Ondanks overheidsalarm verliezen bedrijven strijd tegen cybercrime

Inzet tegen en kennis over cybercrime nemen af in bedrijven. In kleine bedrijven is de actiebereidheid gering. Bij grote bedrijven is het besef voor preventie groter, maar schiet de veiligheid er ook regelmatig bij in.

Dat blijkt uit het Cybersecurity Onderzoek Alert Online 2023 van I&O Research in opdracht van het Ministerie van Economische Zaken en Klimaat. Uit het rapport blijkt dat de kennis over digitale veiligheid verslechtert in bedrijven. Eerder publiceerde FM.nl twee artikelen (NCTV waarschuwt bedrijven: Verbonden IT-systemen bedrijfsketens vormen risico voor hele keten) over waarschuwingen aan het adres van cyberbeveiliging bij bedrijven.

• helft van ICT-verantwoordelijk
  
• overheid waarschuwt 70.000 keer ….
• … tegen bedrijfsspecifieke digitale dreiging
• 1-op-2 ICT-managers ontvangt phishingmails
  

Een vijfde van alle medewerkers vindt de eigen kennis over digitale veiligheid goed tot zeer goed. Dit is een verslechtering ten opzichte van een jaar geleden. Zelfs de helft van de ICT-verantwoordelijken twijfelt over de eigen kennis, terwijl ze wel steeds vaker beseffen dat hun bedrijven prooi zijn voor hackers. Welke risico’s ze lopen weten ze amper. Phishing is bij iedereen bekend, maar een verschijnsel als social engineering geniet nauwelijks bekendheid.

Geen enkele actie om veilig online te zijn

Een vijfde van de kleine bedrijven onderneemt geen enkele actie om veilig online te zijn. Hoe kleiner het bedrijf, hoe minder de actiebereidheid is. Medewerkers van kleine bedrijven geven aan dat ze naar verhouding minder toegang hebben tot goede tools en instrumenten om hun veilig online gedrag te verbeteren.

Tegenover de tanende houding in bedrijven over cyberbedreigingen, staat het alarm van de overheid. Het Digital Trust Center (DTC), onderdeel van het ministerie van Economische Zaken en Klimaat, heeft sinds juni 2021 al bijna 70.000 keer bedrijven proactief gewaarschuwd voor een bedrijfsspecifieke digitale dreiging of kwetsbaarheid. Begin juli dit jaar stond de teller nog op ruim 35.000 notificaties.

Onbekendheid met cybermaatregelen

De bewustwording van de dreiging is echter beperkt, zo blijkt uit het onderzoek van het ministerie. Driekwart van de medewerkers zegt in de afgelopen twaalf maanden met geen enkele vorm van cybercriminaliteit te maken gehad te hebben. Een vijfde van de medewerkers geeft aan de afgelopen twaalf maanden een phishingmail op het werk te hebben ontvangen. Van de ICT-verantwoordelijken zegt de helft zulke mails te ontvangen.

Ongeveer drie op de tien medewerkers weten niet welke cybermaatregelen de eigen organisatie genomen heeft. Inloggen in twee stappen is de meest genomen veiligheidsmaatregel. Bijna de helft van de grote bedrijven past deze cybermaatregel toe. In vergelijking met 2022 maken zowel medewerkers als ICT-verantwoordelijken minder back-ups van alle bestanden. Dit is gedaald van 75 naar 66 procent onder de medewerkers. [Artikel gaat verder na de volgende alinea]

Melden is nodig om herhaling te voorkomen

De meerderheid van alle ICT-verantwoordelijken doet geen melding of aangifte nadat men te maken kreeg met cybercriminaliteit in de werksituatie. Argumenten om geen aangifte te doen zijn dat het te veel moeite is, dat het geen zin heeft of dat er geen schade is ondervonden.

De meest melding wordt gedaan bij de ICT-afdeling. Als een melding wordt gedaan, is dit hoofdzakelijk om te voorkomen dat de dader dit opnieuw bij een ander doet.