Cybersecurity moet boardroom-topic worden
Hoewel veel bedrijven zich veilig wanen, is de kans groot dat zij vroeg of laat slachtoffer worden van cybercriminaliteit. Bedrijven zijn immers digitaal op allerlei manieren met elkaar vervlochten. Inmiddels heeft dan ook meer dan driekwart van de bedrijven wel eens te maken gehad met cybercriminaliteit, zo blijkt uit onderzoek van ABN AMRO onder zakelijke klanten. Bij de meting vorig jaar gold dit nog voor ‘slechts’ 45% van de ondervraagden.
De toename onder mkb’ers -met een omzet van minder dan tien miljoen euro- gaat opvallend snel. Inmiddels is 80% van hen eens doelwit geweest van criminelen. In het grootbedrijf ligt dat percentage op 75% en voor zzp’ers op 69%.
Phishing
De cyberaanvallen zijn er in alle maten en soorten. Phishing is de meest voorkomende. Zo’n 66% van alle ABN-AMRO-panelleden heeft hier wel eens mee te maken gehad. Via e-mails, sms- of WhatsApp-berichten en telefoontjes worden mensen verleid om een actie uit te voeren die later schadelijk blijkt. Een phishing-aanval kan gericht zijn op direct financieel gewin, zoals bijvoorbeeld met de gekloonde stem van een ceo die aan de telefoon het laatste zetje kan zijn om een grote bankoverschrijving te doen naar een frauduleuze bankrekening.
Het kan ook het startpunt zijn van een grotere aanval. Volgens de jaarlijkse zogenoemde X-Force Threat Intelligence Index van IBM verkregen kwaadwillenden in 2022 in 41 % van de cyberincidenten de toegang tot informatie of systemen via phishing. De buitgemaakte gebruikersnamen en wachtwoorden van IT-systemen en mailaccounts kunnen worden gebruikt om verder in de systemen van de organisatie binnen te dringen.
Berichten kunnen daarnaast aansturen op het openen van een downloadlink of bijlage die ‘malware’ bevat, een kwaadaardig programma dat bijvoorbeeld systemen kan monitoren voor spionagedoeleinden of deze zelfs volledig kan platleggen.
Malware-infecties
Ook met malware heeft ruim 38% van de ondervraagden ervaring. De verspreiding van deze kwaadaardige programma’s gaat eenvoudig in een tijd waarin de toegang tot allerlei software en software-componenten met een paar muisklikken is geregeld. Zo worden ‘open source’-componenten door kwaadwillenden gekloond en met malware geïnfecteerd, in de hoop dat ze worden gedownload en terechtkomen in software van derden.
Het Europees Agentschap voor Cyber Security (ENISA) ziet een verhoogd risico op malware-aanvallen op zogenoemde Operational Technology-netwerken (OT). Dit zijn systemen die bijvoorbeeld machines in fabrieken aansturen en niet altijd regelmatig beveiligingsupdates krijgen. OT-managers hebben volgens netwerkspecialisten niet altijd het besef dat hackers via hun machines kunnen binnendringen en de productie kunnen platleggen.
Gijzelsoftware
Een bekende en gevreesde vorm van malware is ransomeware. Dat versleutelt bestanden en geeft ze pas weer vrij op het moment dat het getroffen bedrijf losgeld heeft betaald. Hoewel het aantal ransome-aanvallen vorig jaar wereldwijd afnam, steeg in Europa het totaal aantal aanvallen met 83%. Dergelijke aanvallen leiden tot flinke risico’s voor de bedrijfscontinuïteit. Veelal wordt gedreigd met vrijgeven van gevoelige data. Maar hoewel de druk om te betalen groot is, is het vaak geen definitieve remedie. De kans dat ze terugkomen is groot, volgens Cybersecurity-specialist MMOX.
Datalekken kunnen diverse oorzaken hebben. Ze kunnen het gevolg zijn van een ransomeware-aanval, maar ook bijvoorbeeld doordat buitenstaanders de beschikking hebben gekregen over inloggegevens van systemen waar data worden beheerd.
De grotere bedrijven in het onderzoekspanel meldden significant vaker datalekken dan de kleinere bedrijven. Hoogstwaarschijnlijk omdat zij vaak meer klantgegevens verwerken. Volgens de Autoriteit Persoonsgegevens is het aantal datalekken, dat is veroorzaakt door cyberaanvallen, toegenomen van 9% van alle datalekmeldingen in 2021 tegen over 5% in 2020. Jaarlijks worden circa 25.000 meldingen gedaan.
Buiten spel gezet
De nieuwe richtlijn geldt voor veel meer bedrijven dan zijn voorganger. Dat leidt tot exponentiele toename van het aantal leveranciers dat aan de tand kan worden gevoeld. Ondernemingen die hun cyberveiligheid niet goed op orde hebben – en dit zijn met name kleine bedrijven- dreigen zichzelf buiten spel te zetten. Vanaf oktober 2024, wanneer de EU-lidstaten NIS2 hebben vertaald naar lokale wetten en ook boetes kunnen worden uitgedeeld aan bedrijven die hun cyberrisico’s niet goed beheren, zal dit scenario van uitsluiting nog reëler worden.
