Cijfers over cybersecurity 2017-06-30T07:50:32+00:00

Nul-meting cybersecurity in het MKB

Cybercriminaliteit is een containerbegrip met veel facetten. Computercriminaliteit is razendsnel van kwajongenswerk uitgegroeid naar internationaal opererende netwerken die over de hele digitale wereld geld, goederen, informatie en identiteiten stelen en chanteren, afpersen en frauderen. De schade van cybercriminaliteit voor de Nederlandse economie in 2014 besloeg ongeveer 1,5% van het BNP is € 8,8 miljard (McAfee, 2014). En uit een analyse van Deloitte in april 2016 blijkt dat cybercriminaliteit Nederlandse bedrijven en de overheid jaarlijks ongeveer 10 miljard euro kost.

Om een globaal beeld te krijgen over een aantal belangrijke cybersecurity kenmerken is binnen Nederland een nulmeting gehouden. In totaal is de vragenlijst uitgezet onder 6 brancheverenigingen die gezamenlijk 29328 leden vertegenwoordigen. In totaal zijn er 293 volledige vragenlijsten ingevuld. Deze volledige groep wordt in dit onderzoek vervolgens aangeduid als Nederland, afgezet tegen de respons van BGNU.

Welke (essentiële) activiteiten ondernemen MKB-bedrijven in cyberspace?

BGNU leden hebben gemiddeld minder desktop devices in het bedrijf dan het gemiddelde van Nederland. Wel geven alle respondenten aan een desktop te gebruiken. Daarnaast worden de laptop en smartphone meer bedrijfsmatig gebruikt dan het Nederlandse gemiddelde.

Hoeveel van de onderstaande apparaten worden bedrijfsmatig gebruikt?
Percentage MKB in het bezit
van 1 of meer van de volgende apparaten:
Zijn deze apparaten met
het internet verbonden?

Vrijwel alle bedrijven (>80%) geven aan dat deze apparaten met het internet zijn verbonden.

Deze resultaten zullen in een informatietijdperk niet tot verbazing leiden, het is echter belangrijk te realiseren dat elk met het internet verbonden apparaat een mogelijke ingang tot het eigen bedrijfsnetwerk kan betekenen.

Hoe wordt de server van jouw bedrijf beheerd?

De server van het bedrijfsnetwerk is de centrale plek van waaruit diensten worden aangeboden aan aangesloten apparaten. De meerderheid van de bedrijven geeft aan dat zij de server laten beheren door een externe IT-specialist. Dit is over het algemeen gangbaar voor kleinere ondernemingen.

Windows 10

Windows(10) is het meest gehanteerde besturingssysteem op server niveau. Het is belangrijk op de hoogte te blijven van de levenscyclus van het gebruikte besturingssysteem. Oudere systemen worden niet meer ondersteund en up-to-date gehouden door de uitgever, dit heeft implicaties voor onder meer de veiligheid van het product. Dit is bijvoorbeeld het geval voor Windows XP, voor Windows Vista is dit reeds aangekondigd. Dit soort informatie is op de website van de product leverancier te vinden.

Oudere systemen worden niet meer ondersteund en up-to-date gehouden door de uitgever.

Welke netwerkvoorzieningen komen voor in de bedrijfsnetwerken?

Om een netwerkverbinding te beveiligen is een basismaatregel het netwerk af te schermen met een firewall, iets meer dan de helft van de bedrijven geeft aan deze voorziening te hebben. Daarnaast is er de mogelijkheid om een extra beveiliging in te bouwen middels een beschermde verbinding (VPN) tussen je netwerk en het internet. Slechts een minderheid neemt deze extra maatregel.

Netwerkvoorzieningen die voorkomen binnen het bedrijfsnetwerk

Een beveiligde draadloze netwerkverbinding van het eigen bedrijfsnetwerk is van belang. Respondenten is gevraagd of derden toegang krijgen tot het bedrijfsnetwerk. Meer dan de helft van de bedrijven geeft aan deze toegang te geven, een kleine groep zelfs zonder wachtwoord. 10% geeft aan een speciaal gasten netwerk te hebben, dit is veruit de meest veilige vorm om je netwerk open te stellen.

10%

10% geeft aan een speciaal gasten netwerk te hebben, dit is veruit de meest veilige vorm om deze dienst aan je gasten te leveren.

Kunnen derden (zoals gasten) via het netwerk van het bedrijf het internet benaderen?

Alle bedrijven geven aan een website te hebben

Het merendeel hiervan is extern gehost.

Een minderheid heeft een website waarmee transacties kunnen worden gedaan (webshop) of waarmee interactie is met klanten of medewerkers. Hier kunnen veiligheidsrisico’s aan vast zitten wanneer de website geen beveiligingscertificaat (HTTPS) heeft, in dit geval zijn transacties niet versleuteld en zichtbaar voor derden.

Veilig internetten https ssl
20%

Slechts 20% van de respondenten geeft aan een website met een beveiligingscertificaat te hebben.

Welke situaties past bij de websites van de bedrijven?

Hoe gaan bedrijven om met digitale bedrijfsinformatie?

Het bedrijf is verplicht een functionaris voor informatiebeveiliging (ook wel functionaris gegevensbescherming of privacy officer genoemd) in dienst te hebben als een bedrijf persoonsgegevens bewerkt.

