de Adfiz-bijeenkomst werd ook aangegeven dat niet alleen cybercrime (47%) verantwoordelijk is voor de schade, maar dat ook systeemstoringen (29%) en menselijke fouten (25%) tot schadeclaims kunnen leiden. In de factsheet geeft Adfiz een viertal tips om cybercriminaliteit te voorkomen/beperken:

1.  Inventariseer risico’s, bedreigingen en kwetsbaarheden;

2: Analyseer de mogelijke gevolgen voor je bedrijf en bestaande verzekeringsdekking;

3: Bepaal huidige en gewenste maatregelen; bespreek die met de medewerkers;

4: Evalueer regelmatig of de aanpak het gewenste resultaat heeft