ABN AMRO:Toenemende cyberdreiging zet ondernemers aan tot maatregelen

Het aantal bedrijven dat te maken heeft gehad met een cyberaanval is het afgelopen jaar sterk gestegen. Hoewel de risicoperceptie van ondernemers vrijwel gelijk is gebleven, blijkt uit onderzoek van ABN AMRO onder 233 bedrijven dat de bereidheid tot het nemen van maatregelen toeneemt. “Dat is gunstig, want cyberdreiging is een reëel.”

Dit heeft volgens de onderzoekers allereerst te maken met een groter aanvalsoppervlak door verregaande digitalisering, gecombineerd met professionalisering van cybercriminelen. “Het feit dat geopolitieke spanningen steeds meer tot uiting komen in digitale aanvallen geeft extra aanleiding tot zorg. Zo leidt de oorlog tussen Rusland en Oekraïne ook voor Nederlandse ondernemingen tot een verhoogd cyberrisico.”

 Bastiaan van Nunen, Managing Director bij cyberbeveiligingsbedrijf MMOX. “Bovenop de structurele toename in cyberaanvallen zagen we in de aanloop naar de escalatie van het conflict een duidelijke piek. Dit was nog voordat het grote publiek via het nieuws hoorde welke kant het in Oekraïne op zou gaan.” Het percentage bedrijven dat, los van de oorlog, te maken heeft gehad met cybercriminaliteit is gestegen. Was dit vorig jaar nog 29% van alle ondervraagden, dit jaar is het 45%. Dat blijkt uit onderzoek van ABN AMRO in samenwerking met onderzoeksbureau MWM2 onder 233 zakelijke klanten die eind- of medeverantwoordelijk zijn voor de cyberveiligheid van hun bedrijf.

 Andere bronnen bevestigen dit beeld. Zo registreerde de Nederlandse politie vorig jaar 14.000 gevallen van cybercriminaliteit, een toename van bijna een derde in vergelijking met 2020 en een verdriedubbeling ten opzichte van 2019. Ook op Europees niveau is volgens het agentschap voor de cyberveiligheid ENISA sprake van een toename in cyberaanvallen gedurende de afgelopen twee jaar.

Uit het onderzoek van ABN AMRO blijkt dat specifiek het grootbedrijf opvallend vaak in aanraking komt met cyberaanvallen; 63% van de respondenten uit deze categorie – gedefinieerd als bedrijven met een jaarlijkse omzet hoger dan tien miljoen euro – kreeg al eens te maken met cybercriminaliteit, waarvan 22% in het afgelopen jaar.

Schade niet beperkt tot grote bedrijven

Toch is ook onder kleinere bedrijven alertheid geboden. Zij krijgen namelijk eveneens in toenemende mate te maken met cybercriminaliteit. Ligt volgens de meting in februari 2022 het percentage zelfstandigen zonder personeel (zzp’ers) dat ervaring heeft met cyberaanvallen op 32%, in april 2021 was dit nog slechts 13%. Ook in het midden- en kleinbedrijf (mkb) wordt een stijging waargenomen, hoewel die statistisch gezien niet significant is.

De trend is volgens Van Nunen in ieder geval duidelijk: niet enkel grote bedrijven worden slachtoffer. Daar ligt volgens hem een heldere strategie aan ten grondslag. “Een groep cybercriminelen zal liever een paar honderd kleine bedrijven aanvallen met een kleinere opbrengst en een kleinere pakkans dan een handvol grote bedrijven die al in een verhoogde staat van alertheid zijn”, zegt Van Nunen. Achterover leunen is er volgens hem in ieder geval niet bij: “Het zou naïef zijn om te denken dat cyberaanvallen zzp’ers niet zouden raken. Dat dacht men een paar jaar geleden ook over het midden- en kleinbedrijf.” Trish McGill, expert op het gebied van cyberveiligheid bij Nederlandse IT-dienstverlener Ilionx, sluit zich hierbij aan: “Uiteindelijk wordt iedereen een keer gehackt, het is slechts een kwestie van tijd.”

Risicoperceptie blijft achter bij feitelijke dreiging

De cyberdreiging is dus om meerdere redenen stevig toegenomen. De risicoperceptie van ondernemers blijft daarbij echter achter. Waar vorig jaar 30% van de ondervraagden cybercriminaliteit als “veel” of “heel erg veel” risico zag voor de eigen organisatie, blijkt dit met 33% in 2022 niet significant toegenomen.

Ook Van Nunen ziet dat de risicoperceptie van ondernemers vaak nog niet in lijn is met de realiteit. Volgens hem zijn cyberaanvallen echter een risico waar bedrijven rekening mee moeten houden. “Bedrijven verzekeren zich tegen brand en diefstal, maar minder snel tegen cybercriminaliteit. Het risico op brand is echter 1 op 8000, terwijl het risico om in aanraking te komen met een cyberaanval, of pogingen daartoe, minimaal 1 op 8 is.”

De top drie van meest genomen maatregelen zijn geheel preventief van aard. Het meest populair zijn technologische maatregelen zoals antivirussoftware, firewalls en het maken van back-ups; deze worden door 79% van de ondervraagden genomen. Preventieve maatregelen gericht op menselijk handelen worden door 51% ingezet. Overigens hecht juist het grootbedrijf een groot belang aan de menselijke rol; maar liefst 81% van de respondenten uit deze categorie zegt preventieve maatregelen op menselijk handelen te nemen.

Op plaats drie staat het (laten) uitvoeren van een cyberscan die inzicht geeft in de kwetsbaarheden van het bedrijf. Van de ondervraagden maakt 25% hier gebruik van. Minder populair is het inrichten van hulpverlening indien het bedrijf te maken krijgt met een incident van cybercriminaliteit (18%) of het afsluiten van een verzekering (12%). Van de ondervraagden geeft 11% aan helemaal geen maatregelen te treffen. Dit betreft uitsluitend zzp’ers en mkb-bedrijven.

Verlies van toegang tot systemen meest zorgwekkende gevolg

Duidelijk is dat er veel op het spel staat voor ondernemers. Gevraagd naar de drie meest zorgwekkende gevolgen van cybercriminaliteit, wordt verlies van toegang tot systemen het vaakst genoemd. Op een tweede plek staat het op straat belanden van klantgegevens en andere data, gevolgd door het leiden van financiële verliezen. Net buiten de top drie, maar ook vaak genoemd: schade aan de relatie met klanten en leveranciers. Veel minder frequent genoemd worden reputatieschade en inbreuk op intellectueel eigendom.

Het feit dat ondernemers het meest angstig zijn om toegang tot hun systemen kwijt te raken, bevestigt eens te meer hoezeer het gemiddelde bedrijf afhankelijk is geworden van digitale diensten. Dit besef alleen al zorgt ervoor dat bedrijven cyberaanvallen steeds meer als operationeel risico beschouwen en daarmee wellicht maatregelen treffen vóór ze met de harde werkelijkheid worden geconfronteerd.

Bron:ABN AMRO