19% van de kleine bedrijven neemt geen cybermaatregelen

Een vijfde van de kleine bedrijven onderneemt geen enkele actie om veilig online te zijn. Van alle uitgevraagde vormen van cybercriminaliteit komt phishing het vaakst voor in de werksituatie. Zes op de tien medewerkers doet geen melding of aangifte als zij te maken krijgen met cybercriminaliteit.Dit is een greep uit de resultaten van het Cybersecurity Onderzoek Alert Online 2023, het  jaarlijks terugkerende bewustwordingsonderzoek dat wordt uitgevoerd door I&O Research in opdracht van het Ministerie van Economische Zaken en Klimaat.

Een vijfde van alle medewerkers vindt de eigen kennis over digitale veiligheid ‘(zeer) goed’. Dit is een verslechtering ten opzichte van een jaar geleden. De helft van de ICT-verantwoordelijken schatten hun kennis als ‘(zeer) goed’ in. Wel achten medewerkers en ICT-verantwoordelijken het ten opzichte van afgelopen jaar vaker aannemelijk om in werksituaties met hacking te maken te krijgen.

Er is een duidelijk verschil te zien in de bekendheid van cybersecuritytermen tussen reguliere medewerkers en ICT-verantwoordelijken. Van alle voorgelegde vormen van cybercrime is social engineering zowel bij medewerkers als ICT-verantwoordelijken het minst bekend. Phishing is bij bijna alle (99%) ICT-verantwoordelijken en medewerkers (94%) een bekende term.

Actiebereidheid onder bedrijven

Over het algemeen geldt voor elke cybermaatregel dat organisaties met meer werknemers meer acties ondernemen ten behoeve van online veilig gedrag dan organisaties met minder werknemers. Maar liefst 19% van de kleine bedrijven neemt geen enkele actie om veilig online te zijn. Medewerkers van kleine bedrijven geven aan dat ze naar verhouding minder toegang hebben tot goede tools en instrumenten om hun veilig online gedrag te verbeteren. Kijkend naar specifieke maatregelen dan blijkt dat inloggen in twee stappen de meest genomen actie is. Bijna de helft van de grote bedrijven past deze cybermaatregel toe. Opvallend is dat drie op de tien medewerkers niet weten welke cybermaatregelen de eigen organisatie genomen heeft.

Bijna de helft van de ICT-verantwoordelijken (46%) maakt zich zorgen over de eigen online veiligheid. Bij kleinere bedrijven maakt men zich vaker zorgen om hun digitale weerbaarheid dan bij grotere bedrijven. Medewerkers in de vitale sectoren maken zich het minst zorgen. Als het om het omgaan met online risico’s gaat, geven medewerkers zichzelf een 6,6, op een schaal van 1 tot 10. ICT-verantwoordelijken geven zichzelf een 7,1, waarvan 41% zichzelf een 8 of hoger geeft.

ICT-verantwoordelijken maken zich vaker zorgen over een datalek dan medewerkers. Zij leggen daarnaast de verantwoordelijkheid voor veilig online gedrag op het werk vaker bij zichzelf dan medewerkers. In vergelijking met 2022 maken zowel medewerkers als ICT-verantwoordelijken minder back-ups van alle bestanden. Dit is gedaald van 75% naar 66% onder de medewerkers.

Ervaringen met cyberincidenten

Driekwart van de medewerkers zegt in de afgelopen 12 maanden met geen enkele vorm van cybercriminaliteit te maken gehad te hebben. Een vijfde (21%) van de medewerkers geeft aan de afgelopen 12 maanden een phishingmail op het werk te hebben ontvangen, onder ICT-verantwoordelijken is dit aandeel aanzienlijk hoger (50%). Zes op de tien medewerkers zou zich schamen wanneer hij of zij op een phishinglink heeft geklikt.

De meerderheid van alle ICT-verantwoordelijken doet geen melding of aangifte nadat men te maken kreeg met cybercriminaliteit in de werksituatie. Argumenten om geen aangifte te doen zijn dat het te veel moeite is, dat het geen zin heeft of dat er geen schade is ondervonden. De meest melding wordt gedaan bij de ICT-afdeling. Als een melding wordt gedaan, is dit hoofdzakelijk om te voorkomen dat de dader dit opnieuw bij een ander doet. Zes op de tien medewerkers willen met het doen van een melding of aangifte voorkomen dat de dader meer slachtoffers kan maken.

