Als het gaat om cybercrime, is het midden- en kleinbedrijf een groot doelwit. Veel organisaties in dit segment hebben minder middelen voor IT, en hun beleid voor cyberbeveiliging is vaak minder sterk ontwikkeld. Dat maakt MKB-ers kwetsbaar, en hackers weten dit. Bovendien gebruiken aanvallers kleinere bedrijven vaak als toegangspoort om in te breken bij een grotere organisatie in de leverketen. Zo kan een aanval op een kleine speler grote winsten opleveren.
Bij 98% van de aanvallen op het MKB waren de hackers uit op geld, en 54% van de aanvallen was te herleiden tot gestolen aanmeldingsgegevens (Verizon Data Breach Investigation Report 2023)
Om na te gaan wat deze trends betekenen voor het MKB, heeft LastPass onlangs een enquête uitgevoerd onder meer dan 600 managers en leiders in de IT-beveiliging van bedrijven met minder dan 3000 medewerkers.
Uit de resultaten komt een zorgwekkend patroon naar voren: managers in het MKB benaderen cyberbeveiliging proactiever, bijvoorbeeld met meer bewustzijn en investeringen in beveiligingsmaatregelen. Maar de respondenten gaven ook aan dat menselijke aspecten nog steeds ernstige zwakke plekken in de beveiliging veroorzaken, waardoor deze organisaties kwetsbaar zijn voor cybercriminelen.
Hoe kunnen MKB-ers deze zwakke plekken aanpakken? Lees verder voor een analyse en aanbevelingen van het LastPass-team voor inzicht in cyberbedreigingen.
Grote verschillen tussen de directie en de werkvloer
Het meest opvallende fenomeen dat uit de enquête naar voren kwam, is de enorme kloof tussen acties van leidinggevenden en gedrag van medewerkers.
Leidinggevenden investeren meer aandacht en geld in cyberbeveiliging. 90% van de IT-managers en 80% van de niet-IT-managers geven aan dat er het afgelopen jaar meer aandacht was voor beveiligingsmaatregelen, en bij 82% van de organisaties werd het budget voor cyberbeveiliging verhoogd.
En 92% van de leidinggevenden en 93% van de IT-managers gelooft dat hun medewerkers de verwachtingen rondom beveiliging begrijpen. De meerderheid had ook vertrouwen in hun beveiligingsmaatregelen, en slechts 30% dacht dat hun bedrijf een hoog risico had op problemen rondom hun digitale veiligheid.
MKB-ers benaderen cyberbeveiliging proactiever, maar menselijke factoren veroorzaken nog steeds ernstige zwakke plekken in de beveiliging. Dat maakt deze organisaties kwetsbaar.
De uitkomsten uit de enquête suggereren dat de realiteit op de werkvloer er anders uit ziet:
● Maar 78% van de niet-IT-managers denkt dat medewerkers de verwachtingen rondom beveiliging in hun functie begrijpen
● 1 op de 5 managers geeft toe beveiligingsbeleid te omzeilen
● 1 op de 10 IT-managers geeft toe beveiligingsbeleid te omzeilen
● 1 op de 4 jongere medewerkers houdt zich niet altijd aan het beleid
● 36% van de medewerkers uit Generatie Z geeft toe wachtwoorden op te schrijven
De enquête suggereert dat financiële investeringen in de cyberbeveiliging weliswaar toenemen, maar dat kwalitatieve investeringen net zo belangrijk zijn.
Tips en best practices om de gaten in de cyberbeveiliging te dichten
De uitkomsten laten zien dat MKB-ers hun strategie voor cyberbeveiliging kunnen versterken met gerichte verbeteringen in hun beleid, voorlichting voor medewerkers en een cultuur van bewustzijn rondom cybergevaren.
Tip 1: Verbeter de voorlichting over cyberbeveiliging
Niet-IT-managers zagen een gebrek aan inzicht, waargenomen gebrek aan belang en de snelle aard van het werk als de grootste drempels voor compliance in de strijd tegen cyberbedreigingen. Dat betekent dat er gerichte voorlichtingsprogramma's nodig zijn die hier specifiek op in gaan.
Om ervoor te zorgen dat mensen meer verantwoordelijkheid nemen, moeten organisaties duidelijke communicatiestrategieën en regelmatige trainingen ontwikkelen voor alle organisatieniveaus. Dit kan helpen om ervoor te zorgen dat alle medewerkers begrijpen wat hun rol is voor een effectieve cyberbeveiliging, zodat iedereen verantwoordelijkheid neemt en alle mensen hun gedrag veranderen.
Voorlichting mag niet alleen van bovenaf komen. Er is goede communicatie voor nodig om ervoor te zorgen dat alle medewerkers het eens zijn over de beveiligingsprotocollen. Managers zouden afdelingsoverstijgende meetings moeten houden om ervoor te zorgen dat ieder onderdeel van de organisatie het beleid voor cyberbeveiliging begrijpt en zich eraan houdt. Regelmatige audits en feedbackrondes kunnen ook duidelijk maken waar dit begrip nog verbeterd moet worden.
