Cijfers over cybersecurity 2017-06-29T09:43:09+00:00

Cybersecurity in het MKB

Cybercrime is een containerbegrip met veel facetten. Computercriminaliteit of cybercrime is razendsnel van kwajongenswerk uitgegroeid naar internationaal opererende netwerken die over de hele digitale wereld geld, goederen, informatie en identiteiten stelen en chanteren, afpersen en frauderen. De schade van cybercrime voor de Nederlandse economie in 2014 besloeg ongeveer 1,5% van het BNP, € 8,8 miljard (McAfee, 2014). Uit een analyse van Deloitte in april 2016 blijkt dat cybercrime Nederlandse bedrijven en de overheid jaarlijks ongeveer 10 miljard euro kost.

Om een globaal beeld te krijgen van een aantal belangrijke cybersecurity kenmerken is binnen Nederland een nulmeting gehouden. In totaal is de vragenlijst uitgezet onder 6 brancheverenigingen die gezamenlijk 29.328 leden vertegenwoordigen. In totaal zijn er 293 volledige vragenlijsten ingevuld. Deze volledige groep wordt in dit onderzoek vervolgens aangeduid als Nederland, afgezet tegen de respons van de leden van Adfiz.

Welke (essentiële) activiteiten ondernemen MKB-bedrijven in cyberspace?

Ondanks dat de desktop veelvuldig terugkomt binnen de branche, gebruiken niet alle werknemers een desktop. Dit percentage ligt dan ook lager dan het gemiddelde van de markt. Zakelijk wordt de mobiele telefoon vaker gebruikt dan een laptop, maar minder vaak dan een desktop. Ook deze cijfers liggen lager dan het landelijke gemiddelde.

Hoeveel van de onderstaande apparaten worden bedrijfsmatig gebruikt?
Percentage MKB in het bezit
van 1 of meer van de volgende apparaten:
Zijn deze apparaten met
het internet verbonden?

Vrijwel alle bedrijven (>90%) geven aan dat deze apparaten met het internet zijn verbonden.

Deze resultaten zullen in een informatietijdperk niet tot verbazing leiden, het is echter belangrijk te realiseren dat elk met het internet verbonden apparaat een mogelijke ingang tot het eigen bedrijfsnetwerk kan betekenen.

Hoe wordt de server van jouw bedrijf beheerd?

De server van het bedrijfsnetwerk is de centrale plek van waaruit diensten worden aangeboden aan aangesloten apparaten. Opvallend binnen de branche is dat 80% het beheer van de server uitbesteed heeft aan een externe IT-specialist.

Windows 10

Windows(10) is het meest gehanteerde besturingssysteem op server niveau. Het is belangrijk op de hoogte te blijven van de levenscyclus van het gebruikte besturingssysteem. Oudere systemen worden niet meer ondersteund en up-to-date gehouden door de uitgever, dit heeft implicaties voor onder meer de veiligheid van het product. Dit is bijvoorbeeld het geval voor Windows XP, voor Windows Vista is dit reeds aangekondigd. Dit soort informatie is op de website van de productleverancier te vinden.

Oudere systemen worden niet meer ondersteund en up-to-date gehouden door de uitgever.

Welke netwerkvoorzieningen komen voor in de bedrijfsnetwerken?

Een basisregel om een netwerkverbinding te beveiligen, is om het netwerk af te schermen middels een firewall. Iets meer dan de helft van de bedrijven geeft aan deze voorziening te hebben. Daarnaast is een mogelijkheid een extra beveiliging in te bouwen middels een beschermde verbinding (VPN) tussen je netwerk en het internet. Slechts een minderheid neemt deze extra maatregel.

Netwerkvoorzieningen die voorkomen binnen het bedrijfsnetwerk

Een beveiligde draadloze netwerkverbinding van het eigen bedrijfsnetwerk is van belang. Respondenten is gevraagd of derden toegang krijgen tot het bedrijfsnetwerk. Twee derde van de bedrijven geeft aan deze toegang te geven, een beperkt aantal respondenten verleent deze dienst zelf zonder wachtwoord. 20% geeft aan een speciaal gastennetwerk te hebben, dit is veruit de meest veilige vorm om je netwerk open te stellen.

20%

20% geeft aan dit voor een speciaal gasten netwerk te doen, dit is veruit de meest veilige vorm om deze dienst aan je gasten te leveren.

Kunnen derden (zoals gasten) via het netwerk van het bedrijf het internet benaderen?

Alle bedrijven geven aan een website te hebben

Het merendeel hiervan is extern gehost.

Een minderheid heeft een website waarmee transacties kunnen worden gedaan (webshop) of waarmee interactie is met klanten of medewerkers. Hier kunnen veiligheidsrisico’s aan vast zitten wanneer de website geen beveiligingscertificaat (HTTPS) heeft, in dit geval zijn transacties niet versleuteld en zichtbaar voor derden.

Veilig internetten https ssl
10%

Slechts 10% van de respondenten geeft aan een website met een beveiligingscertificaat te hebben.

Welke situatie past bij de websites van de bedrijven?

Hoe gaan bedrijven om met digitale bedrijfsinformatie?

Het bedrijf is verplicht een functionaris voor informatiebeveiliging (ook wel functionaris gegevensbescherming of privacy officer genoemd) in dienst te hebben als een bedrijf persoonsgegevens bewerkt.