Voor de functie is een hoog niveau van deskundigheid vereist, veelal worden externe partijen ingehuurd of wordt een deskundige werknemer verantwoordelijk gesteld. De meerderheid van de respondenten heeft geen functionaris voor informatiebeveiliging. Volgens de WBP zijn gegevens van overledenen geen persoonsgegevens, echter klantgegevens of verzamelde informatie rondom uitvaarten kunnen wel privacygevoelig zijn.

In het kader van informatiebeveiliging kan het belangrijk zijn de toegang tot bedrijfsinformatie te reguleren. De meerderheid van de bedrijven geeft aan dat medewerkers alleen toegang hebben tot de informatie die zij voor hun werkzaamheden nodig hebben. De meerderheid van de respondenten geeft ook aan dat er externe partijen zijn die eveneens toegang hebben tot bedrijfsgevoelige digitale informatie.

Heeft jouw bedrijf een functionaris voor informatiebeveiliging?
Hebben de medewerkers binnen jouw bedrijf toegang tot de digitale bedrijfsinformatie?
Zijn er partijen die niet in dienst zijn van het bedrijf, maar die wel toegang hebben tot jouw digitale bedrijfsinformatie?

Welke maatregelen nemen MKB-bedrijven…

…om hun informatie en bedrijf te beveiligen en beschermen tegen cybercriminaliteit?

In de afgelopen decennia is een grote hoeveelheid aan gidsen, standaarden, richtlijnen en beleidsvoorstellen ontwikkeld over cybersecurity. Een probleem is ook dat veel standaarden voor cybersecurity ontwikkeld zijn voor grotere bedrijven. Het is voor midden- en kleinbedrijven moeilijker dan voor grote ondernemingen om voldoende capaciteit vrij te maken om de secundaire processen binnen de onderneming effectief te organiseren. Dat geldt voor facilitaire dienstverlening, voor financiële zaken als boekhouden en belastingen, maar ook voor informatietechnologie en cybersecurity.

De internationale kamer van koophandel (ICC) heeft daarom een gids opgesteld met principes en kernstappen voor bedrijven van alle groottes. De eerste kernstap  is het maken van back-ups van bedrijfsinformatie, voordat deze informatie bewerkt, verloren, gewist of afgesloten wordt.

Bijna alle respondenten geven aan een vorm van back-up te maken om de toegang tot informatie te garanderen.

Welke back-up voorzieningen worden in jouw bedrijf gebruikt?

Een volgende kernstap is het investeren in training voor personeel. Het is belangrijk dat personeel op de hoogte is van de belangrijkste cyberrisico’s die het bedrijf loopt en weet hoe het moet handelen om deze risico’s te verkleinen. In veel gevallen is een veiligheidsbreuk het gevolg van menselijk handelen. De meerderheid van de bedrijven (60%- 80%) geeft aan dat medewerkers op de hoogte zijn gebracht van de meeste risico’s. Dit betekent wel dat dit voor een aanzienlijke groep nog niet het geval is. Hiermee lopen bedrijven een risico. Een laatste kernstap is het voorbereiden op het geval van een veiligheidsbreuk.

Een belangrijk onderdeel van risicomanagement is immers niet alleen het verkleinen van de mogelijkheid dat een breuk zich voordoet, maar ook het verkleinen van de impact die een breuk met zich mee brengt. Scenario’s en protocollen kunnen een bedrijf hierbij helpen. Vrijwel geen enkel bedrijf heeft zulke maatregelen genomen.

Welke beleidsmaatregelen heeft het bedrijf genomen om online risico’s (zoveel mogelijk) uit te sluiten?

Risicofactoren

Welke risicofactoren worden onderscheiden en hoe schat het MKB het eigen risico in?

Uitvaartorganisaties is gevraagd ten aanzien van welke informatie of gegevens zij denken het grootste risico te lopen.

Zij geven aan dat met name gegevens voor de bedrijfsvoering en over klanten van groot belang zijn.

Deze belangrijke informatie staat bij een meerderheid van de ondervraagde bedrijven opgeslagen op het bedrijfsnetwerk. IT risico’s binnen het eigen netwerk beperken zich daarmee niet enkel tot de communicatie maar tot de (gehele) informatievoorziening van bedrijven.

STELLING

Ik ben mij bewust van de online veiligheidsrisico’s (cybercriminaliteit) die mijn bedrijf loopt?

Hoe groot schat een ondernemer de kans dat een MKB-bedrijf in Nederland in een periode van 12 maanden slachtoffer wordt van cybercriminaliteit (pogingen niet meegerekend)?

Slachtofferschap

Wat is de aard en omvang van slachtofferschap van cybercriminaliteit onder MKB-bedrijven?

Een kleine minderheid geeft aan pogingen van cybercriminaliteit op de eigen organisatie te hebben ondervonden.

Ongeveer 20% geeft aan ook daadwerkelijk slachtoffer te zijn geweest van cybercriminaliteit.

20%
In hoeverre heeft het bedrijf in de afgelopen twaalf maanden te maken gehad met de volgende criminaliteitsvormen?

In de tabel zie je de mate waarin het MKB in Nederland in aanraking is gekomen met verschillende vormen van cybercriminaliteit. Opvallend is dat malware en phishing de meest voorkomende criminaliteitsvormen blijken te zijn.

Laat eenvoudig je bedrijfsnetwerk en website scannen

Benieuwd waar jouw kwetsbaarheden liggen? Het is minder dan 3 minuten werk en je ontvangt binnen 24 uur de gevonden kwetsbaarheden.

Doe je Cyber Risico Scan

We sturen je door naar veiligzakelijkinternetten.nl