Over de gehele linie blijkt dat bedrijven zich niet erg verdiept te hebben in deze nieuwe regulering; slechts 11 procent van de ondervraagden heeft dat gedaan.
Ondernemers voelen de urgentie nog niet zo. Maar over een half jaar is er paniek als de publicaties langskomen. Pas dan beseffen zij hoeveel werk en kennis er nodig is om op tijd aan die wetgeving te kunnen voldoen.
Overigens vertrouwt een meerderheid van de bedrijven erop dat zij voldoen aan wet- en regelgeving op het gebied van cyberveiligheid: binnen het mkb is dat 53% en bij grote bedrijven bijna 70%.
Boardroom
Door de toenemende digitalisering is het belangrijk het risicomanagement op orde te brengen. Het is daarom belangrijk dat cybersecurity overal in de bedrijfsvoering wordt ingebed. Veiligheid en commercie staan namelijk soms op gespannen voet. Kies je om snel de markt op te gaan met een nieuwe functionaliteit of nieuwe app, dan mag dit niet ten koste gaan van de cyberveiligheid van de IT-oplossing.
Ook kost het tijd en geld om applicaties veilig te houden. Dat is iets waar bedrijven, zolang er nog nooit iets is gebeurd, eerder geneigd zijn op te bezuinigen. Gelukkig wordt de samenwerking tussen IT-specialisten binnen een bedrijf en de directie steeds intensiever. Cybersecurity moet ‘gewoon’ een boardroom-topic worden.
U las zojuist één van de gratis premium artikelen
Onbeperkt lezen? Maak gebruik van de exclusieve aanbieding
Bekijk de aanbiedingBent u al abonnee?
Eisen stellen
Grote organisaties houden de cyberweerbaarheid van hun partners en leveranciers daarom kritisch tegen het licht. Ze gaan steeds hogere eisen stellen aan hun toeleveranciers. Hebben zij hun zaken niet goed voor elkaar, dan doen ze geen zaken.
De kritische blik op ketenpartners zal nog extra worden versterkt door nieuwe Europese regelgeving op het gebied van cybersecurity. NIS2, de opvolger van de eerdere Network and Information Systems-richtlijn (NIS), spoort bedrijven aan om afspraken te maken rondom cyberveiligheid, en deze contractueel vast te leggen met hun directe partners en leveranciers. Een dergelijk benadering is volgens deskundigen geen overbodige luxe, want: ‘Degene waar is ingebroken, is vaak niet degene die de meeste schade lijdt’.
Lees ook: Cybercriminaliteit: ‘Ook in transport en logistiek is de mens vaak de zwakste schakel’
Buiten spel gezet
De nieuwe richtlijn geldt voor veel meer bedrijven dan zijn voorganger. Dat leidt tot exponentiele toename van het aantal leveranciers dat aan de tand kan worden gevoeld. Ondernemingen die hun cyberveiligheid niet goed op orde hebben – en dit zijn met name kleine bedrijven- dreigen zichzelf buiten spel te zetten. Vanaf oktober 2024, wanneer de EU-lidstaten NIS2 hebben vertaald naar lokale wetten en ook boetes kunnen worden uitgedeeld aan bedrijven die hun cyberrisico’s niet goed beheren, zal dit scenario van uitsluiting nog reëler worden.
Over de gehele linie blijkt dat bedrijven zich niet erg verdiept te hebben in deze nieuwe regulering; slechts 11 procent van de ondervraagden heeft dat gedaan.
Ondernemers voelen de urgentie nog niet zo. Maar over een half jaar is er paniek als de publicaties langskomen. Pas dan beseffen zij hoeveel werk en kennis er nodig is om op tijd aan die wetgeving te kunnen voldoen.
Overigens vertrouwt een meerderheid van de bedrijven erop dat zij voldoen aan wet- en regelgeving op het gebied van cyberveiligheid: binnen het mkb is dat 53% en bij grote bedrijven bijna 70%.
Boardroom
Door de toenemende digitalisering is het belangrijk het risicomanagement op orde te brengen. Het is daarom belangrijk dat cybersecurity overal in de bedrijfsvoering wordt ingebed. Veiligheid en commercie staan namelijk soms op gespannen voet. Kies je om snel de markt op te gaan met een nieuwe functionaliteit of nieuwe app, dan mag dit niet ten koste gaan van de cyberveiligheid van de IT-oplossing.
Ook kost het tijd en geld om applicaties veilig te houden. Dat is iets waar bedrijven, zolang er nog nooit iets is gebeurd, eerder geneigd zijn op te bezuinigen. Gelukkig wordt de samenwerking tussen IT-specialisten binnen een bedrijf en de directie steeds intensiever. Cybersecurity moet ‘gewoon’ een boardroom-topic worden.
U las zojuist één van de gratis premium artikelen
Onbeperkt lezen? Maak gebruik van de exclusieve aanbieding
Bekijk de aanbiedingBent u al abonnee?
