Veel mkb’ers wanen zich veilig van cybercrime omdat ze denken dat kleinere organisaties niet interessant zouden zijn voor hackers. Anderen denken dat ze door het inhuren van een IT-dienstverlener niet meer zelf verantwoordelijk zijn. Dit zijn beide verkeerde aannames. In dit artikel gaan wij in op de cybersecurity bedreigingen voor het mkb en waarom de onderneming hier zelf verantwoordelijk voor is.

Door gebrek aan kennis beseffen weinig ondernemers in het (klein) mkb welke risico’s zij lopen door cyberaanvallen. Kleinere organisaties zijn extra kwetsbaar door een combinatie van factoren, waaronder de brede inzet van aanvallen door hackers samen met de beperkte middelen en kennis die kleinere ondernemingen vaak hebben. Hieronder gaan wij in op deze dreigingen in en bespreken hoe deze verminderd kunnen worden.

De meeste aanvallen zijn ongericht en kunnen elk bedrijf raken

Verreweg de meeste cyberaanvallen worden uitgevoerd zonder van tevoren te kijken naar het slachtoffer. Hackers gebruiken bots om bijvoorbeeld op grote schaal phishing mails te sturen of om duizenden inlogpogingen op verschillende systemen uit te proberen. Het is schieten met hagel, maar soms tref je daarmee zeker doel. Dit is te vergelijken met spam, waar het idee van is dat als er maar genoeg pogingen worden gedaan het ergens wel raak zal zijn.

De omvang van een onderneming maakt dus weinig verschil in hoe snel het doelwit kan worden. Of het een bedrijfsnetwerk is waar 5 of 500 medewerkers op werken maakt voor de scripts van een hacker niet uit. De eerste stap is om ergens binnen te komen, wat er te halen valt wordt later pas bekeken.

Wat hierbij duidelijk moet zijn is dat het om actieve aanvallen gaat. Het is nog steeds belangrijk dat er geen bestanden met virussen worden gedownload en geopend, maar het overgrote deel van dit soort aanvallen worden actief door een hacker uitgevoerd.

Het klopt wel dat een groter bedrijf eerder te maken kan hebben met gerichte aanvallen. Een professionele groep hackers zal immers liever een groot bedrijf voor tientallen of honderden miljoen euro’s proberen af te persen en dus niet snel gericht achter een zzp’er aangaan. Aan dit soort gerichte aanvallen gaat veel onderzoek vooraf om de kans op ongemerkt binnen te dringen zo groot mogelijk te houden. De benodigde investering in tijd en middelen lonen alleen wanneer er een aannemelijk vermoeden is dat een aanval op het beoogde slachtoffer veel op zal leveren.

Kortom, kleinere organisaties hebben meestal te maken met ongerichte “toevallige” cyberaanvallen. En juist dit soort aanvallen zijn doorgaans goed tegen te houden mits de juiste systemen goed geconfigureerd en gebruikt worden ingezet. Daarnaast speelt het gedrag van de medewerkers een belangrijke rol. Je kunt nog zulke goede sloten op de deur hebben gezet, als iemand de deur open laat staan, kunnen vreemden nog steeds naar binnen wandelen.

Het aantal aanvallen blijft toenemen

Nu wordt weleens beweerd dat het aantal cyberaanvallen aan het afnemen is. Dit is niet waar. Wat waar is, is dat het aantal virusaanvallen afneemt, maar malware aanvallen en phishing aanvallen nemen sterk toe. Daarbij worden de cyberbedreigingen slimmer en minder goed zichtbaar.

Volgens onderzoek van het Ponemon Institute bleek dat 66% van het mkb in 2019 een cyberaanval had meegemaakt1. Meer recente onderzoeken tonen aan dat het aantal aanvallen nog steeds sterk aan het toenemen is. Tussen het tweede kwartaal van 2021 en 2022 nam het aantal cyberaanvallen wereldwijd met 32% toe2.

Kleinere bedrijven zijn vaak minder goed voorbereid

Kleinere ondernemingen hebben meestal minder middelen en kennis voor het beveiligen van de eigen kantoorautomatisering en zijn daardoor vaak een makkelijke prooi voor hackers. Over het algemeen geldt dat hoe kleiner de onderneming, hoe minder goed deze beschermd is. Dit geldt bij uitstek voor zzp’ers.

In de Cybersecuritymonitor 2021 van het CBS3 blijkt dat zzp’ers en kleine bedrijven met 10 of minder personeelsleden vaak beduidend achterlopen wanneer het gaat over beveiligingsmaatregelen. Het gaat hierbij om zaken zoals het gebruik van antivirus software, inloggen met tweefactor- of multi-factor authenticatie en het versleutelen en back-uppen van gegevens.

Uit het onderzoek blijkt ook dat kleine bedrijven door een gebrek aan kennis en middelen vaak achterlopen in het beoordelen van ict-risico’s. Zonder een goed beeld te hebben van welke dreigingen er zijn en hoe men zich hiertegen kan beschermen is het bijna onmogelijk om passende maatregelen te nemen. Om dit goed te kunnen doen is het raadzaam een kundige externe partij in te schakelen, maar die kost natuurlijk geld en dat is waar het mkb meestal niet al teveel van heeft.

