Middelgrote handels- en logistieke bedrijven zijn vaak het doelwit van cybercriminelen, maar zijn onvoldoende voorbereid op deze aanvallen. Dat blijkt uit verschillende studies die de Duitse Verzekeringsvereniging (GDV) heeft laten uitvoeren naar IT-beveiliging in de groothandel, detailhandel en transportsector.
Veel middelgrote handels- en logistieke bedrijven verwaarlozen hun IT-beveiliging en worden een gemakkelijk doelwit voor hackers. Bijna elk vierde bedrijf (22%) is al eens slachtoffer geweest van cyberaanvallen. Elk tweede aangevallen bedrijf kwam zelfs tijdelijk stil te liggen en moest de IT-systemen tegen hoge kosten herstellen. Dit blijkt uit een representatief Forsa-onderzoek onder 300 bedrijven in de groot- en detailhandel en uit de transportsector in opdracht van de Duitse Verzekeringsvereniging (GDV). “De succesvolle aanvallen laten zien dat de IT-beveiliging in de handel en logistiek nog erg fragmentarisch is. De verantwoordelijken moeten meer en betere beschermingsmaatregelen nemen, de werknemers sensibiliseren en noodplannen opstellen”, aldus GDV-adjunct-directeur Anja Käfer-Rohrbach.
IT-systemen vertonen talrijke zwakke punten
Uit een door GDV geïnitieerde veiligheidscontrole, waaraan 19 kleine en middelgrote ondernemingen in de sectoren vrijwillig hebben deelgenomen, blijkt ook hoe laag het beschermingsniveau is. IT-beveiligingsadviseur Michael Wiesner vond bij twee derde van de bedrijven verouderde besturingssystemen en bij bijna alle (95%) kwetsbaarheden die hackers zouden kunnen gebruiken om gegevens te manipuleren of IT-systemen over te nemen. Bovendien kreeg hij bij elk vierde bedrijf de toegangsgegevens van werknemers in handen via phishing e-mails en valse websites, waardoor hij zeer uitgebreide toegang kreeg. “Als iemand eenmaal met succes de IT-systemen is binnengedrongen, kan hij deze meestal volledig overnemen en naar believen manipuleren”, waarschuwt Wiesner.
Ondanks de grote kwetsbaarheid van hun bedrijfstak gaat bijna twee derde (63 %) van de door Forsa ondervraagden ervan uit dat het risico voor hun bedrijf gering is. Hun argumenten: Hun bedrijf is te klein, de gegevens zijn niet interessant voor criminelen. Velen beweren ook dat er tot dusver niets is gebeurd en dat het IT-systeem volledig beschermd is. Over het geheel genomen vindt driekwart (73 %) van de ondervraagde bedrijven dat zij voldoende doen om zich tegen cybercriminaliteit te beschermen. Volgens Käfer-Rohrbach strookt deze zelfbeoordeling niet met de werkelijkheid: “Het beveiligingsprobleem wordt vaak afgepoeierd of bewust genegeerd.”
Veel informatie over logistieke en handelsbedrijven op het Darknet
Een zoektocht op darknet laat ook zien hoe makkelijk het is voor hackers. GDV gaf PPI AG hiervoor de opdracht om 1.500 mkb-bedrijven uit de retail en logistiek te controleren met zijn cyber risk assessment tool Cysmo. Hier waren de gegevens van 470 bedrijven (31 %) te vinden in het Darknet – vaak professionele e-mailadressen samen met de bijbehorende wachtwoorden die medewerkers ook voor privédoeleinden hadden gebruikt. “Omdat veel mensen altijd dezelfde of zeer vergelijkbare wachtwoorden gebruiken, kunnen e-mail/wachtwoordcombinaties gemakkelijk door cybercriminelen worden uitgebuit”, waarschuwt Käfer-Rohrbach. Bedrijven moeten daarom duidelijke regels opstellen voor het gebruik van professionele e-mailadressen en werknemers dienovereenkomstig opleiden.
Slechts een kwart voldoet volledig aan de belangrijkste eisen voor IT-beveiliging
De noodzaak van actie blijkt ook uit de zelfrapportage van de bedrijven in de Forsa-enquête: hoewel de meeste bedrijven veilige wachtwoorden afdwingen en automatisch beveiligingsupdates toepassen, staat elk tweede bedrijf (52%) toe dat werknemers hun privéapparaten in de IT-omgeving van het bedrijf gebruiken. Een op de vier bedrijven (25%) bewaart zijn back-ups zodanig dat ze zelfs bij een hackeraanval versleuteld of gewist kunnen worden. In totaal voldoet slechts 24% aan de tien belangrijkste basisvereisten voor IT-beveiliging. Tegelijkertijd zijn veel bedrijven onvoldoende voorbereid op een succesvolle aanval: 47% van de ondervraagde bedrijven heeft noch een noodconcept, noch een overeenkomst met hun IT-dienstverlener in geval van nood.
.
