Een cyberaanval op middelgrote en kleine bedrijven (MKB) heeft ernstige gevolgen voor de bedrijfsvoering. De helft van de ondernemers vreest dat zo’n aanval het einde van zijn bedrijf betekent. De grootste bedreiging voor het MKB is echter geen cyberaanval, maar phishing.
Moderne technologieën
In het rapport Cybersecurity for SMEs – Challenges and Recommendations concludeert het cybersecurityagent dat veel ondernemers door de coronacrisis een beroep moesten doen op moderne technologieën waar ze nog nooit mee gewerkt hadden. Denk aan apparaten die QR-codes genereren of mobiele pinbetalingen verrichten. Dat het MKB zich vol op deze technologieën heeft gestort om hun bedrijfsvoering voort te zetten, is lovenswaardig.
Nieuwe geïmplementeerde technologieën om contact door COVID19 te vermijden
Tegelijkertijd constateert ENISA dat ondernemers het vaak nalaten om de beveiliging van deze nieuwe systemen aan te scherpen. In praktijk blijkt dat ondernemers die zich voorbereiden op cyberincidenten, het probleem vaak veel efficiënter aanpakken dan organisaties die hier niet over nadenken.
Middelgrote en kleine ondernemingen
De Europese economie wordt voor een groot deel gevormd door middelgrote en kleine ondernemingen. Naar schatting zijn er daarvan zo’n 25 miljoen in de EU. Zij zijn verantwoordelijk voor een groot deel van de werkgelegenheid in het Euro-gebied: volgens berekeningen werken een kleine 100 miljoen medewerkers in het MKB.
“Cyberbeveiliging en -ondersteuning van het MKB staat voorop in de cyberbeveiligingsstrategie van de EU voor het digitale decennium en ENISA zet zich volledig in om de MKB-gemeenschap te ondersteunen bij het verbeteren van hun veerkracht om met succes digitaal te transformeren”, zo vertelt Juhan Lepassaar, directeur van ENISA.
Onderzoek bij ondernemers
Uit onderzoek van het cybersecurityagentschap blijkt dat 85 procent van de ondernemers uit het MKB bang is dat een cyberaanval een ernstige en gevaarlijke impact heeft op hun onderneming. Iets meer dan de helft van de ondernemers (57 procent) denkt dat hij failliet gaat en zijn zaak kan sluiten als hij getroffen wordt door een cyberdreiging. Ruim één op de drie respondenten zegt dat hij in de afgelopen vijf jaar te maken heeft gehad met één of meerdere cyberincidenten.
Ondernemers uit het MKB zien cyberaanvallen echter niet als de grootste dreiging voor hun onderneming. Het onderzoek van ENISA laat zien dat zij in het dagelijkse leven het vaakst getroffen worden door phishingaanvallen. Daarbij proberen hackers en cybercriminelen toegang te krijgen tot persoonlijke informatie, bankrekeningen of online accounts door zich voor te doen als een vertrouwde instantie. In het bericht staat een link, die slachtoffers doorstuurt naar een malafide pagina. Door officiële logo’s en het taalgebruik ziet het er professioneel en betrouwbaar uit. Wanneer slachtoffers echter hier hun gegevens invullen, belanden ze in de handen van criminelen. Met alle gevolgen van dien.
Cyberbeveiligingsincidenten op basis van hun oorsprong
Naast phishing zijn ondernemers in het MKB ook bang voor andere cyberdreigingen. Dan moet je denken aan een ransomware-aanval, DDoS-aanval, laptops met vertrouwelijke informatie die gestolen worden en Business Email Compromise (BEC). Bij BEC-fraude proberen oplichters het gedrag van medewerkers te manipuleren. Ze doen zich bijvoorbeeld voor als de directeur van een bedrijf om geld af te troggelen van slachtoffers (CEO-fraude), of ze versturen spookfacturen.
Top 5
Stappenplan voor betere cybersecurity MKB
Het MKB staat volgens ENISA voor een aantal uitdagingen. Zo is het bewustzijn voor cyberdreigingen laag, wordt gevoelige informatie onvoldoende beschermd, zijn de budgetten om beveiligingsmaatregelen te treffen te laag, is er onvoldoende kennis van informatiebeveiliging en zijn er te weinig securityrichtlijnen die afgestemd zijn op het MKB.
Voor het laatstgenoemde punt heeft ENISA een stappenplan ontwikkeld om de cybersecurity van hun bedrijf op te schroeven. In het stappenplan, dat bestaat uit 12 aanbevelingen, besteedt het agentschap aandacht aan mensen, processen en technische aspecten. Het document geeft tips over onder meer het trainen van werknemers, wachtwoordbeleid, update-praktijk, maken van back-ups, netwerkbeveiliging, het implementeren van een incidentresponseplan en encryptie.
Rapport van vorig jaar:
Bron: europa.eu, vpngids.nl
Tips of verdachte activiteiten gezien? Meld het hier.