Meervoudige afpersing
Cybercriminelen spelen ook in op de afhankelijkheden binnen toeleveringsketens. Het Nationaal Cyber Security Centrum (NSSC) ziet dat gijzelsoftware-aanvallen steeds vaker gepaard gaan met tweevoudige of zelfs drievoudige afpersing. Waar bij een ‘gewone’ ransomeware-aanval de toegang tot gegevens of systemen wordt afgesloten en deze na betaling van losgeld weer wordt vrijgegeven, voegt tweevoudige afpersing extra urgentie toe. Men dreigt met publicatie van data als er niet wordt betaald. Dit kan schadelijk zijn voor leveranciers, partners en klanten.
Bij drievoudige afpersing worden deze derden direct in het verhaal betrokken en krijgen zij ook een losgeldeis opgelegd. Grote bedrijven, die automatisch samenwerken met meer partners, zijn door dergelijk praktijken kwetsbaarder. Volgens een recent rapport van het World Economic Forum (WEF) kreeg 39% van de organisaties met meer dan 1.000 werknemers te maken met een cyberincident dat begon bij een leverancier, dienstverlener of partner. Onder bedrijven met minder dan 1.000 werknemers bedroeg dit percentage 25%.
Eisen stellen
Grote organisaties houden de cyberweerbaarheid van hun partners en leveranciers daarom kritisch tegen het licht. Ze gaan steeds hogere eisen stellen aan hun toeleveranciers. Hebben zij hun zaken niet goed voor elkaar, dan doen ze geen zaken.
De kritische blik op ketenpartners zal nog extra worden versterkt door nieuwe Europese regelgeving op het gebied van cybersecurity. NIS2, de opvolger van de eerdere Network and Information Systems-richtlijn (NIS), spoort bedrijven aan om afspraken te maken rondom cyberveiligheid, en deze contractueel vast te leggen met hun directe partners en leveranciers. Een dergelijk benadering is volgens deskundigen geen overbodige luxe, want: ‘Degene waar is ingebroken, is vaak niet degene die de meeste schade lijdt’.
Lees ook: Cybercriminaliteit: ‘Ook in transport en logistiek is de mens vaak de zwakste schakel’
Buiten spel gezet
De nieuwe richtlijn geldt voor veel meer bedrijven dan zijn voorganger. Dat leidt tot exponentiele toename van het aantal leveranciers dat aan de tand kan worden gevoeld. Ondernemingen die hun cyberveiligheid niet goed op orde hebben – en dit zijn met name kleine bedrijven- dreigen zichzelf buiten spel te zetten. Vanaf oktober 2024, wanneer de EU-lidstaten NIS2 hebben vertaald naar lokale wetten en ook boetes kunnen worden uitgedeeld aan bedrijven die hun cyberrisico’s niet goed beheren, zal dit scenario van uitsluiting nog reëler worden.
Over de gehele linie blijkt dat bedrijven zich niet erg verdiept te hebben in deze nieuwe regulering; slechts 11 procent van de ondervraagden heeft dat gedaan.
Ondernemers voelen de urgentie nog niet zo. Maar over een half jaar is er paniek als de publicaties langskomen. Pas dan beseffen zij hoeveel werk en kennis er nodig is om op tijd aan die wetgeving te kunnen voldoen.
Overigens vertrouwt een meerderheid van de bedrijven erop dat zij voldoen aan wet- en regelgeving op het gebied van cyberveiligheid: binnen het mkb is dat 53% en bij grote bedrijven bijna 70%.
Boardroom
Door de toenemende digitalisering is het belangrijk het risicomanagement op orde te brengen. Het is daarom belangrijk dat cybersecurity overal in de bedrijfsvoering wordt ingebed. Veiligheid en commercie staan namelijk soms op gespannen voet. Kies je om snel de markt op te gaan met een nieuwe functionaliteit of nieuwe app, dan mag dit niet ten koste gaan van de cyberveiligheid van de IT-oplossing.
Ook kost het tijd en geld om applicaties veilig te houden. Dat is iets waar bedrijven, zolang er nog nooit iets is gebeurd, eerder geneigd zijn op te bezuinigen. Gelukkig wordt de samenwerking tussen IT-specialisten binnen een bedrijf en de directie steeds intensiever. Cybersecurity moet ‘gewoon’ een boardroom-topic worden.
U las zojuist één van de gratis premium artikelen
Onbeperkt lezen? Maak gebruik van de exclusieve aanbieding
Bekijk de aanbiedingBent u al abonnee?
Bewustwording
Terwijl het percentage ervaringsdeskundigen onder mkb’ers en zzp’ers snel toeneemt, is hun risicoperceptie juist gedaald. De risicoschatting van deze bedrijven loopt dus sterk uit de pas met de daadwerkelijk dreiging. Maar onder de grootste organisaties – met een jaaromzet van tien miljoen euro of meer – laat de risicoperceptie juist een duidelijk stijging zien, van 41% in 2022 naar 64% dit jaar.