Zonder deze expertise zullen de genomen maatregelen vaak beperkt blijven en is er zelden een goed werkend systeem om indringers te signaleren. Hierdoor krijgen hackers, als ze de basismaatregelen hebben kunnen omzeilen, soms gemakkelijk vrij spel binnen het interne netwerk.

De gevolgen van een aanval kunnen het einde van een bedrijf betekenen

Ongeacht de omvang van een bedrijf kunnen de gevolgen van een cyberaanval groot zijn. Dit kan zowel in direct financiële consequenties uitgedrukt worden, door het stilleggen van de werkzaamheden of het afpersen bij een ransomware aanval, of de reputatieschade zijn die enorm kan oplopen. Wanneer we ons bedenken dat kleinere bedrijven vaak minder financiële buffers beschikbaar hebben zal duidelijk worden dat een ransomware aanval tot een faillissement kan leiden.

Gerelateerd aan het vorige punt hebben kleinere bedrijven ook minder vaak de kundigheid om snel van een aanval te herstellen. Bijvoorbeeld doordat er geen procedure bestaat voor wanneer er een laptop vermist of gestolen wordt, of door een gebrek aan tests en controles van gemaakte back-ups en procedures voor het herstel daarvan.

Is mijn ICT dienstverlener verantwoordelijk?

Wat betreft de verantwoordelijkheid geldt dat deze in basis altijd bij de onderneming zelf ligt.

Wanneer een partij wordt ingeschakeld voor de installatie of het beheer van IT-middelen, dan mag verwacht worden dat dit op marktconforme wijze wordt gedaan. Maar geen dienstverlener zal (of kan) garanderen dat elke aanval buiten de deur wordt gehouden. In het beste geval doen ze hun best en spannen voor hun klanten in, maar uiteindelijk betalen zij niet het gelach.

Als een bedrijf een IT-dienstverlener inschakelt bestaat er wel zoiets als een zorgplicht. Een IT-bedrijf dat een server neerzet en daar een beheerdersgebruiker op instelt met het wachtwoord “1234” kan op nalatigheid worden aangesproken, maar zonder aanvullende afspraken kan er niet meer dan een marktconforme werkwijze worden verwacht.

Ook dient het bedrijf dat diensten afneemt de verantwoordelijkheid te nemen om op te reageren op het advies van diens leveranciers. Als er om kostenbesparing of om andere redenen wordt afgezien van het maken van back-ups of het installeren van beveiligingssoftware (zoals firewalls, antivirus en -malware), dan kan de IT-partij daar weinig aan doen en dus ook niet verantwoordelijk voor worden gesteld.

Een aantal beveiligingsmaatregelen dienen tegenwoordig als standaardonderdeel van hedendaagse bedrijfsvoering beschouwd te worden. Een ondernemer moet daarom ook zonder aandringen van een leverancier zich bedenken dat het maken van back-ups er gewoon bij hoort. De verhuurder hoeft niet te zeggen dat de deuren op slot gedraaid moeten worden, zal een rechter oordelen wanneer een diefstal heeft plaatsgevonden en dit het verweer van het slachtoffer zal zijn. Datzelfde geldt ook voor de algemeen bekende ICT-voorzieningen.

Wat te doen

Uit bovenstaande zal duidelijk zijn dat het beveiligen van gegevens en infrastructuur tegenwoordig een belangrijk en vanzelfsprekend onderdeel moet zijn van bedrijfsvoering, ongeacht de omvang van de onderneming. Je loopt altijd een risico en draagt daar verantwoordelijkheid voor. Indien door nalatigheid bijvoorbeeld klantgegevens op straat komen te liggen, kan je daarvoor dan ook aansprakelijk worden gesteld.

Vanuit de (semi)overheid is er een tal van initiatieven ontplooid om burgers en organisaties te helpen zich beter te beschermen tegen cybercriminaliteit. Voor bedrijven die nog weinig op dit gebied doen kan het zinvol zijn te starten met de vijf basisprincipes van veilig digitaal ondernemen4 van het Digital Trust Center (DCT) en de acht basismaatregelen cybersecurity5 van het Nationaal Cyber Security Centrum (NCSC). Deze twee lijsten hebben uiteraard overlap, maar vormen samen een goede basis waarop verder gebouwd kan worden.

Elke onderneming doet er goed aan deze aanbevelingen op te volgen. Nadat dit gedaan is kan er verder worden gekeken naar de mogelijke dreigingen en welke passende maatregelen daarvoor gerealiseerd moeten worden. Daarvoor kan het stappenplan risicoanalyse6 van het DCT en de bijbehorende tool voor risicoklassenindeling7 een goede start zijn.

Omdat beveiliging niet alleen een kwestie is van technische instellingen, maar juist iets is waar door iedere medewerker bewust mee om moet worden gegaan, is voorlichting en training van medewerkers daarnaast van essentieel belang.

Zoals eerder beschreven is het voor kleinere bedrijven die geen eigen IT-personeel in dienst hebben aan te raden om toch een externe partij in te schakelen voor een (eventueel snelle) audit van de genomen maatregelen. De benodigde kennis om een bedrijfsnetwerk en alle onderdelen van de kantoorautomatisering te beveiligen vergt immers een bepaalde mate van specifieke IT-expertise.