Echt werk, echte risico's
Medewerkers kunnen overal werken en hebben vanaf overal toegang tot benodigde informatie. Zo kunnen projecten beheerd worden zonder stapels papierwerk, worden patiëntgegevens rechtstreeks via een app gedeeld en is lesmateriaal online te verkrijgen. Echter creëert deze manier van werken ook nieuwe risico’s op het gebied van cyberbeveiliging.
Voor veel kleine en middelgrote ondernemingen (mkb's) behoort het beheren van meerdere netwerken, apparaten en risico’s bij hun dagelijkse werk. Hoeveel vertrouwen hebben mkb’s echter in het vermogen om een cyberaanval tegen te houden? Om een duidelijker beeld te krijgen, liet Sharp onafhankelijk bureau Cencuswide onderzoek uitvoeren onder 5770 IT-besluitvormers in mkb's uit 11 Europese landen. Deze mkb's opereren in verschillende branches, waaronder onderwijs, gezondheidszorg, bouw, juridische zaken en marketing.
Uit ons onderzoek blijkt dat de meeste mkb's vinden dat ze goed voorbereid zijn, omdat ze al zijn overgestapt op online systemen, met hybride modellen werken en innovatieve apps gebruiken die taken efficiënter maken. Tegelijkertijd is er echter een gebrek aan vertrouwen in IT-beveiliging. Ondanks de groeiende risico’s die dit met zich meebrengt, is een groot percentage niet van plan om het IT-beveiligingsbudget te verhogen.
Deze scheve verhouding tussen voorbereiding en de risico’s geeft cybercriminelen een perfecte gelegenheid om toe te slaan.
De bedreigingen begrijpen
De keiharde realiteit is dat kwetsbaarheden in de IT-beveiliging een reëel onderdeel van het bedrijfsleven zijn, ongeacht de branche, het serviceaanbod of het soort bedrijf. Zeker nu diverse apparaten en diensten met elkaar verbonden worden, zijn er steeds meer manieren waarop een bedrijf het doelwit van cybercriminelen kan worden.
Vanuit operationeel perspectief heeft 'cloud computing' (online opgeslagen informatie) het gegevensbeheer voor allerlei soorten bedrijven en organisaties vereenvoudigd. Op hetzelfde moment betekent dit echter dat onze gegevens steeds toegankelijker worden voor anderen. Dit dwingt bedrijven om maatregelen te nemen tegen inbreuk van kwaadwillenden (cybercriminelen). Anderzijds dient het personeel volledig op de hoogte te zijn van mogelijke bedreigingen en dient er een noodplan te bestaan als er onverhoopt toch een aanval plaatsvindt.
Wellicht zijn niet alle bedrijven zich volledig bewust van de soorten aanvallen waar ze risico op lopen – of zijn ze niet bekend met de ernst van dergelijke aanvallen. Hoeveel medewerkers begrijpen immers écht de betekenis van termen als malware, ransomware of phishing?
Voorbereiding vs. Vertrouwen
Uit statistieken over cybercriminaliteit blijkt dat het aantal aanvallen exponentieel groeit. Het is lastig om alle soorten risico's bij te houden, met name omdat de tactieken van cybercriminelen zich steeds blijven ontwikkelen. De kleinste kwetsbaarheden in de digitale beveiliging kunnen al zorgen dat je slachtoffer wordt van een aanval: van een zwak wachtwoord tot gegevens die niet versleuteld zijn (gecodeerd).
Uit onderzoek van Sharp blijkt dat 78% van de kleine en middelgrote bedrijven in Nederland het gevoel heeft dat zij goed voorbereid zijn om IT-beveiligingsdreigingen buiten de deur te houden. Dat is goed nieuws, maar vreemd genoeg zegt bijna 64% geen vertrouwen te hebben in het vermogen van hun bedrijf om met IT-beveiligingsrisico’s om te gaan. Daarbij heeft slechts 38% de IT-beveiligingstraining vernieuwd sinds de introductie van het thuiswerken, ondanks dat medewerkers op meerdere locaties werken, mogelijk via afzonderlijke (en soms onbeveiligde) netwerken.
Ben je voorbereid?
Komt de digitale verdediging van je bedrijf overeen met de toenemende dreigingen, gebaseerd op de bevindingen van het onderzoek? Als je wel degelijk het idee hebt dat je bedrijf voorbereid is, evolueren je cyberbeveiligingsstrategieën dan snel genoeg om verschillende soorten risico's met vertrouwen aan te pakken?