Het zich onvoldoende bewust zijn van risico’s heeft er alles mee te maken dat cyberrisico’s voor kleinere ondernemers ongrijpbaar zijn. Een brand of een inbraak kun je zien, maar een hack niet. En omdat de media volop berichten over de grootste zaken, wordt het mkb-perspectief veel minder sterk belicht, aldus een cyberveiligheidspecialist van ThreadStone.
Meervoudige afpersing
Cybercriminelen spelen ook in op de afhankelijkheden binnen toeleveringsketens. Het Nationaal Cyber Security Centrum (NSSC) ziet dat gijzelsoftware-aanvallen steeds vaker gepaard gaan met tweevoudige of zelfs drievoudige afpersing. Waar bij een ‘gewone’ ransomeware-aanval de toegang tot gegevens of systemen wordt afgesloten en deze na betaling van losgeld weer wordt vrijgegeven, voegt tweevoudige afpersing extra urgentie toe. Men dreigt met publicatie van data als er niet wordt betaald. Dit kan schadelijk zijn voor leveranciers, partners en klanten.
Bij drievoudige afpersing worden deze derden direct in het verhaal betrokken en krijgen zij ook een losgeldeis opgelegd. Grote bedrijven, die automatisch samenwerken met meer partners, zijn door dergelijk praktijken kwetsbaarder. Volgens een recent rapport van het World Economic Forum (WEF) kreeg 39% van de organisaties met meer dan 1.000 werknemers te maken met een cyberincident dat begon bij een leverancier, dienstverlener of partner. Onder bedrijven met minder dan 1.000 werknemers bedroeg dit percentage 25%.
Eisen stellen
Grote organisaties houden de cyberweerbaarheid van hun partners en leveranciers daarom kritisch tegen het licht. Ze gaan steeds hogere eisen stellen aan hun toeleveranciers. Hebben zij hun zaken niet goed voor elkaar, dan doen ze geen zaken.
De kritische blik op ketenpartners zal nog extra worden versterkt door nieuwe Europese regelgeving op het gebied van cybersecurity. NIS2, de opvolger van de eerdere Network and Information Systems-richtlijn (NIS), spoort bedrijven aan om afspraken te maken rondom cyberveiligheid, en deze contractueel vast te leggen met hun directe partners en leveranciers. Een dergelijk benadering is volgens deskundigen geen overbodige luxe, want: ‘Degene waar is ingebroken, is vaak niet degene die de meeste schade lijdt’.
Lees ook: Cybercriminaliteit: ‘Ook in transport en logistiek is de mens vaak de zwakste schakel’
Buiten spel gezet
De nieuwe richtlijn geldt voor veel meer bedrijven dan zijn voorganger. Dat leidt tot exponentiele toename van het aantal leveranciers dat aan de tand kan worden gevoeld. Ondernemingen die hun cyberveiligheid niet goed op orde hebben – en dit zijn met name kleine bedrijven- dreigen zichzelf buiten spel te zetten. Vanaf oktober 2024, wanneer de EU-lidstaten NIS2 hebben vertaald naar lokale wetten en ook boetes kunnen worden uitgedeeld aan bedrijven die hun cyberrisico’s niet goed beheren, zal dit scenario van uitsluiting nog reëler worden.
Over de gehele linie blijkt dat bedrijven zich niet erg verdiept te hebben in deze nieuwe regulering; slechts 11 procent van de ondervraagden heeft dat gedaan.
Ondernemers voelen de urgentie nog niet zo. Maar over een half jaar is er paniek als de publicaties langskomen. Pas dan beseffen zij hoeveel werk en kennis er nodig is om op tijd aan die wetgeving te kunnen voldoen.
Overigens vertrouwt een meerderheid van de bedrijven erop dat zij voldoen aan wet- en regelgeving op het gebied van cyberveiligheid: binnen het mkb is dat 53% en bij grote bedrijven bijna 70%.
Boardroom
Door de toenemende digitalisering is het belangrijk het risicomanagement op orde te brengen. Het is daarom belangrijk dat cybersecurity overal in de bedrijfsvoering wordt ingebed. Veiligheid en commercie staan namelijk soms op gespannen voet. Kies je om snel de markt op te gaan met een nieuwe functionaliteit of nieuwe app, dan mag dit niet ten koste gaan van de cyberveiligheid van de IT-oplossing.
Ook kost het tijd en geld om applicaties veilig te houden. Dat is iets waar bedrijven, zolang er nog nooit iets is gebeurd, eerder geneigd zijn op te bezuinigen. Gelukkig wordt de samenwerking tussen IT-specialisten binnen een bedrijf en de directie steeds intensiever. Cybersecurity moet ‘gewoon’ een boardroom-topic worden.
U las zojuist één van de gratis premium artikelen
Onbeperkt lezen? Maak gebruik van de exclusieve aanbieding
Bekijk de aanbiedingBent u al abonnee?
