Nederlandse bedrijven zijn steeds vaker het doelwit van cyberaanvallen. Deze toenemende dreiging vormt ‘een groeiende uitdaging’ voor het bedrijfsleven en zelfstandigen zonder personeel (zzp’ers). Zij lopen achter de feiten aan en kunnen de snelheid waarmee hackers en cybercriminelen nieuwe aanvalsmethoden ontwikkelen niet bijbenen. Dat heeft geleid tot een weerbaarheidskloof tussen cyberdreigingen en digitale weerbaarheid.
Dat zegt het Digital Trust Center (DTC), dat onderdeel uitmaakt van het ministerie van Economische Zaken en Klimaat (EZK) (1). De instantie onderzocht de cyberweerbaarheid van het midden- en kleinbedrijf (mkb) en zzp’ers die actief zijn in Nederland.
Om de digitale weerbaarheid van kleine ondernemingen in kaart te brengen, brachten onderzoekers in kaart welke beveiligingsmaatregelen zij namen. Het doel van deze exercitie is enerzijds om bewustwording te creëren, en anderzijds om te achterhalen op welke punten het mkb haar cyberweerbaarheid kan opschroeven. Aan het onderzoek namen in totaal 766 ondernemers en zzp’ers deel.
In het onderzoek komt naar voren dat zowel het mkb als zzp’ers beveiligingsmaatregelen treffen om hackers en cybercriminelen buiten de deur te houden. Het installeren van antivirussoftware op apparaten is met 85 procent de meest genoemde maatregel onder kleine ondernemers. Phishing herkennen en het beveiligen van de domeinnaam komen op de tweede en derde plaats met respectievelijk 82 procent en 80 procent. Driekwart van de mkb’ers houdt verder een overzicht bij van alle apparaten en applicaties (78 procent) en maakt regelmatig een back-up van bedrijfsgegevens (77 procent).
Het herkennen van phishingmails (85 procent) en installeren van een virusscanner (83 procent) zijn ook bij zzp’ers de meest genoemde beveiligingsmaatregelen. Verder proberen kleine zelfstandigen zich te beschermen tegen cybercriminelen door een spamfilter in te stellen (77 procent), unieke wachtwoorden te gebruiken (73 procent) en werkapparatuur up-to-date te houden (68 procent).
Wat opvalt is dat zowel kleine ondernemers als zzp’ers tweefactorauthenticatie (2FA) een van de minst genoemde beveiligingsmaatregel is. In het mkb geeft 60 procent van de ondervraagden aan dat ze alle bedrijfsapplicaties met 2FA beschermen. Bij zelfstandigen zonder personeel is dat slechts 44 procent.
Minder dan de helft van de mkb’ers (43 procent) zegt te hebben overwogen om netwerksegmentatie of zero-trust policy door te voeren. Als een hacker of cybercrimineel een bedrijfsnetwerk weet te infiltreren en het netwerk is gesegmenteerd, heeft hij toegang tot slechts een deel van het netwerk en daarmee bedrijfsgegevens. Ruim de helft van de respondenten geeft aan macro’s te hebben uitgeschakeld (55 procent) en logging te hebben ingeschakeld (57 procent). Bij één op de drie kleine ondernemingen (35 procent) kunnen medewerkers zelf software installeren.
Een fout die de meeste zzp’ers begaan, is dat ze hun zakelijke computer ook voor privédoeleinden gebruiken. Het risico om een virus of andere malware binnen te halen is daardoor een stuk groter. Een kwart (28 procent) voert regelmatig een risicoanalyse uit om een inschatting te maken van de digitale veiligheid. Eén op de drie zelfstandigen zonder personeel (33 procent) heeft een bellijst achter de hand voor het geval zich een digitale noodsituatie voordoet.
“Hoewel de zzp-groep gemiddeld lager scoort op het nemen van de cybersecuritymaatregelen, heeft deze groep meer inzicht in de genomen maatregelen dan de mkb-groep”, concludeert het DTC. Bij het midden- en kleinbedrijf is het vaker onduidelijk of bepaalde beveiligingsmaatregelen wel of niet zijn genomen.
Een ander opvallend verschil tussen beide groepen is dat zzp’ers hun back-up minder vaak testen dan mkb’ers (54 procent tegenover 66 procent). Verder geeft 9 procent van de zzp’ers aan dat ze gebruikmaken van een IT-bedrijf om hun cybersecurity te regelen. Bij het mkb is dat 64 procent. Dat verklaart mogelijk waarom men in het mkb vaak geen idee heeft welke beveiligingsmaatregelen zijn geïmplementeerd.
