Ruim 2.000 bedrijven met twee medewerkers of meer en zo’n 4.000 zelfstandigen zonder personeel (zzp’ers) kregen in 2021 te maken met gijzelsoftware. Het leverde hackers echter niet veel geld op: gemiddeld betaalde 11 procent losgeld om weer toegang te krijgen tot bedrijfsgegevens. Van de zzp’ers betaalden vrijwel niemand.
Dat blijkt uit de Cybersecuritymonitor 2022 die het Centraal Bureau voor de Statistiek (CBS) vrijdag presenteerde (1).
Naar verhouding zijn grote bedrijven het vaakst het slachtoffer van hackers en cybercriminelen. Van de bedrijvend ie 250 werknemers of meer in dienst hebben, werd in 2021 geconfronteerd met de gevolgen van een ransomware-aanval. Bij zo’n aanval weten aanvallers de interne systemen van een bedrijf of organisatie binnen te dringen en belangrijke bedrijfsdata te versleutelen. De enige manier om weer toegang tot deze gegevens te krijgen, is door losgeld te betalen.
Slechts 4 procent van de grote bedrijven betaalde in 2021 losgeld nadat hun systemen geïnfecteerd waren met gijzelsoftware. Doorgaans ging het om één tot twee procent van de totale omzet.
Zzp’ers vormden in absolute zin de grootste groep slachtoffers. Afgezet tegen het totaal aantal zelfstandigen zonder personeel dat actief is in Nederland, ging het om slechts 0,3 procent. Zzp’ers van wie de data werd gegijzeld door hackers of cybercriminelen, betaalden vrijwel niemand. En als ze al betaalden, waren ze minder dan 0,1 procent van hun totale omzet kwijt aan losgeld.
Bij kleine bedrijven met maximaal tien medewerkers, viel twee jaar geleden het meeste te halen. Deze groep telde zo’n 1.400 slachtoffers. Omgerekend zo’n 14 procent betaalde losgeld. Eén op de elf slachtoffers (9,1 procent) moest meer dan de helft van de totale omzet neerleggen om een einde te maken aan de datagijzeling. Eén op de twintig slachtoffers (5,2 procent) betaalde niet meer dan 2 procent van de jaaromzet.
Slachtoffers die weigerden om losgeld te betalen, kregen te maken met andere kosten. Meer dan een derde van de bedrijven en organisaties met meer dan twee medewerkers (38 procent) zei kosten te hebben gemaakt om (een deel van) hun ICT-systemen te vervangen, of cybersecurityspecialisten van buitenaf in te huren. Omzetverlies omdat de bedrijfsvoering tijdelijk plat lag door een ransomware-aanval was een andere veelgenoemde kostenpost.
Tot slot schakelde 39 procent van de slachtoffers de hulp in van een cybersecuritybureau en 13 procent deed ook een beroep op de politie.
In de Cybersecuritymonitor 2022 hebben de onderzoekers tevens gekeken naar de veiligheidsmaatregelen die bedrijven en organisaties nemen om hun digitale weerbaarheid op te schroeven. Ongeveer twee derde van de zzp’ers (64 procent) zei in 2021 antivirussoftware te gebruiken om hackers en malware buiten de deur te houden. Bij grote en grotere organisaties lag dat aandeel tussen de 96 en 99 procent. Voor kleine zelfstandigen valt er dus nog een wereld te winnen.
Het gebruik van multifactorauthenticatie is de afgelopen vijf jaar fors toegenomen. In 2016 gebruikte een kwart van de Nederlandse ondernemers (26 procent) tweestapsverificatie, in 2021 was dat gestegen tot 46 procent. Zzp’ers zitten met 34 procent ver onder dit gemiddelde. Bij organisaties met 250 medewerkers of meer is het gemeengoed: 93 procent van hen geeft aan met MFA te werken.
De helft van de zzp’ers (53 procent) hanteert een beleid voor sterke wachtwoorden, bij grote organisaties is dat 98 procent. Niemand van de zelfstandigen zonder personeel deed in 2021 een ICT-cursus om bijvoorbeeld het bewustzijn voor digitale dreigingen of cybersecurity te vergroten. Onder grote organisaties bood driekwart (74 procent) een dergelijke cursus aan.
Tot slot was het gebruik van een Virtual Private Network of VPN onder zzp’ers het minst populair. Slechts 19 procent zei in 2021 gebruik te maken van een VPN. Bij bedrijven met meer dan 250 medewerkers was dat 84 procent. Een VPN maskeert je IP-adres en beveiligt al je internetverkeer door deze te versleutelen. Zo bescherm je je privacy en is je internetverbinding een stuk veiliger.