Helft van jaaromzet
In ruim de helft van de gevallen bedraagt het losgeld meer dan de helft van de jaaromzet van het bedrijf. Het zijn vooral de kleine bedrijven die betalen. De ruim 2.000 getroffen bedrijven zijn ondernemingen met meer dan twee personeelsleden.
Uit het onderzoek blijkt dat ook 4.000 zzp’ers te maken kregen met gijzelsoftware. Zij betaalden meestal niet. Van de getroffen kleine bedrijven met twee tot tien werknemers, betaalde 14% het losgeld. Bij grote bedrijven met 250 of meer werknemers ging het om ruim 4%.
Overigens hielp het losgeld betalen niet altijd. Criminelen zijn niet te vertrouwen. In meer dan de helft van de gevallen werden bedrijfsgegevens na betaling niet of maar gedeeltelijk vrijegegeven. Dat gebeurde vooral bij kleine bedrijven.
Lees ook: MKB isoleert zich door beperkt bewustzijn cyberdreiging
Bewustwording
Terwijl het percentage ervaringsdeskundigen onder mkb’ers en zzp’ers snel toeneemt, is hun risicoperceptie juist gedaald. De risicoschatting van deze bedrijven loopt dus sterk uit de pas met de daadwerkelijk dreiging. Maar onder de grootste organisaties – met een jaaromzet van tien miljoen euro of meer – laat de risicoperceptie juist een duidelijk stijging zien, van 41% in 2022 naar 64% dit jaar.
Het zich onvoldoende bewust zijn van risico’s heeft er alles mee te maken dat cyberrisico’s voor kleinere ondernemers ongrijpbaar zijn. Een brand of een inbraak kun je zien, maar een hack niet. En omdat de media volop berichten over de grootste zaken, wordt het mkb-perspectief veel minder sterk belicht, aldus een cyberveiligheidspecialist van ThreadStone.
Meervoudige afpersing
Cybercriminelen spelen ook in op de afhankelijkheden binnen toeleveringsketens. Het Nationaal Cyber Security Centrum (NSSC) ziet dat gijzelsoftware-aanvallen steeds vaker gepaard gaan met tweevoudige of zelfs drievoudige afpersing. Waar bij een ‘gewone’ ransomeware-aanval de toegang tot gegevens of systemen wordt afgesloten en deze na betaling van losgeld weer wordt vrijgegeven, voegt tweevoudige afpersing extra urgentie toe. Men dreigt met publicatie van data als er niet wordt betaald. Dit kan schadelijk zijn voor leveranciers, partners en klanten.
Bij drievoudige afpersing worden deze derden direct in het verhaal betrokken en krijgen zij ook een losgeldeis opgelegd. Grote bedrijven, die automatisch samenwerken met meer partners, zijn door dergelijk praktijken kwetsbaarder. Volgens een recent rapport van het World Economic Forum (WEF) kreeg 39% van de organisaties met meer dan 1.000 werknemers te maken met een cyberincident dat begon bij een leverancier, dienstverlener of partner. Onder bedrijven met minder dan 1.000 werknemers bedroeg dit percentage 25%.
Eisen stellen
Grote organisaties houden de cyberweerbaarheid van hun partners en leveranciers daarom kritisch tegen het licht. Ze gaan steeds hogere eisen stellen aan hun toeleveranciers. Hebben zij hun zaken niet goed voor elkaar, dan doen ze geen zaken.
De kritische blik op ketenpartners zal nog extra worden versterkt door nieuwe Europese regelgeving op het gebied van cybersecurity. NIS2, de opvolger van de eerdere Network and Information Systems-richtlijn (NIS), spoort bedrijven aan om afspraken te maken rondom cyberveiligheid, en deze contractueel vast te leggen met hun directe partners en leveranciers. Een dergelijk benadering is volgens deskundigen geen overbodige luxe, want: ‘Degene waar is ingebroken, is vaak niet degene die de meeste schade lijdt’.
Lees ook: Cybercriminaliteit: ‘Ook in transport en logistiek is de mens vaak de zwakste schakel’
Buiten spel gezet
De nieuwe richtlijn geldt voor veel meer bedrijven dan zijn voorganger. Dat leidt tot exponentiele toename van het aantal leveranciers dat aan de tand kan worden gevoeld. Ondernemingen die hun cyberveiligheid niet goed op orde hebben – en dit zijn met name kleine bedrijven- dreigen zichzelf buiten spel te zetten. Vanaf oktober 2024, wanneer de EU-lidstaten NIS2 hebben vertaald naar lokale wetten en ook boetes kunnen worden uitgedeeld aan bedrijven die hun cyberrisico’s niet goed beheren, zal dit scenario van uitsluiting nog reëler worden.
Over de gehele linie blijkt dat bedrijven zich niet erg verdiept te hebben in deze nieuwe regulering; slechts 11 procent van de ondervraagden heeft dat gedaan.
Ondernemers voelen de urgentie nog niet zo. Maar over een half jaar is er paniek als de publicaties langskomen. Pas dan beseffen zij hoeveel werk en kennis er nodig is om op tijd aan die wetgeving te kunnen voldoen.