Voor de functie is een hoog niveau van deskundigheid vereist, veelal worden externe partijen ingehuurd of wordt een deskundige werknemer verantwoordelijk gesteld. De meerderheid van de respondenten heeft geen functionaris voor informatiebeveiliging. Volgens de WBP zijn gegevens van overledenen geen persoonsgegevens, echter klantgegevens of verzamelde informatie rondom uitvaarten kunnen wel privacygevoelig zijn.

In het kader van informatiebeveiliging kan het belangrijk zijn de toegang tot bedrijfsinformatie te reguleren. De meerderheid van de bedrijven geeft aan dat medewerkers alleen toegang hebben tot de informatie die zij voor hun werkzaamheden nodig hebben. De meerderheid van de respondenten geeft ook aan dat er externe partijen zijn die eveneens toegang hebben tot bedrijfsgevoelige digitale informatie.

Heeft jouw bedrijf een functionaris voor informatiebeveiliging?
Hebben de medewerkers binnen jouw bedrijf toegang tot de digitale bedrijfsinformatie?
Zijn er partijen die niet in dienst zijn bij jouw bedrijf, maar die wel toegang hebben tot de digitale bedrijfsinformatie?

Welke maatregelen nemen MKB-bedrijven…

…om hun informatie en bedrijf te beveiligen en beschermen tegen cybercrime?

In de afgelopen decennia is een grote hoeveelheid aan gidsen, standaarden, richtlijnen en beleidsvoorstellen ontwikkeld over cybersecurity. Een probleem is ook dat veel standaarden voor cybersecurity ontwikkeld zijn voor grotere bedrijven. Het is voor midden- en kleinbedrijven moeilijker dan voor grote ondernemingen om voldoende capaciteit vrij te maken om de secundaire processen binnen de onderneming effectief te organiseren. Dat geldt voor facilitaire dienstverlening, voor financiële zaken als boekhouden en belastingen, maar ook voor informatietechnologie en cybersecurity.

De internationale kamer van koophandel (ICC) heeft daarom een gids opgesteld met principes en kernstappen voor bedrijven van alle groottes. De eerste kernstap  is het maken van back-ups van bedrijfsinformatie, voordat deze informatie gestolen, bewerkt, verloren of gewist wordt.

Bijna alle respondenten geven aan een vorm van back-up te maken om de toegang tot informatie te garanderen.

Welke back-up voorzieningen worden in jouw bedrijf gebruikt?

Een volgende kernstap is het investeren in training voor personeel. Het is belangrijk dat personeel op de hoogte is van de belangrijkste cyberrisico’s die het bedrijf loopt en hoe zij moeten handelen om deze risico’s te verkleinen. In veel gevallen is een veiligheidsbreuk het gevolg van menselijk handelen. De meerderheid van de bedrijven (>75%) geeft aan dat medewerkers op de hoogte zijn gebracht van de meeste risico’s. Dit betekent wel dat dit voor een kleine groep nog niet het geval is. Daarnaast zijn er door minder  bedrijven(30%-60%) regels opgesteld over veilig gedrag van werknemers. Hiermee lopen bedrijven mogelijk een risico. Een laatste kernstap is het voorbereiden op het geval van een veiligheidsbreuk.

Een belangrijk onderdeel van risicomanagement is immers niet alleen het verkleinen van de mogelijkheid dat een breuk zich voordoet, maar ook het verkleinen van de impact die een breuk met zich meebrengt. Scenario’s en protocollen kunnen een bedrijf hierbij helpen. Vrijwel geen enkel bedrijf heeft zulke maatregelen genomen.

Welke beleidsmaatregelen heeft het bedrijf genomen om online risico’s (zoveel mogelijk) uit te sluiten?

Risicofactoren

Welke risicofactoren worden onderscheiden en hoe schat het MKB het eigen risico in?

Daarom is financieel adviseurs gevraagd op het verlies of aanpassing van welke informatie of gegevens zij het grootste risico denken te lopen.

Zij geven aan dat met name gegevens voor de bedrijfsvoering en over klanten van groot belang zijn.

Deze belangrijke informatie staat bij driekwart van de ondervraagde bedrijven opgeslagen op het bedrijfsnetwerk. IT risico’s binnen het eigen netwerk beperken zich daarmee niet enkel tot de communicatie maar tot de (gehele) informatievoorziening van bedrijven.

STELLING

Ik ben mij bewust van de online veiligheidsrisico’s (cybercrime) die mijn bedrijf loopt?

Hoe groot schat een ondernemer de kans dat een MKB-bedrijf in Nederland in een periode van 12 maanden slachtoffer wordt van een cybercrime (mislukte pogingen niet meegerekend)?

Slachtofferschap

Wat is de aard en omvang van slachtofferschap van cybercrime onder MKB-bedrijven?

Een kleine minderheid (40%) geeft aan pogingen van cybercrime op de eigen organisatie te hebben ondervonden.

20% geeft aan daadwerkelijk slachtoffer te zijn geweest van cybercrime.

20%
In hoeverre heeft het bedrijf in de afgelopen twaalf maanden te maken gehad met de volgende criminaliteitsvormen?

In de tabel zie je de mate waarin het MKB in Nederland in aanraking is gekomen met verschillende vormen van cybercrime. Opvallend is dat malware en phishing de meest voorkomende criminaliteitsvormen blijken te zijn.

Laat eenvoudig je bedrijfsnetwerk en website scannen

Benieuwd waar jouw kwetsbaarheden liggen? Het is minder dan 3 minuten werk en je ontvangt binnen 24 uur de gevonden kwetsbaarheden.

Doe je Cyber Risico Scan

We sturen je door naar veiligzakelijkinternetten.nl