De belangrijkste bevindingen
Laten we de Nederlandse inzichten uit ons onderzoek onder de Europese mkb's eens nader bekijken.
Beveiligingsbedreigingen zijn uitgebreider geworden dan alleen vervelende spammail of medewerkers die per ongeluk hun wachtwoord invoeren op een onbetrouwbare webpagina. Ondanks dat ook deze bedreigingen blijven bestaan en 34% van de mkb's wel eens is getroffen door een phishing-aanval en 32% door malware, zijn digitaal verbonden medewerkers zich mogelijk niet zo bewust van de potentiële risico's als ze zelf denken.
Voor kleinere bedrijven zonder speciale IT-afdeling is een 'cyber-savvy' team - met specifieke kennis over cyberbeveiliging - een essentieel onderdeel van hun beveiliging. Dit geldt voor iedereen: van bezorgers tot medewerkers op locatie en voor de uitvoerder die via het openbare netwerk van een café werkt.
Uit onderzoek blijkt dat iets minder dan vier vijfde van de mkb's van mening is dat zij voldoende budget aan IT-beveiliging besteden. Ondanks het feit dat veel bedrijven de cruciale onderdelen van een robuuste beveiligingsdefensie missen en dat bijna een derde van de Nederlandse mkb’s aangeeft getroffen te zijn door een computervirusaanval.
Zo verhoogt slechts 41% van de ondervraagde bedrijven in het Nederlandse mkb het beveiligingsbudget dit jaar. Echter betekent het investeren in een oplossing voor cyberbeveiligingsbeheer niet altijd dat er meer geld uitgegeven moet worden. Het is ook mogelijk om opnieuw prioriteiten te stellen waar het bestaande budget aan besteed dient te worden. De juiste oplossing biedt de volledige bescherming die je bedrijf nodig heeft, zonder dat het veel geld kost.
Vandaag de dag komen bedreigingen van alle kanten, ook waar je ze niet verwacht. Hoewel drie kwart van de ondervraagde mkb’ers vindt dat zij hun werknemers voldoende beveiligingstraining hebben gegeven, zijn er nog steeds zwakke plekken in de beveiliging. Zo werd bijna een vijfde (21%) getroffen door een beveiligingslek in hun kantoorprinter. Velen zullen er niet bij stilstaan dat hackers het systeem van hun bedrijf kunnen infiltreren via het apparaat dat ontwikkeld is om documenten te printen, scannen en delen.
Dit is een passend voorbeeld van hoe een mkb mogelijk niet effectief is voorbereid op een aanval. Ondanks het feit dat een vijfde van de ondervraagde bedrijven slachtoffer is geworden, maakt vreemd genoeg slechts 6% zich zorgen over deze specifieke dreiging. Aangezien een derde van de bedrijven geen IT-beveiligingsmaatregelen heeft voor printers, is het duidelijk dat er meer gedaan kan worden om het personeel te trainen om hen op de hoogte te houden van alle risico's.
Van voorbereid naar zelfverzekerd en echt klaar voor risico's
Voordat een mkb volledig voorbereid is op een cyberaanval, moet het de mate van vertrouwen, kennis en investering in beveiliging verbeteren. De risico's op cyberbeveiliging zijn enorm groot – als er daadwerkelijk een aanval plaatsvindt, dient er prioriteit gegeven te worden aan een strategische, bredere aanpak om de gevolgen tot een minimum te beperken. Dit betekent dat alle aspecten afgedekt dienen te worden: van personeelstraining tot 24/7 bewaking van het netwerk en de systemen.
Dit hoeft niet ten koste te gaan van andere bedrijfsonderdelen of de kosten substantieel te verhogen. Sharp biedt een uitgebreide reeks IT-beveiliging en IT-support oplossingen om bedrijven te helpen vertrouwen op hun beveiliging – door alle expertise, bewaking en ondersteuning te bieden die noodzakelijk is om alles binnen het bedrijf veilig te houden.
Ontdek meer manieren om je bedrijf beschermd te houden
Verken de Sharp Security-hub voor meer content over de beveiligingsrisico's waar mkb's vandaag de dag mee te maken krijgen of download het onderzoeksrapport voor meer informatie.