Overigens vertrouwt een meerderheid van de bedrijven erop dat zij voldoen aan wet- en regelgeving op het gebied van cyberveiligheid: binnen het mkb is dat 53% en bij grote bedrijven bijna 70%.
Boardroom
Door de toenemende digitalisering is het belangrijk het risicomanagement op orde te brengen. Het is daarom belangrijk dat cybersecurity overal in de bedrijfsvoering wordt ingebed. Veiligheid en commercie staan namelijk soms op gespannen voet. Kies je om snel de markt op te gaan met een nieuwe functionaliteit of nieuwe app, dan mag dit niet ten koste gaan van de cyberveiligheid van de IT-oplossing.
Ook kost het tijd en geld om applicaties veilig te houden. Dat is iets waar bedrijven, zolang er nog nooit iets is gebeurd, eerder geneigd zijn op te bezuinigen. Gelukkig wordt de samenwerking tussen IT-specialisten binnen een bedrijf en de directie steeds intensiever. Cybersecurity moet ‘gewoon’ een boardroom-topic worden.
U las zojuist één van de gratis premium artikelen
Onbeperkt lezen? Maak gebruik van de exclusieve aanbieding
Bekijk de aanbiedingBent u al abonnee?
Onbetrouwbaar
Uit de Cybersecuritymonitor 2022 van het CBS blijkt dat in 2021 ruim 2.000 bedrijven zijn afgeperst met behulp van gijzelsoftware. Ruim tien procent betaalde daadwerkelijk losgeld om weer toegang te krijgen tot de bedrijfsgegevens.
Daarnaast hadden vier op de tien bedrijven andere kosten om het bedrijf weer aan de gang te krijgen, zoals het vervangen van de software met een backup, het vervangen van de ICT-systemen of de inhuur van ICT-specialisten.
Helft van jaaromzet
In ruim de helft van de gevallen bedraagt het losgeld meer dan de helft van de jaaromzet van het bedrijf. Het zijn vooral de kleine bedrijven die betalen. De ruim 2.000 getroffen bedrijven zijn ondernemingen met meer dan twee personeelsleden.
Uit het onderzoek blijkt dat ook 4.000 zzp’ers te maken kregen met gijzelsoftware. Zij betaalden meestal niet. Van de getroffen kleine bedrijven met twee tot tien werknemers, betaalde 14% het losgeld. Bij grote bedrijven met 250 of meer werknemers ging het om ruim 4%.
Overigens hielp het losgeld betalen niet altijd. Criminelen zijn niet te vertrouwen. In meer dan de helft van de gevallen werden bedrijfsgegevens na betaling niet of maar gedeeltelijk vrijegegeven. Dat gebeurde vooral bij kleine bedrijven.
Lees ook: MKB isoleert zich door beperkt bewustzijn cyberdreiging
Bewustwording
Terwijl het percentage ervaringsdeskundigen onder mkb’ers en zzp’ers snel toeneemt, is hun risicoperceptie juist gedaald. De risicoschatting van deze bedrijven loopt dus sterk uit de pas met de daadwerkelijk dreiging. Maar onder de grootste organisaties – met een jaaromzet van tien miljoen euro of meer – laat de risicoperceptie juist een duidelijk stijging zien, van 41% in 2022 naar 64% dit jaar.
Het zich onvoldoende bewust zijn van risico’s heeft er alles mee te maken dat cyberrisico’s voor kleinere ondernemers ongrijpbaar zijn. Een brand of een inbraak kun je zien, maar een hack niet. En omdat de media volop berichten over de grootste zaken, wordt het mkb-perspectief veel minder sterk belicht, aldus een cyberveiligheidspecialist van ThreadStone.
Meervoudige afpersing
Cybercriminelen spelen ook in op de afhankelijkheden binnen toeleveringsketens. Het Nationaal Cyber Security Centrum (NSSC) ziet dat gijzelsoftware-aanvallen steeds vaker gepaard gaan met tweevoudige of zelfs drievoudige afpersing. Waar bij een ‘gewone’ ransomeware-aanval de toegang tot gegevens of systemen wordt afgesloten en deze na betaling van losgeld weer wordt vrijgegeven, voegt tweevoudige afpersing extra urgentie toe. Men dreigt met publicatie van data als er niet wordt betaald. Dit kan schadelijk zijn voor leveranciers, partners en klanten.
Bij drievoudige afpersing worden deze derden direct in het verhaal betrokken en krijgen zij ook een losgeldeis opgelegd. Grote bedrijven, die automatisch samenwerken met meer partners, zijn door dergelijk praktijken kwetsbaarder. Volgens een recent rapport van het World Economic Forum (WEF) kreeg 39% van de organisaties met meer dan 1.000 werknemers te maken met een cyberincident dat begon bij een leverancier, dienstverlener of partner. Onder bedrijven met minder dan 1.000 werknemers bedroeg dit percentage 25%.
