Afgelopen jaar kreeg bijna driekwart van de Nederlandse bedrijven te maken met een cyberaanval. Hoewel de nadelige gevolgen van cyberaanvallen veelvuldig in het nieuws komen, moet een ondernemer vaak eerst schade hebben geleden voordat deze de risico's erkent. De schade van een aanval beperkt zich echter vaak niet tot het bedrijf dat is gehackt. Een al te optimistische risico-inschatting kan daarmee de hele keten in gevaar brengen, zo schrijft ABN AMRO.
Nu er nieuwe Europese wetgeving in de maak is, moeten ondernemers samen met hun klanten en leveranciers de zaken echter snel op orde krijgen.
Onder het grootbedrijf, met een jaaromzet van minimaal 25 miljoen, werd maar liefst 86 procent van de ondernemingen aangevallen. In het midden- en kleinbedrijf (mkb) zag 71 procent zich verleden jaar geconfronteerd met een aanval, onder zelfstandigen was dit 55 procent. Helaas schatten die laatste twee groepen de risico's van cybercriminaliteit relatief laag in.
Ondernemers blijken de risico's pas vooral te onderkennen op het moment dat een aanval tot schade heeft geleid. Te denken valt aan financiële kosten voor het herstel van systemen, gederfde inkomsten door stilstand van het bedrijf, of reputatieschade door gelekte klantgegevens. Uit onderzoek van verzekeraar Hiscox blijkt dat Nederland wereldwijd op nummer twee staat wat betreft hoogste financiële schade door cybercriminaliteit.
Aanvalsmethoden cybercriminelen veranderen
Ondertussen veranderen de aanvalsmethoden van cybercriminelen in rap tempo. Zo is phishing nog steeds een populaire – en door ondernemers gevreesde – methode om binnen te komen bij bedrijven, maar bedienen criminelen of bijvoorbeeld kwaadwillende overheden zich ook massaal van kant-en-klare inloggegevens om ongemerkt toegang te krijgen tot bedrijfssystemen. Eenmaal binnen leidt dat bijvoorbeeld tot de installatie van schadelijke software. Van de bedrijven zag 37 procent zijn systemen al eens geïnfecteerd met malware; bij 19 procent van de bedrijven gebeurde dit (onder andere) vorig jaar. Met gijzelsoftware heeft 26 procent van de bedrijven ervaring, waarvan 19 procentpunt vorig jaar. Ook datalekken zijn een reëel risico. Meer dan een kwart van de bedrijven verloor al eens vertrouwelijke gegevens; bij 15 procent gebeurde dit in de afgelopen twaalf maanden.
Meer dan de helft van de bedrijven ziet vernieuwingen op het gebied van kunstmatige intelligentie, oftewel 'artificial intelligence' (AI), als bedreiging voor de cyberveiligheid van de organisatie. Vorig jaar was dit nog geen kwart. De risicoperceptie is het sterkst bij de grootste bedrijven, iets wat mogelijk wordt gevoed door spectaculaire berichten die recent in de media verschenen. Zo maakte een financieel medewerker van een multinational in Hong Kong meer dan 25 miljoen dollar over naar fraudeurs, nadat hij in een videovergadering terechtkwam met een deepfake-versie van de CFO en andere collega's. Bij de Nederlandse onlinebank Bunq werd een soortgelijke poging gewaagd met een AI-kloon van topman Ali Niknam.
Nieuwe richtlijn NIS2
Om de cyberweerbaarheid in Europa te verbeteren wordt in oktober 2024 een nieuwe richtlijn van kracht: NIS2, de opvolger van de eerdere Network and Information Systems-richtlijn (NIS). Het dwingt organisaties uit zeventien sectoren om onder andere de cyberweerbaarheid van toeleveranciers en klanten kritisch onder de loep te nemen. Hoewel Nederland vertraging oploopt met de implementatie van de richtlijn, worden binnenlandse bedrijven al opgeschrikt door kritische vragen vanuit Duitse en Belgische klanten waar het vormgeven van nationale wetten wel volgens planning verloopt.
Bijna driekwart (72 procent) van de respondenten uit het grootbedrijf bevraagt zijn eigen klanten, leveranciers en partners al "zeer regelmatig" of "regelmatig" over cybersecurity; 66 procent zegt dat zijzelf van hun ketenpartners ook dergelijke vragen krijgen. Bij de mkb-respondenten liggen deze percentages lager, met respectievelijk 52 en 37 procent. Ook de mate waarin concrete afspraken worden gemaakt met ketenpartners, ligt in het grootbedrijf stukken hoger dan in het mkb.
Maarten Roerink, CEO van cybersecuritydienstverlener MMOX erkent het belang van een benadering ver buiten de bedrijfsmuren. "Als onze klanten gehackt worden, gaat dat heel vaak via-via. Soms zijn ze zelf het doelwit, soms worden kwetsbaarheden in hun netwerken gebruikt om door te dringen tot de netwerken en data van partners. De aloude vraag 'wat valt er nou bij mijn bedrijf te halen?' is dan ook niet meer relevant."
Lees hier het volledige rapport 'Steeds verfijndere cyberaanvallen'
Bron: ABN AMRO