Onderzoek Cisco: kleine bedrijven worstelen het meest met cybersecurity
Weinig bedrijven zijn voorbereid op toekomstige cyberaanvallen, en bovendien blijken kleinere bedrijven het minst weerbaar. Het is dus belangrijk om hun weerbaar te maken maar hoe kunnen zij dat het beste doen?
“Deze cijfers hebben negatieve gevolgen voor de algemene cybersecurity,” aldus Jan Heijdra security specialist bij Cisco Nederland. “Kleine bedrijven zien zichzelf wellicht niet als een voor de hand liggend doelwit voor cyberaanvallen, maar in de wereldeconomie zijn veel van de kleinere bedrijven belangrijke partners of een cruciaal onderdeel van de toeleveringsketen voor grotere bedrijven of de publieke sector. Dit kan cybercriminelen in staat stellen om via onderaannemers kritieke systemen te verstoren of er toegang toe te krijgen.”
Noodzakelijk om kleinere organisaties te helpen
Heijdra vervolgt: “Het is daarom belangrijk dat de grote en meest volwassen organisaties de kleinere bedrijven helpen met het vergroten van hun cyberweerbaarheid, zoals ook staat omschreven in de Nederlandse Cybersecuritystrategie 2022 – 2028. Een van de redenen waarom we elkaar wel moeten helpen, is dat begin dit jaar de implementatietermijn van 21 maanden is gestart, waarin de NIS2-richtlijn moet worden opgenomen in nationale wetgeving. Na behandeling van deze wet in het parlement, zal naar verwachting de wet eind 2024 in werking treden. De organisaties die dus onder de NIS2-richtlijn vallen moeten vanaf dat moment aan de zorgplicht en meldplicht voldoen. Voor de grotere bedrijven en instellingen geldt dat zij onder andere hun supply chain-risico’s in kaart moeten brengen. In die supply chain kunnen kleinere bedrijven dus een risico vormen voor de grotere bedrijven en daar zit nu juist de crux.”
Cisco’s Cybersecurity Readiness Index, onderzocht de paraatheid op vijf verschillende gebieden: identiteitsbeheer, apparaten, netwerken, cloud gebaseerde toepassingen en gegevens. Het zijn de laatste twee categorieën waar de mate van paraatheid qua beveiliging het laagst is. Als het gaat om de bescherming van gegevens, bevindt bijna een kwart (24%) van de bedrijven zich op het allerlaagste niveau van paraatheid. Als het gaat om cloudapplicaties, haalt slechts 28% een van de twee hoogste niveaus. Beveiliging gaat niet meer alleen om gestolen wachtwoorden of apparaten en netwerkinbraken. Technologie verandert en daardoor verandert continue ook het bedreigingslandschap en moeten bedrijven zich niet voorbereiden op de tegenstanders van gisteren, maar op die van morgen.
De term cyberbeveiligingsarmoede wordt soms ook gebruikt - een situatie waarin een gebrek aan middelen, capaciteiten, ervaring en invloed betekent dat organisaties niet in staat zijn om basisbeveiliging te bieden. Om een dergelijke situatie gemakkelijker te voorkomen, heeft Jan Heijdra, drie tips voor kleine bedrijven:
Doe wat mogelijk is en doe het nu
Ook als je niet de financiële kracht hebt om grote, ingrijpende veranderingen door te voeren, zijn er altijd wel enkele maatregelen die onmiddellijk kunnen worden getroffen. Zo is het bijvoorbeeld belangrijk om nu al na te denken over wat de mogelijkheden zijn qua dataherstel naar een cyberaanval. Ook is het aan te raden om regelmatig te testen: simuleer een aanval om werknemers te trainen, zodat zij precies weten wat ze moeten doen in het geval van een echte aanval. Bovendien is dit een goede manier om eventuele zwakke punten te ontdekken voordat een cybercrimineel dit doet.
Er is daarnaast een enorme hoeveelheid gratis informatie over trends en bedreigingen, en een goed startpunt om je eigen paraatheid te testen is Cisco’s Cybersecurity weerbaarheid assessment. Volg daarnaast de markt, zoek informatie en best practices van andere bedrijven die voor soortgelijke uitdagingen staan. En kijk op de website van het Nationaal Cyber Security Centrum (NCSC) van de overheid, waar alle basismaatregelen staan omschreven.
Creëer een cultuur waar cyberbeveiliging centraal staat
Het creëren van betrokkenheid en belangstelling onder werknemers voor securitymaatregelen hoeft niet veel tijd en geld te kosten. De resultaten kunnen echter van onschatbare waarde zijn, aangezien de overgrote meerderheid van de cyberaanvallen gericht is op mensen en niet op infrastructuur. Hier is het belangrijk dat de boodschap positief is, met als doel dat werknemers de eerste verdedigingslinie vormen tegen cyberdreigingen. Bovendien moeten organisaties zorgen voor een cultuur waarbij werknemers worden aangemoedigd om zo snel mogelijk een melding te doen van een risicovolle situatie, zoals het per ongeluk geklikt hebben op een mogelijk malafide link. Zij moeten zich veilig voelen om een dergelijke melding te maken. Medewerkers moeten het gevoel hebben zich niet te hoeven schamen, of nog erger, zich genoodzaakt voelen om fouten te verdoezelen.
Zie de voordelen van kleinschaligheid
Het zijn niet alleen kleinere bedrijven die moeite hebben om de cybersecuritywedloop bij te benen. Hetzelfde geldt voor de grootste bedrijven, waar veranderingen vaak complexer zijn en langer duren, vooral omdat zij rekening moeten houden met de bestaande infrastructuur. In een kleine organisatie is het gemakkelijker om wendbaar en flexibel te zijn en buiten de gebaande paden te denken. Het is ook eenvoudiger om de zogenoemde ‘cybersecuritycultuur’ op te bouwen, er activiteiten omheen te creëren, alle werknemers erbij te betrekken en van cybersecurity een gemeenschappelijk doel te maken. Praten over zaken als CEO-fraude krijgt meer respons wanneer werknemers dicht bij het management staan.
LEES OOK: Onderzoek Cisco: slechts 8% van Nederlandse organisaties is voorbereid op cyberdreigingen
LEES OOK: Dit zijn de drie grootste gevaren van een verouderde back-up