Eisen stellen
Grote organisaties houden de cyberweerbaarheid van hun partners en leveranciers daarom kritisch tegen het licht. Ze gaan steeds hogere eisen stellen aan hun toeleveranciers. Hebben zij hun zaken niet goed voor elkaar, dan doen ze geen zaken.
De kritische blik op ketenpartners zal nog extra worden versterkt door nieuwe Europese regelgeving op het gebied van cybersecurity. NIS2, de opvolger van de eerdere Network and Information Systems-richtlijn (NIS), spoort bedrijven aan om afspraken te maken rondom cyberveiligheid, en deze contractueel vast te leggen met hun directe partners en leveranciers. Een dergelijk benadering is volgens deskundigen geen overbodige luxe, want: ‘Degene waar is ingebroken, is vaak niet degene die de meeste schade lijdt’.
Lees ook: Cybercriminaliteit: ‘Ook in transport en logistiek is de mens vaak de zwakste schakel’
Buiten spel gezet
De nieuwe richtlijn geldt voor veel meer bedrijven dan zijn voorganger. Dat leidt tot exponentiele toename van het aantal leveranciers dat aan de tand kan worden gevoeld. Ondernemingen die hun cyberveiligheid niet goed op orde hebben – en dit zijn met name kleine bedrijven- dreigen zichzelf buiten spel te zetten. Vanaf oktober 2024, wanneer de EU-lidstaten NIS2 hebben vertaald naar lokale wetten en ook boetes kunnen worden uitgedeeld aan bedrijven die hun cyberrisico’s niet goed beheren, zal dit scenario van uitsluiting nog reëler worden.
Over de gehele linie blijkt dat bedrijven zich niet erg verdiept te hebben in deze nieuwe regulering; slechts 11 procent van de ondervraagden heeft dat gedaan.
Ondernemers voelen de urgentie nog niet zo. Maar over een half jaar is er paniek als de publicaties langskomen. Pas dan beseffen zij hoeveel werk en kennis er nodig is om op tijd aan die wetgeving te kunnen voldoen.
Overigens vertrouwt een meerderheid van de bedrijven erop dat zij voldoen aan wet- en regelgeving op het gebied van cyberveiligheid: binnen het mkb is dat 53% en bij grote bedrijven bijna 70%.
Boardroom
Door de toenemende digitalisering is het belangrijk het risicomanagement op orde te brengen. Het is daarom belangrijk dat cybersecurity overal in de bedrijfsvoering wordt ingebed. Veiligheid en commercie staan namelijk soms op gespannen voet. Kies je om snel de markt op te gaan met een nieuwe functionaliteit of nieuwe app, dan mag dit niet ten koste gaan van de cyberveiligheid van de IT-oplossing.
Ook kost het tijd en geld om applicaties veilig te houden. Dat is iets waar bedrijven, zolang er nog nooit iets is gebeurd, eerder geneigd zijn op te bezuinigen. Gelukkig wordt de samenwerking tussen IT-specialisten binnen een bedrijf en de directie steeds intensiever. Cybersecurity moet ‘gewoon’ een boardroom-topic worden.
U las zojuist één van de gratis premium artikelen
Onbeperkt lezen? Maak gebruik van de exclusieve aanbieding
Bekijk de aanbiedingBent u al abonnee?
Onbetrouwbaar
Uit de Cybersecuritymonitor 2022 van het CBS blijkt dat in 2021 ruim 2.000 bedrijven zijn afgeperst met behulp van gijzelsoftware. Ruim tien procent betaalde daadwerkelijk losgeld om weer toegang te krijgen tot de bedrijfsgegevens.
Daarnaast hadden vier op de tien bedrijven andere kosten om het bedrijf weer aan de gang te krijgen, zoals het vervangen van de software met een backup, het vervangen van de ICT-systemen of de inhuur van ICT-specialisten.
Helft van jaaromzet
In ruim de helft van de gevallen bedraagt het losgeld meer dan de helft van de jaaromzet van het bedrijf. Het zijn vooral de kleine bedrijven die betalen. De ruim 2.000 getroffen bedrijven zijn ondernemingen met meer dan twee personeelsleden.
Uit het onderzoek blijkt dat ook 4.000 zzp’ers te maken kregen met gijzelsoftware. Zij betaalden meestal niet. Van de getroffen kleine bedrijven met twee tot tien werknemers, betaalde 14% het losgeld. Bij grote bedrijven met 250 of meer werknemers ging het om ruim 4%.
Overigens hielp het losgeld betalen niet altijd. Criminelen zijn niet te vertrouwen. In meer dan de helft van de gevallen werden bedrijfsgegevens na betaling niet of maar gedeeltelijk vrijegegeven. Dat gebeurde vooral bij kleine bedrijven.
Lees ook: MKB isoleert zich door beperkt bewustzijn cyberdreiging
Bewustwording
Terwijl het percentage ervaringsdeskundigen onder mkb’ers en zzp’ers snel toeneemt, is hun risicoperceptie juist gedaald. De risicoschatting van deze bedrijven loopt dus sterk uit de pas met de daadwerkelijk dreiging. Maar onder de grootste organisaties – met een jaaromzet van tien miljoen euro of meer – laat de risicoperceptie juist een duidelijk stijging zien, van 41% in 2022 naar 64% dit jaar.
