Er zijn verschillende redenen waarom ondernemers vaak te laat actie ondernemen op het gebied van cybersecurity:
1. Gebrek aan bewustzijn
Veel ondernemers zijn zich simpelweg niet bewust van de dreigingen die op de loer liggen. Ze denken vaak dat cyberaanvallen alleen grote bedrijven treffen, terwijl juist kleine en middelgrote bedrijven steeds vaker doelwit zijn. Dit komt doordat deze bedrijven vaak minder goed beveiligd zijn en daardoor makkelijker te hacken zijn.
2. Kostbare investering
Cybersecurity vraagt om investeringen in tijd, geld en expertise. Voor veel ondernemers, vooral in het MKB, lijkt dit een lastige of zelfs onmogelijke opgave. Ze zien het als een extra kostenpost waar ze liever niet aan beginnen, vooral als ze de risico’s nog niet uit eigen ervaring kennen.
3. Overschatting van bestaande beveiliging
Ondernemers hebben vaak het idee dat hun basis beveiligingsmaatregelen, zoals antivirussoftware en firewalls, voldoende bescherming bieden. In werkelijkheid zijn deze maatregelen vaak niet genoeg om geavanceerde aanvallen af te weren. Ook blijkt uit het Jaarbeeld Ransomware 2023 van het Nationaal Cyber Security Centrum dat van de Nederlandse bedrijven en organisaties die in 2023 slachtoffer waren van ransomware, 58% niet over een back-up beschikte. Vanuit Perfect Day zien wij vergelijkbare percentages.
4. Menselijke natuur
Veel mensen denken: "Het overkomt mij niet, mijn bedrijf of gegevens zijn niet interessant, mijn IT-er regelt alles, enzovoort.". Deze houding zorgt ervoor dat ondernemers pas actie ondernemen als het kwaad al is geschied. Ze realiseren zich pas na een incident hoe kwetsbaar ze eigenlijk zijn.
Actueel voorbeeld: Cyberaanval op een Nederlands MKB-bedrijf
Een recent voorbeeld dat deze problematiek illustreert, is de cyberaanval op een middelgroot Nederlands handelsbedrijf in 2023. Het bedrijf, dat actief is in de groothandel, werd slachtoffer van een ransomwareaanval. Hackers verschaften zich toegang tot het netwerk van het bedrijf, versleutelden cruciale bestanden en eisten losgeld om deze weer vrij te geven.
Gevolgen van de aanval
De gevolgen voor het bedrijf waren enorm:
- Productieverlies: Het bedrijf lag dagenlang stil omdat ze niet bij hun data konden. Dit resulteerde in gemiste deadlines en ontevreden klanten.
- Financiële schade: Naast de productieverliezen moest het bedrijf ook losgeld betalen om weer toegang tot hun bestanden te krijgen.
- Reputatieschade: Klanten verloren het vertrouwen in de veiligheid van hun gegevens bij het bedrijf, wat leidde tot een afname in orders.
Reactie en maatregelen
Na de aanval nam het bedrijf eindelijk uitgebreide cybersecurity-maatregelen:
- Inschakelen van experts: Ze huurden een cybersecuritybedrijf in om hun bedrijf te analyseren en te adviseren over de beste aanpak.
- Training voor personeel: Medewerkers kregen training om phishingmails en aanvallen te herkennen en veilig om te gaan met gevoelige informatie.
- Updates, back-ups en monitoring: Ze implementeerden een strikt regime voor software-updates en regelmatige back-ups inclusief restore tests om de kans op herhaling te verkleinen.
- Cybersecurity op de agenda: Maar de belangrijkste verbetering was het op de agenda zetten van de cybersecurity en niet meer de kop in het zand steken. Het regelmatig bespreekbaar maken en er actief mee aan de slag gaan verhoogde het bewustzijn en de beveiliging het meest.
Conclusie
Ondernemers die wachten tot ze slachtoffer zijn van een cyberaanval voordat ze cybersecurity serieus nemen, lopen aanzienlijke risico's. Het gebrek aan bewustzijn, de kosten, overschatting van bestaande beveiliging en een algemene houding van "het overkomt mij niet of mijn IT-er regelt alles" dragen bij aan deze nalatigheid.
Het is goed om te beseffen dat ieder bedrijf kwetsbaar is voor cyberaanvallen. Het voorbeeld van het Nederlandse handelsbedrijf toont aan hoe verwoestend een cyberaanval kan zijn en benadrukt het belang van proactieve beveiligingsmaatregelen. Cybersecurity is een prioriteit voor alle ondernemers, ongeacht de grootte van hun bedrijf, om te voorkomen dat ze leren op de harde manier