Onderzoek: Kleine bedrijven hebben te weinig oog voor eigen cyberveiligheid

[Digital Trust Center]

Een derde van de kleine bedrijven onderneemt geen enkele actie om veilig online te zijn. De aankomende NIS2-richtlijn, die gericht is op een versterking van de digitale en economische weerbaarheid, is nog onbekend bij het merendeel van de medewerkers. En phishing is nog steeds de meest voorkomende vorm van cybercriminaliteit binnen de werkomgeving.

 

Een greep uit de resultaten van het Alert Online-trendonderzoek dat vandaag is gepubliceerd. In opdracht van het ministerie van Economische Zaken voerde Ipsos I&O onderzoek uit naar de kennis en beleving van de digitale veiligheid van Nederlanders. Op deze pagina zoomen we in op enkele opvallende bevindingen uit het Deelrapport Bedrijfsleven.

 

Medewerkers schatten eigen kennis over online veiligheid hoger in dan in 2023

Ruim een kwart (27%) van de medewerkers schat hun eigen kennis over online veiligheid in als (zeer) goed. In 2023 lag dit percentage op 21%. ICT-verantwoordelijken schatten hun kennis hoger in dan andere medewerkers. Het aandeel ICT-verantwoordelijken dat zijn of haar kennis als (zeer) goed beoordeelt, is 53%. Aan de andere kant maken vier op de tien (40%) ICT-verantwoordelijken zich zorgen over de eigen online veiligheid op het werk. Voor medewerkers is dit percentage significant lager: 23% zegt zich zorgen te maken.

 

NIS2-richtlijn nog onbekend onder het gros van de medewerkers

De NIS2-richtlijn voor informatiebeveiliging gaat vanaf oktober 2024 in. Een derde (33%) van de ICT-verantwoordelijken heeft wel eens van de NIS2-richtlijn gehoord of is goed op de hoogte. In de sectoren die onder de NIS2-richtlijn vallen, is 45% van de ICT-verantwoordelijken bekend met de richtlijn. Medewerkers binnen alle andere typen bedrijven zijn minder goed op de hoogte: 85% heeft nog nooit van NIS2 gehoord. Negen op de tien zijn er niet van op de hoogte dat hun bedrijf (waarschijnlijk) onder de richtlijn gaat vallen.

 

Een derde van kleine bedrijven onderneemt geen actie om veilig online te zijn

Inloggen in twee stappen is de meest genomen actie ten behoeve van online veilig gedrag bij bedrijven (medewerkers: 38%). Ook door ICT-verantwoordelijken (54%) en medewerkers van grote bedrijven (50%) wordt deze maatregel het vaakst genoemd. Bij drie op de vijf medewerkers maakt de werkgever automatische back-ups van alle bestanden.

 

Kleine bedrijven ondernemen minder acties. Bovendien onderneemt een derde van deze bedrijven (32%) geen enkele actie ten behoeve van veilig online gedrag. Grote bedrijven ondernemen naar verhouding juist meer acties. Bij bedrijven waar afspraken zijn gemaakt over veilig online gedrag, vinden vier op de vijf medewerkers het gemakkelijk om zich aan die afspraken te houden.

 

Opvallend is dat kleine bedrijven met minder dan 10 werknemers vaker dan in 2023 aangeven geen maatregelen te nemen ten behoeve van veilig online gedrag. In 2023 nam 19% van de bedrijven geen enkele actie, dat percentage is nu gestegen naar 32%.

 

Phishing komt het vaakst voor

Zes op de tien (58%) medewerkers ontvingen in de afgelopen twaalf maanden een phishingmail. Onder ICT-verantwoordelijken was dit zelfs 72%. Bij beide groepen is dit de vorm van cybercriminaliteit die men het meest meemaakt. Net zoals in 2023 hebben ICT-verantwoordelijken vaker te maken met verschillende voorgelegde vormen van cybercriminaliteit dan andere medewerkers. Ruim de helft van de medewerkers zou zich schamen wanneer hij of zij op een phishinglink heeft geklikt, driekwart zou het meteen aan anderen of aan de ICT-afdeling vertellen als hij of zij per ongeluk een virus gedownload heeft.

 

Onderzoek Alert Online 2024

Elk jaar wordt een onderzoek gedaan naar de kennis, houding en gedrag van verschillende doelgroepen op het gebied van online veiligheid. Het onderzoek bestaat uit een hoofdrapport en deelrapporten over het bedrijfsleven en de overheid. Voor het deelrapport Bedrijfsleven is het onderzoek uitgevoerd onder 738 medewerkers en 417 ICT-verantwoordelijken. Download het deelrapport om de inzichten van de werknemers in het bedrijfsleven te lezen.
 

