'Kleine Nederlandse bedrijven hebben minder aandacht voor cybersecurity'
Kleine Nederlandse bedrijven hebben minder aandacht voor cybersecurity, zo stelt het ministerie van Economische Zaken op basis van onderzoek dat door Ipsos I&O voor Alert Online werd uitgevoerd. Uit het onderzoek blijkt dat tweefactorauthenticatie (2FA) de meest genomen actie is als het gaat om online veilig gedrag bij bedrijven. Verder blijkt dat kleine bedrijven minder maatregelen voor hun digitale veiligheid nemen dan grote ondernemingen.
Bovendien onderneemt een derde van deze bedrijven (32 procent) geen enkele actie voor veilig online gedrag. "Wanneer we kijken naar medewerkers, dan geeft negen procent aan dat er binnen hun bedrijf geen maatregelen worden genomen. Grote bedrijven ondernemen naar verhouding juist meer acties. Bij bedrijven waar afspraken zijn gemaakt over veilig online gedrag, vinden vier op de vijf medewerkers het gemakkelijk om zich aan die afspraken te houden", aldus het onderzoek.
Het aantal kleinere mkb-bedrijven (minder dan tien medewerkers) dat geen enkele maatregel lijkt te nemen, is zoals gezegd toegenomen naar een bijna derde van de populatie. Vorig jaar nam negentien procent van de kleine bedrijven geen actie. Ook blijft de hoeveelheid meldingen die men doet van (pogingen tot) cybercrime nog heel laag. Bijvoorbeeld, omdat ondernemers stellen geen schade te ervaren of de verwachting hebben dat het niets uitmaakt.
"Als het gaat om digitale weerbaarheid kan Nederland niet half werk leveren. Denk aan allerlei recente cyberrisico’s en -incidenten die klein of groot ons leven of de economie raken. Meer alertheid en gerichte maatregelen vanuit ondernemers en consumenten met steun van de overheid, zijn dus noodzakelijk voor veilig digitaal zakendoen", aldus minister Beljaarts van Economische Zaken.
A. Er veel tijd en aandacht naar het primaire proces moet gaan om het bedrijf in leven te houden.
B. Er geen geld is om serieus naar security te kijken
C. Men zich niet bewust is van de risico's.
Weinig verassend en al heel lang bekend. Dit onderzoek is echt een niemendalletje van jewelste.
Wat nog erger is: als men wel aandacht heeft zullen A en B toch nog roet in het eten gooien. Ik heb bij een bedrijf gewerkt waar men graag ISO27001 wilde kunnen pronken, maar dan wel zonder wat dan ook aan investeringen of verandering in de processen.
Gebruikers bij ons weten bijvoorbeeld niet dat we naast op client level ook op elk netwerk punt als in router al malware scannen of dat we dagelijkse resultaten krijgen van wat is tegengehouden met een heatmap van onze vloeren zodat we daarop weer onze beveiliging kunnen afstellen per afdeling.Bijvoorbeeld door als we bij sales in de heatmap veel geblokkerde links zien van crypto kunnen we daarop de manager vragen beleid aan te scherpen terwijl we dit niet direct hoeven te doen bij andere afdelingen.
Ze weten ook niet dat we met 1 druk op de knop elk apparaat wat van ons is kunnen killen qua netwerk toegang of op afstand uitschakele tot ingeleved bij onze afdeling. Staat allemaal in de data beveiliging documenten maar wie leest dat.
Ze weten ook niet welk antimalware pakket we hebben omdat er niks op front-end zichtbaar is alles gaat naar een live monitoring dashboard met alert via een background agent die niet in processen naar voren komt Proberen ze iets binnen te halen wat gevaarlijk wordt beschouwd dan mislukt de download simpelweg komen ze vanzelf met hun vraag naar ons.
Komen er spam mailtjes binnen dan blokkeren we die voor ze bij de medewerkers komen en dan als ze een keer mailtje missen die wel false positive is geven we die simpelweg vrij na een audit. Ze weten dus niks van onze antispam beveiliging enkel dat ze het kunnen melden als er wel iets doorkomt.
Het idee is dat goede beveiliging niet zichbaar is tenzij noodzakelijk. Want ik wil helemaal niet dat ze zich 1 bemoeien met dit omdat ze geen kennis erin hebben 2 dat ze informatie onbewust delen via socialmedia of andere kanalen. Die medewekers krijgen enkel een glimps ervan als ze iets doen wat ze niet moeten doen.
En dus als die medewerkers gevraagd zouden worden wat doet ons bedrijf qua veiligheid zeggen ze waarschijnlijk niet veel niet wetend dat er een aardig budget aan uitgegeven wordt wat ze never te nimmer zien tenzij ze c-level bereiken qua management rol of bij de IT afdeling werken.
Suggereren dat zulke mensen dan ook nog systeembeheerder en security expert moeten zijn is niet erg lief.
Wat je koopt moet gewoon goed zijn. Dat weet elke kleine ondernemer. Software is een rommelmarkt.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