Het zich onvoldoende bewust zijn van risico’s heeft er alles mee te maken dat cyberrisico’s voor kleinere ondernemers ongrijpbaar zijn. Een brand of een inbraak kun je zien, maar een hack niet. En omdat de media volop berichten over de grootste zaken, wordt het mkb-perspectief veel minder sterk belicht, aldus een cyberveiligheidspecialist van ThreadStone.
Meervoudige afpersing
Cybercriminelen spelen ook in op de afhankelijkheden binnen toeleveringsketens. Het Nationaal Cyber Security Centrum (NSSC) ziet dat gijzelsoftware-aanvallen steeds vaker gepaard gaan met tweevoudige of zelfs drievoudige afpersing. Waar bij een ‘gewone’ ransomeware-aanval de toegang tot gegevens of systemen wordt afgesloten en deze na betaling van losgeld weer wordt vrijgegeven, voegt tweevoudige afpersing extra urgentie toe. Men dreigt met publicatie van data als er niet wordt betaald. Dit kan schadelijk zijn voor leveranciers, partners en klanten.
Bij drievoudige afpersing worden deze derden direct in het verhaal betrokken en krijgen zij ook een losgeldeis opgelegd. Grote bedrijven, die automatisch samenwerken met meer partners, zijn door dergelijk praktijken kwetsbaarder. Volgens een recent rapport van het World Economic Forum (WEF) kreeg 39% van de organisaties met meer dan 1.000 werknemers te maken met een cyberincident dat begon bij een leverancier, dienstverlener of partner. Onder bedrijven met minder dan 1.000 werknemers bedroeg dit percentage 25%.
Eisen stellen
Grote organisaties houden de cyberweerbaarheid van hun partners en leveranciers daarom kritisch tegen het licht. Ze gaan steeds hogere eisen stellen aan hun toeleveranciers. Hebben zij hun zaken niet goed voor elkaar, dan doen ze geen zaken.
De kritische blik op ketenpartners zal nog extra worden versterkt door nieuwe Europese regelgeving op het gebied van cybersecurity. NIS2, de opvolger van de eerdere Network and Information Systems-richtlijn (NIS), spoort bedrijven aan om afspraken te maken rondom cyberveiligheid, en deze contractueel vast te leggen met hun directe partners en leveranciers. Een dergelijk benadering is volgens deskundigen geen overbodige luxe, want: ‘Degene waar is ingebroken, is vaak niet degene die de meeste schade lijdt’.
Lees ook: Cybercriminaliteit: ‘Ook in transport en logistiek is de mens vaak de zwakste schakel’
Buiten spel gezet
De nieuwe richtlijn geldt voor veel meer bedrijven dan zijn voorganger. Dat leidt tot exponentiele toename van het aantal leveranciers dat aan de tand kan worden gevoeld. Ondernemingen die hun cyberveiligheid niet goed op orde hebben – en dit zijn met name kleine bedrijven- dreigen zichzelf buiten spel te zetten. Vanaf oktober 2024, wanneer de EU-lidstaten NIS2 hebben vertaald naar lokale wetten en ook boetes kunnen worden uitgedeeld aan bedrijven die hun cyberrisico’s niet goed beheren, zal dit scenario van uitsluiting nog reëler worden.
Over de gehele linie blijkt dat bedrijven zich niet erg verdiept te hebben in deze nieuwe regulering; slechts 11 procent van de ondervraagden heeft dat gedaan.
Ondernemers voelen de urgentie nog niet zo. Maar over een half jaar is er paniek als de publicaties langskomen. Pas dan beseffen zij hoeveel werk en kennis er nodig is om op tijd aan die wetgeving te kunnen voldoen.
Overigens vertrouwt een meerderheid van de bedrijven erop dat zij voldoen aan wet- en regelgeving op het gebied van cyberveiligheid: binnen het mkb is dat 53% en bij grote bedrijven bijna 70%.
Boardroom
Door de toenemende digitalisering is het belangrijk het risicomanagement op orde te brengen. Het is daarom belangrijk dat cybersecurity overal in de bedrijfsvoering wordt ingebed. Veiligheid en commercie staan namelijk soms op gespannen voet. Kies je om snel de markt op te gaan met een nieuwe functionaliteit of nieuwe app, dan mag dit niet ten koste gaan van de cyberveiligheid van de IT-oplossing.
Ook kost het tijd en geld om applicaties veilig te houden. Dat is iets waar bedrijven, zolang er nog nooit iets is gebeurd, eerder geneigd zijn op te bezuinigen. Gelukkig wordt de samenwerking tussen IT-specialisten binnen een bedrijf en de directie steeds intensiever. Cybersecurity moet ‘gewoon’ een boardroom-topic worden.
U las zojuist één van de gratis premium artikelen
Onbeperkt lezen? Maak gebruik van de exclusieve aanbieding
Bekijk de aanbiedingBent u al abonnee?
