Julia Krauwer, ABN Amro: ‘Cyberbewustzijn blijft in mkb sterk achter bij dreiging’

Julia Krauwer, sector banker TMT bij ABN Amro. Foto: Hannie Verhoeven.

Cybercriminelen verleggen hun aandacht naar kleinere bedrijven, zo blijkt uit het onderzoek van ABN AMRO onder 233 zakelijke klanten. Waar in februari 2022 het grootbedrijf nog significant meer werd aangevallen dan het mkb (63 versus 40 procent), zijn die verschillen in januari 2023 nog maar marginaal. Zelfs meer mkb'ers (80%) dan grootbedrijven (75%) hebben te maken gehad met minimaal één al dan niet succesvolle cyberaanval. Phishing (66% gemiddeld) wordt het meest ingezet als relatief eenvoudige aanvalstool: via e-mail, sms of WhatsApp. Malware staat volgens het rapport op de tweede plek met 38 procent, een datalek op 3 (het vaakst in het grootbedrijf).

Maar terwijl het percentage ervaringsdeskundigen in het midden- en kleinbedrijf (mkb) en onder zelfstandigen (zzp’ers) in rap tempo toeneemt, is hun risicoperceptie ten opzichte van vorig jaar praktisch gelijk gebleven. Onder de grootste organisaties daarentegen laat de risicoperceptie een duidelijke stijging zien. Omdat grote bedrijven in de regel met meer partners samenwerken, meer toeleveranciers hebben en meer klanten bedienen, zijn zij meer kwetsbaar voor cyberaanvallen. Die kwetsbaarheden via derden worden door kwaadwillenden momenteel volop benut, met name middels aanvallen op IT-bedrijven die een breed scala aan klanten bedienen.

Groeiende discrepantie

“De discrepantie tussen enerzijds risicoperceptie en daadwerkelijke dreiging is er altijd al geweest”, stelt Julia Krauwer, sector banker Technologie, Media & Telecom bij ABN Amro. “Bij het grootbedrijf is dit verschil echter een stuk kleiner geworden, terwijl die in het mkb nauwelijks veranderd is. Dat heeft waarschijnlijk meerdere oorzaken. Allereerst lees je in de media toch vooral over grote bedrijven waar het mis gaat, niet de slager om de hoek. Het mkb wordt net zo hard geraakt, maar dan volgt meestal geen nieuwsbericht. Dat geeft het valse beeld dat cybercriminelen het vooral op het grootbedrijf gemunt hebben.

Ook denken veel mkb-ondernemingen dat cybercriminelen en statelijke actoren specifieke doelen hebben, vervolgt Krauwer. Die tweede groep kijkt inderdaad specifiek naar vitale infrastructuren. “Maar door veel mkb-bedrijven te raken, kun je ook ontwrichtend werken. Hele toeleveringsketens kunnen zo geraakt worden. En cybercriminelen gooien vaak een zo groot mogelijk net uit en kijken wat ze kunnen vangen.”

Het is volgens Krauwer redelijk naïef om te denken dat het ‘jou als mkb-onderneming’ wel niet zal overkomen. Want het is altijd de zwakste schakel waar cybercriminelen en statelijke actoren op mikken. “En als je denkt dat jij niet interessant bent, zul je eerder steken laten vallen op het gebied van cybersecurity en – breder gezien – cyberweerbaarheid. En dan ben jij dus de zwakste schakel.”

Ervaring helpt bij cyberweerbaarheid

Wat in ieder geval uit het rapport van ABN Amro blijkt, is een hele duidelijke link tussen ervaring hebben met een cyberaanval en de risicoperceptie. Als een organisatie een cyberaanval aan den lijve heeft ondervonden, groeit de bereidheid om zich ertegen te beschermen sterk. Dat hoeft geen zware aanval met veel hoge kosten te zijn geweest, het kan ook zijn dat een medewerker op een phishing-link heeft geklikt, zich rot schrikt en het vervolgens meldt.

“Waar we ook op wijzen in het rapport, is dat de keten zijn werk begint te doen. Een van onze geïnterviewde experts stelde dat een mkb-klant van hem opeens kritisch bevraagd werd op zijn cybersecurity-beleid. Toen die klant de vragen onvoldoende kon beantwoorden, zagen ze dat als aanleiding om stappen te zetten. Inmiddels hebben zij een eigen cyberteam om security en weerbaarheid te vergroten. Dat soort druk vanuit het netwerk om organisaties heen is er steeds vaker, omdat er ergens in die keten ervaring is geweest met een cyberaanval. En dat terwijl de Europese regulering NIS2 nog niet is uitgerold in de diverse EU-lidstaten.”