Deelrapport Bedrijfsleven 

Enkele uitkomsten uit het deelrapport Bedrijfsleven:

  • Eén op de vijf (21%) medewerkers schat de eigen kennis over online veiligheid in als (zeer) goed. In 2022 lag dit percentage op 27%.
  • ICT-verantwoordelijken schatten hun kennis hoger in dan andere medewerkers. Het aandeel ICT-verantwoordelijken dat zijn kennis als (zeer) goed beoordeelt is 48%;
  • Medewerkers van grote bedrijven schatten hun kennis gemiddeld hoger in (5% zeer goed) dan medewerkers van kleine bedrijven (1% zeer goed). Ook medewerkers in vitale sectoren zeggen, ten opzichte van anderen, vaker dat hun kennis over digitale veiligheid zeer goed is (5%).
  • Medewerkers schatten het risico dat zij te maken krijgen met cybercrime lager in dan ICT-verantwoordelijken
  • ICT-verantwoordelijken zijn beter bekend met de betekenis van de verschillende vormen van cybercrime dan andere medewerkers.
  • Ruim de helft van de medewerkers denkt te maken te kunnen krijgen met phishing en hacking op het werk. Onder ICT-verantwoordelijken is dit aandeel ongeveer driekwart. Ook alle andere voorgelegde vormen van cybercrime worden door ICT-verantwoordelijken aannemelijker geacht dan door andere medewerkers.
  •  ICT-verantwoordelijken maken zich meer zorgen over online veiligheid dan medewerkers
  •  Bijna de helft van de ICT-verantwoordelijken (46%) maakt zich zorgen over de eigen online veiligheid. Voor andere medewerkers is dit percentage significant lager (23%). Wel geven ICT-verantwoordelijken zichzelf een hoger cijfer als het gaat om het veilig omgaan met online risico’s (7,1; medewerkers totaal 6,6).
  • Een vijfde van kleine bedrijven onderneemt geen actie om veilig online te zijn
  • Twee-staps-inloggen is de meest genomen actie ten behoeve van online veilig gedrag bij bedrijven. De helft van de ICT-verantwoordelijken (49%) en medewerkers van grote bedrijven (47%) noemt deze maatregel.
  • Kleine bedrijven ondernemen minder acties. Bovendien onderneemt een vijfde van deze bedrijven (19%) geen enkele actie ten behoeve van veilig online gedrag.
  • Wanneer we kijken naar alle medewerkers, dan geeft 8% aan dat er binnen hun bedrijf geen maatregelen worden genomen. Grote bedrijven ondernemen naar verhouding juist meer acties.
  • Bij bedrijven waar afspraken zijn gemaakt over veilig online gedrag, vinden vier op de vijf medewerkers het gemakkelijk om zich aan die afspraken te houden.
  • ICT-verantwoordelijken hebben vaker zorgen over datalek Een kwart (24%) van de ICT-verantwoordelijken maakt zich in (zeer) grote mate zorgen om slachtoffer te worden van een datalek. Medewerkers zijn hier minder bezorgd over (44% geen of weinig zorgen). ICT-verantwoordelijken leggen de verantwoordelijkheid voor veilig online gedrag op het werk vooral bij zichzelf.
  • Phishing komt het vaakst voor in de werksituatie. Een op de vijf (21%) medewerkers ontving in de afgelopen 12 maanden op het werk een phishingmail. Onder ICT-verantwoordelijken was dit zelfs 5%. Bij beide groepen is dit de vorm van cybercrime die men het meest meemaakt.
  • Net zoals in 2022 hebben ICT-verantwoordelijken vaker te maken met verschillende voorgelegde vormen van cybercrime dan andere medewerkers.
  • Meerderheid onderneemt geen actie op cybercrime.
  • Zes op de tien (59%) medewerkers die te maken kregen met cybercrime deden hier geen melding of aangifte van. Doet men dit wel, dan is de ICT-afdeling van het bedrijf de plek waar men zich het vaakste meldt (34%).
  • De belangrijkste redenen om aangifte of melding te doen zijn voorkomen dat de dader opnieuw slachtoffers maakt (56%) en een veiliger online omgeving creëren (47%).
  • Twee op de vijf medewerkers die geen aangifte doen, geven aan dat ze geen of weinig schade ondervonden. Een vijfde (17%) vindt het (daarnaast) te veel moeite.
  • Dertien procent zegt dat het geen zin heeft om aangifte of melding te doen, onder ICT-verantwoordelijken is dit zelfs een kwart