Cybersubsidie voor kleine bedrijven

Het kan zijn dat kleine bedrijven een financiële drempel ervaren bij het nemen van hoognodige basismaatregelen. Daarom stelt het Digital Trust Center tijdelijk een subsidie van maximaal €1.250 beschikbaar voor kleine bedrijven die hun cyberweerbaarheid willen verhogen. Via de gratis CyberVeilig Check voor mkb en zzp krijg je in een paar minuten in beeld welke cybermaatregelen je nog moet treffen om de basis op orde te maken. Meer informatie over de subsidie. 

[Jasper S.]

Moet de overheid niet eerst een hand in eigen boezem steken?

Zij staan nou niet echt bekend om hun sterke ICT afdeling.

 

2 simpele voorbeelden
- Het lukt niet om in een periode van 10 jaar om de servers veilig te verhuizen vanaf het binnenhof naar een nieuwe locatie.
- Ik heb ongeveer een jaar geleden gemeld dat de website van de belastingdienst een serieuze fout bevat. Ik zal het verder niet melden hier, maar er wordt laconiek over gedaan en het risico op misbruik is minimaal. Het betreft over de veiligheid van je gegevens op een openbare computer. Waardoor je toegang hebt tot alle zakelijk belastingen van de afgelopen 7 jaar. En dat je met gemak aangiftes kan doen, kan intrekken, het maken van valse aangiftes, maar ook eerste dagsmeldingen.
En als klap op de vuurpijl, het aanpassen van rekeningnummers.
Maar zoals men zei over de telefoon waren er geen meldingen van misbruik en hadden ze geen mogelijkheden om het te testen. Mijn aanbod met teamviewer werd afgeslagen.
Wel wilde de dame het doorgeven aan de juiste afdeling, maar het probleem is er nog steeds.

Maar terug op het onderzoek, ik vind het wel interessant, dus heb de pagina van NIS2-startpunt gelezen.
Maar ik snap dat een hoop bedrijven hier niet door heen komen. Ik kwam met moeite door maatregel 1 heen, hoewel ik niet precies begreep wat nu de maatregel zou moeten zijn. Bij maatregel 2 moest ik afhaken, toen snapte ik er al niets meer van.

Maar niet getreurd er is de NIS2 Quickscan.

En via de NIS2-zelf-evaluatie, kun je kijken of je bedrijf aan de wet moet voldoen.
Ik was snel klaar, na de eerste stap kreeg ik de melding:
NIS2 is niet van toepassing.

 

Ik heb de quickscan wel doorgelopen, ik had uiteindelijk 0 punten, maar vooral omdat ik de vragen en de toelichting erop niet begreep. De termen die nu gebruikt zijn ken ik niet of heb ik ooit van gehoord.
Maar misschien had ik ze wel begrepen als ik wel tot de doelgroep hoorde.

30 september 2024 aangepast door Jasper S.

[Inspiresta]

Te omslachtig voor de kleine ondernemer. 

[Jasper S.]

Helaas neemt de huidige regering de boel ook niet serieus.
Ze gaan er 4 a 5 jaar over doen om dit probleem op te lossen:

https://www.nu.nl/tech/6330663/hacker-kon-stoplichten-op-afstand-besturen-mogelijk-tienduizenden-kwetsbaar.html
 

5 oktober 2024 aangepast door Jasper S.

[StevenK]

Op 30-9-2024 om 22:23, Jasper S. zei:

Moet de overheid niet eerst een hand in eigen boezem steken?

Hiermee laat je precies zien wat het probleem is: jij ervaart dit kennelijk als 'weer nieuwe regels', niet als tips voor jouw organisatie. Zoals ik het lees wordt die NIS2 alleen erbij gehaald als illustratie van belabberd we ervoor staan. Het gaat er over dat er teveel bedrijven zijn die zo weinig aan beveiliging doen, dat ze kwetsbaar zijn.

 

Als je van de éne op de dag niet meer bij je data kunt of juist anderen al jouw data hebben, dan is het te laat. De categorie ondernemers die tegen alles dat te verzekeren is een verzekering afsluit heeft dan wellicht nog wat dekking uit een 'cyberpolis', maar de meeste ondernemers zullen zich geconfronteerd zien met grote schade.

 

En dat begint er eigenlijk al mee dat de meeste organisaties niet eens een deugdelijke beschrijving hebben van alle informatie die ze verwerken. Want zonder die beschrijving kun je ook geen plan maken wat je met die informatie wil doen, zowel qua (beperking van) toegang als qua opslag en recovery.

 

Zelfs bij organisaties die ooit bedacht hebben alles in één CRM of ERP systeem te stoppen ontdek je vaak tientallen andere applicaties en honderden excellijstjes die niet in kaart zijn gebracht.