Mkb-managers verwachten dat hun organisatie na cyberaanval operationeel blijft

De helft van de ondervraagde mkb-managers in Nederland is ervan overtuigd dat hun organisatie een cyberaanval zou overleven zonder extra investeringen in IT en beveiliging. Daartegenover denkt 43% dat ze sinds het begin van de pandemie wel kwetsbaarder zijn geworden voor een aanval. 60% van de ondervraagden verwacht dat hun organisatie slachtoffer kan worden van een ransomware-misdaadgroep. Veel kleine organisaties beschouwen een verzekering als een uitweg, maar dat zal zonder een efficiënte beveiligingsstrategie wellicht te duur worden.

Dit blijkt uit onderzoek van Sophos. Ondanks het feit dat 47% van de ondervraagde managers denkt dat zijn organisatie niet uitgerust is met de recentste beveiligingstechnologieën en sinds de pandemie kwetsbaarder is voor phishing aanvallen (43%), zegt meer dan de helft (66%) ook dat extra investeringen in cybersecurity niet nodig zijn.

Verzekering is geen oplossing

Chester Wisniewski, Principal Research Scientist bij Sophos, ziet veel verschillen tussen kleinere en grotere mkb-organisaties wat betreft de aanpak van cybercrime-risico’s: “Veel kleinere organisaties zien een verzekering als hun uitweg bij cyberdreigingen. Maar als de huidige stand van uw security niet goed is, dan zal die verzekering helaas heel duur of zelfs onbetaalbaar worden. Tenzij de bedrijven ook beschikken over een efficiënte strategie om hun netwerk en gegevens te beschermen. Een reden te meer voor kleinere organisaties om hun beveiliging uit te besteden aan een partner die de risico’s begrijpt.”

Er kunnen meerdere redenen zijn waarom managers beslissen om geen bijkomende IT-investeringen te doen: bijvoorbeeld omdat ze zich niet bewust zijn van de risico’s, omdat ze er geen kennis van hebben of omdat ze denken dat investeringen in beveiliging te duur zijn. In de afgelopen jaren hebben cybercriminelen hun werkterrein echter ook uitgebreid naar mkb-bedrijven en daardoor is beveiliging belangrijker dan ooit. “Kleinere organisaties kunnen hun beveiliging naar een hoger niveau tillen door gebruik te maken van Managed Security Service Providers- (MSSP) en Managed Threat Response-diensten (MTR). Hierdoor hebben zij toegang tot meer middelen tegen een betaalbare prijs”, zegt Wisniewski.

Een plan tegen cybercrime

Investeren in beveiligingstechnologie is absoluut noodzakelijk, maar het is ook belangrijk om te kijken naar andere best practices zoals het opstellen van een cybercrime-plan. Iets meer dan eenderde van de Nederlandse managers (34%) geeft aan dat hun organisatie geen cybercrime-plan heeft. Een dergelijk plan kan ernstige verstoringen van de activiteiten voorkomen en het herstel bespoedigen. “Organisaties hebben een uitgebreide strategie nodig die meer dan alleen de IT-infrastructuur omvat. Het moet ook de juridische afdeling, PR, het senior management en de wetshandhaving omvatten”, zo legt Wisniewski uit.

Weten met wie je contact kunt opnemen is een ander belangrijk aspect van een cybercrime-plan, zowel voor grotere organisaties als voor mkb-bedrijven. “Meestal moet je in de eerste plaats je juridisch adviseur bellen. Die persoon zal wellicht het advies geven om contact op te nemen met de lokale politie en de functionaris voor gegevensbescherming. Ook een goede relatie met externe experts voor reactie op en herstel na een incident kan nuttig zijn”, luidt de conclusie van Wisniewski.

Het online onderzoek is uitgevoerd door marktonderzoeksbureau iVOX in opdracht van Sophos. Het onderzoek is uitgevoerd tussen 28 december 2021 en 11 januari 2022 onder 250 Nederlandse besluitvormers uit verschillende sectoren en van verschillende bedrijfsgroottes.