AI-paradox in het mkb: Massaal gebruik, maar nul regie en beleid

De cijfers leggen een scherp contrast bloot: de basishygiëne tegen bekende, traditionele cyberrisico's werpt zijn vruchten af, maar aan de achterkant ontstaat door de razendsnelle adoptie van AI-technologie een nieuwe, onbeheersbare perimeter.

De AI-paradox: Massaal gebruik, nul regie

De dreiging van artificial intelligence is tweeledig. Enerzijds zetten cybercriminele netwerken AI in om aanvallen te automatiseren, te versnellen en de reactietijd voor slachtoffers drastisch te verkorten. Anderzijds introduceren medewerkers onbewust datalekken door gevoelige bedrijfsinformatie te delen met externe consumenten-tools zoals ChatGPT en Claude.

Hoewel bijna een derde (31%) van de mkb-ondernemers aangeeft zich hier ernstig zorgen over te maken, blijft formele actie uit. Maar liefst 78 procent van de mkb-bedrijven (organisaties met een jaaromzet tot 25 miljoen euro) gebruikt inmiddels in enige mate AI op de werkvloer. Tegelijkertijd heeft slechts 9 procent van deze bedrijven een formeel beleid opgesteld voor het gebruik van externe AI-oplossingen. Ter vergelijking: bij het grootbedrijf heeft 32 procent deze kaders inmiddels wel operationeel verankerd.

Gebrek aan incidentrespons en risicoscans

Het mkb tast bovendien in het duister over de eigen kwetsbaarheden. Nauwelijks een derde van de kleinere organisaties voerde het afgelopen jaar een risicoscan uit, tegenover iets meer dan de helft van de grote ondernemingen.

Ook de basis om een acuut cyberincident op te vangen is bij veel mkb-bedrijven ondermaats:

Slechts 26 procent beschikt over een formeel responsplan voor cyberincidenten (grootbedrijf: 49%).

Maar liefst 43 procent van de mkb'ers heeft nog nooit een cyberaanval of crisissituatie geoefend.

Grote organisaties investeren niet alleen een aanzienlijk hoger percentage van hun omzet in cybersecurity, maar leggen veiligheidseisen ook vaker contractueel vast met hun ketenpartners.

Schadedaling door betere basishygiëne

De inspanningen uit het verleden zijn overigens niet zonder resultaat gebleven. Het aandeel bedrijven dat daadwerkelijk door een cyberaanval werd getroffen, liep in het mkb terug van 72 naar 60 procent. Onder zzp'ers daalde dit van 57 naar 48 procent, terwijl het grootbedrijf een lichte afname noteerde naar 76 procent.

Ook het percentage organisaties dat daadwerkelijk financiële of operationele schade leed, zakte landelijk van 20 naar 15 procent. Deze positieve trend is volgens Julia Krauwer, sectoranalist bij ABN AMRO, te danken aan gerichte investeringen in e-mailbeveiliging, betere basishygiëne en snellere detectie van verdacht netwerkverkeer. Bedrijven krijgen betere grip op bekende gevaren, maar missen de aansluiting bij de nieuwe generatie dreigingen.

Actie op Amerikaanse cloud-afhankelijkheid

Het rapport signaleert daarnaast een groeiend bewustzijn rondom digitale soevereiniteit. Bijna de helft van de Nederlandse bedrijven kampt met een grote tot zeer grote afhankelijkheid van een klein aantal Amerikaanse cloud- en tech-giganten (35% van de zzp'ers, 46% van het mkb en 60% van het grootbedrijf). Geopolitieke verschuivingen en extraterritoriale wetgeving maken deze afhankelijkheid risicovol voor de bedrijfscontinuïteit.

Opvallend is dat het mkb hierin wendbaarder blijkt dan de corporate markt. Hoewel grote bedrijven over meer cybervolwassenheid beschikken, neemt 63 procent van de mkb'ers al actieve maatregelen om deze afhankelijkheid te verkleinen. Sterker nog: 17 procent van het mkb is inmiddels al deels of volledig overgestapt op Europese cloud- en infrastructuuralternatieven, tegenover slechts 12 procent van het grootbedrijf.