Tip 2: Motiveer mensen zowel positief als negatief
Uit de enquête blijkt dat lang niet iedereen het beveiligingsbeleid serieus genoeg neemt, zowel in jongere generaties, maar ook in het leiderschap. Directies moeten daarom een evenwichtige aanpak opstellen met meer incentives voor compliance en sancties voor overtredingen. Met een open cultuur rondom het melden van overtredingen kunnen medewerkers actiever worden voor de bedrijfsbeveiliging.
Iedereen die lang genoeg in de beveiliging werkt, heeft meegemaakt dat mensen beleid overtreden om hun werk sneller gedaan te krijgen. Dat vraagt om eenvoudigere processen voor uitzonderingen op het beveiligingsbeleid. Met een eenvoudig en duidelijk proces om medewerkers tijdelijk toestemming te geven om een beleidsregel te omzeilen, kunnen mensen hun werk eerlijk gedaan krijgen en blijven afwijkingen de uitzondering.
Tip 3: Kies voor een beveiligingsprogramma dat uitgaat van threat intelligence
Het is mooi dat MKB-ers vertrouwen hebben in hun beveiliging, maar optimisme kan ook een vals gevoel van veiligheid veroorzaken. Het is belangrijk om te weten wat eigenlijk de “digitale kroonjuwelen” van een organisatie zijn, wie hier interesse in heeft en welke aanvalsmethoden het meest waarschijnlijk zijn. Een beveiligingsprogramma op basis van threat intelligence kan inzicht geven in de daadwerkelijke risico's en bedreigingen, in plaats van hier alleen maar naar te gissen.
MKB-ers zouden regelmatige risicobeoordelingen moeten uitvoeren en bedreigingen moeten monitoren, om hun beveiligingspositie steeds goed in te kunnen schatten. Door bedreigingen proactief op te sporen en strategieën klaar te hebben om te kunnen reageren bij incidenten, kunnen risico's ook al in een vroeg stadium worden opgespoord en afgeweerd.
Tip 4: Gebruik een wachtwoordbeheerder
Uit het onderzoek kwam naar voren dat MKB-ers absoluut aandacht moeten besteden aan wachtwoordbeheer. Veel MKB-ers gebruiken al een wachtwoordbeheerder en dat is positief, maar toch was bijna de helft van de lekken die de respondenten meldden te herleiden tot gecompromitteerde wachtwoorden.
Daarom zouden bedrijven het gebruik van een wachtwoordbeheerder bedrijfsbreed moeten verplichten, en dit ook moeten afdwingen. Voortdurende voorlichting over wachtwoordbeveiliging is ook essentieel om ervoor te zorgen dat medewerkers begrijpen waar het om gaat en inzien dat het wachtwoordbeleid belangrijk is.
Tip 5: Bereid u voor op bedreigingen die gebruik maken van kunstmatige intelligentie
MKB-ers die zich voorbereiden op toekomstige uitdagingen, moeten zich goed indekken tegen phishing-aanvallen, kwetsbaarheden in cloudomgevingen, en mogelijk verlies van bedrijfsgegevens door ransomware of malware. Ook de ontwikkeling op het gebied van kunstmatige intelligentie (AI) in de cyberbeveiliging, met name door intelligente phishing-aanvallen, is een belangrijk aandachtspunt.
Om mee te komen met de technologische vooruitgang op het gebied van AI en cyberbeveiliging, is het een overweging om te investeren in beveiligingstools met AI, voor geavanceerde detectie van bedreigingen en sterkere capaciteiten om te reageren bij incidenten. Ook voorlichting voor medewerkers over de meest actuele phishing-tactieken, inclusief aanvallen met AI, is onmisbaar.
Ook de grootste bedrijven ter wereld met alle mogelijke resources staan nog steeds iedere dag bloot aan hoge cyberrisico's, en voor het MKB is dit helaas niet anders.
Kleine maatregelen kunnen een groot verschil maken
De weg naar betere cyberbeveiliging in het MKB is lang. Het idee van “vertrouwen, maar ook verifiëren” is voor dit segment bijzonder relevant. Natuurlijk is het belangrijk dat MKB-ers hun mensen en systemen vertrouwen, maar tegelijkertijd is het controle onmisbaar: beleid moet actueel zijn, het moet werken en de naleving moet worden afgedwongen.
Het bewustzijn en de extra investeringen die naar voren kwamen uit onze MKB-enquête, zijn goed nieuws. Toch is er nog veel werk om de cultuur en het beleid rondom cyberbeveiliging met elkaar in lijn te brengen, en om ervoor te zorgen dat medewerkers op de werkvloer ook daadwerkelijk zo handelen als dat de directie denkt. Met uitgebreide voorlichting, afdwingen van beleid en inzet van innovatieve technologieën kunnen MKB-ers hun digitale verdediging versterken, voor een veiligere toekomst.
Lees het volledige rapport voor meer inzicht in de uitdagingen rondom cyberbeveiliging in het MKB.*
*Dit rapport is alleen beschikbaar in het Engels.