De NIS2-richtlijn is bedoeld om de beveiliging van netwerk- en informatiesystemen te versterken door middel van een reeks maatregelen. Zo moeten de bedrijven die onder de richtlijn vallen onder andere voldoen aan technische en organisatorische beveiligingsmaatregelen, zoals het periodiek uitvoeren van risicoanalyses en het implementeren van noodplannen voor incidentrespons. Daarnaast moeten deze bedrijven ook samenwerken met andere organisaties om dreigingen te identificeren en te reageren op incidenten. NIS2 is -uitzonderingen daargelaten - niet van toepassing op kleinere bedrijven. ABN AMRO verwacht echter wel dat hun grotere klanten naar aanleiding van de wet wel met kritische vragen zullen komen, zoals al uit het voorbeeld van Krauwer hierboven bleek.

“Ook reputatierisico wordt een groeiende factor”, meent Krauwer. “Denk aan de recente hack bij het bedrijf dat marktonderzoekssoftware leverde aan allerlei Nederlandse onderzoeksbureaus. Het datalek dat daarop volgde is geen prettige PR om mee geconfronteerd te worden. Dit kan ook zonder media-aandacht op kleinere schaal effect hebben in een keten van mkb-ondernemingen.”

Geen capaciteit

Maar al willen mkb’ers de cyberweerbaarheid wel op orde krijgen, men heeft niet altijd de capaciteit. Nederland is een van de meest gedigitaliseerde landen in Europa en de wereld. Sinds corona is dit gedwongen in een stroomversnelling gekomen, onder hoge druk. Dat vergt veel IT-investeringen, beheer en onderhoud. En dan moet de gemiddelde mkb’er met beperkte beschikbaarheid van IT-skills ook nog zijn cybersecurity op orde krijgen.

Krauwer: “Voor veel bedrijven is gedegen digitalisering al een uitdaging. Cyberveiligheid zit al helemaal niet in hun DNA. Veel organisaties beleggen cybersecurity bij onderbemande IT-afdelingen, die het dan maar technisch voor elkaar moet krijgen. Zo gebeurt het regelmatig dat ze het noodzakelijke patchen uitstellen omdat ze daar de capaciteit niet voor hebben. Maar risicomanagement inzake cybersecurity moet beginnen bij de directie, en vanuit daar uitwaaieren over de hele organisatie.”

En: ook al zorgt IT voor de technische basismaatregelen zoals het Nationaal Cyber Security Centrum die noemt, dan nog is dat niet genoeg, meent Krauwer. Je moet ook andere afdelingen erbij betrekken, zoals HR. Mensen moeten getraind worden in weerbaarheid, zoals het herkennen van een phishing-mail. De business-afdeling moet begrijpen dat mooie nieuwe diensten zonder afdoende beveiliging geen goede business case opleveren.

“En nogmaals: op het hoogste niveau moet men een integraal beeld hebben van alle security-risico’s. Men moet beseffen dat cyberrisico’s gewoon business-risico’s zijn, een negatieve impact op je activiteiten kan hebben. En dat dergelijke risico’s ook van elders in je partner-netwerk kunnen komen. Denk maar aan de hack bij een groot logistiek bedrijf waardoor Albert Heijn opeens geen kaas meer in het schap had. Netwerkweerbaarheid is ook belangrijk: men moet toeleveranciers en afnemers ook bevragen op hun mate van cyberweerbaarheid.”

Basishygiëne op orde

Toch kunnen bedrijven ook zonder grote investeringen in security en weerbaarheid al werken aan hun basishygiëne, meent Krauwer. Onder meer op basis van bovengenoemde adviezen van het NCSC zijn er op beleidsgebied voor veel organisaties bijvoorbeeld al goede stappen richting deze security-hygiëne te zetten.

“Heel realistisch gezien is het voor de meeste mkb’ers echter niet mogelijk om zelf alle technische en personele aspecten van cyberweerbaarheid op orde te krijgen. Het gebruiken van externe gespecialiseerde partijen is dan een goed alternatief. Als het gaat om de IT-aspecten van cyberweerbaarheid, maar ook trainingen van medewerkers en zelfs meehelpen om beleid op te zetten: voor security, maar ook governance en privacy.”