Cybersecurity van mkb-bedrijven nog niet op niveau

Kleine en middelgrote organisaties kunnen nog veel verbeteringen realiseren als het gaat om cybersecurity. Denk hierbij aan kwesties als het tijdig detecteren van zwaktes in de beveiliging, maar ook aan het afwerken van voorbereidingen om in de toekomst kordaat te kunnen handelen bij eventuele cyberincidenten.

Dat blijkt uit een recent onderzoek van Baker Tilly. De experts van het accountants- en adviesbureau onderzochten in het kader van de ‘Cybersecurity Health Check 2019’ tweehonderd kleine en middelgrote Nederlandse organisaties uit verschillende sectoren. Respondenten werd gevraagd om zichzelf te beoordelen aan de hand van de vijf stappen die achtereenvolgens het cyberveiligheidsproces vormen: (1) identificatie, (2) bescherming, (3) detectie, (4) reactie en (5) herstel.

De onderzoekers zijn tot het inzicht gekomen dat digitale weerbaarheid bij kleine en middelgrote organisaties steeds meer aandacht krijgt, maar desondanks nog niet voldoende. De waargenomen toename in aandacht bij organisaties komt door de groeiende aanwezigheid van het onderwerp in de samenleving en de steeds grotere risico’s die gepaard gaan met cyberaanvallen. Volgens recente data van cybersecuritybedrijf McAfee veroorzaakten e-attacks het afgelopen jaar voor een slordige $400 miljard aan schade. Ook in Nederland, waar maar liefst 98% van de huishoudens thuis toegang tot heeft internet (CBS), vormt cyberveiligheid een grote uitdaging voor de overheid en het bedrijfsleven. 

Volgens de experts van Baker Tilly kunnen kleine en middelgrote organisaties vooral binnen de stappen (3) detectie en (4) reactie nog veel verbeteringen doorvoeren. Detectie gaat over “het treffen van detectieve beveilingsmaatregelen om zwakke plekken in de beveiliging op te sporen en om tijdig cyberincidenten te detecteren”, aldus de onderzoekers: “Als de detectiestap naar behoren is uitgevoerd, kunnen risico’s eerder in kaart worden gebracht waardoor preventieve maatregelen genomen kunnen worden.” 

Speerpunten

Rob Havermans is bij Baker Tilly verantwoordelijk voor de cybersecurity-dienstverlening en was eveneens betrokken bij de ‘Cybersecurity Health Check 2019’. Volgens hem zijn er drie punten waarmee organisaties hun detectie-niveau kunnen verbeteren. Zo test bijna 60% de beveiliging van gevoelige applicaties niet regelmatig, aldus Havermans: “Slechts 41% van de organisaties voert periodiek penetratietesten uit op gevoelige applicaties en applicaties die bereikbaar zijn via internet. Met deze testen kunnen organisaties toetsen of de beveiliging afdoende is. Opvallend is dat met name de deelnemende zorginstellingen, handel-, productie- en bouwbedrijven laag scoren: slechts 20% toetst beveiliging periodiek.” 

Ten tweede blijkt uit het onderzoek dat iets minder dan 50% van de organisaties niet regelmatig kwetsbaarheidsscans uitvoert. “Een kwetsbaarheidsscan toetst of tijdig de benodigde patches – dat zijn beveiligingsupdates voor software – worden doorgevoerd in de systeemomgeving. Slechts iets meer dan de helft van de deelnemende organisaties voert regelmatig een kwetsbaarheidsscan uit”, licht Havermans toe.

Ten derde kan het mkb-segment ook stappen maken op het gebied van vooronderzoek: slechts 30% van de kleine en middelgrote bedrijven checkt leveranciers op cybersecurity-aspecten. “Veel deelnemende organisaties zijn afhankelijk van partners en leveranciers voor hun operatie”, benadrukt Havermans: “Slechts de helft van de deelnemende organisaties geeft aan bij leveranciers, service providers en partners te informeren in welke mate zij cyberrisico’s afdekken en of zij hier verantwoording over kunnen afleggen. Slechts een krappe 30% van middelgrote en kleine bedrijven geeft aan dit te doen.” 

Volgens Havermans zijn periodieke technische beveiligingstesten vandaag de dag een randvoorwaarde om te kunnen inschatten welke cyberrisico’s een organisatie loopt: “Inzicht in de digitale weerbaarheid van leveranciers is eveneens cruciaal. Kies voor volwassen leveranciers die aantoonbaar kunnen maken dat ze cyberrisico’s serieus nemen.”

Positieve noot

Hoewel er beslist ruimte is voor verbetering, zoals Havermans benadrukt, ziet hij daarnaast wel degelijk vooruitgang. De volwassenheid van cybersecurity-activiteiten in het mkb-segment groeit, maar digitale criminelen en hun technologieën ontwikkelen zich tegelijkertijd ook. De taak voor organisaties is dus niet alleen om verbeteringen door te voeren, maar om deze sneller door te voeren dan de rest. 

“Een aantal deelnemende zorginstellingen blijft nog wel achter op het treffen van effectieve maatregelen voor endpoint security, wat toch opvallend te noemen is.”
_{– Rob Havermans, Director IT Advisory bij Baker Tilly} 

Iets dat volgens Havermans goed werkt is de ‘twee-factor authenticatie op de externe toegang’. Wil een gebruiker inloggen, dan moet hij of zij naast een wachtwoord ook nog op een tweede manier kenbaar maken dat hij of zij ‘betrouwbaar’ is, bijvoorbeeld door middel van code die per sms kan worden ontvangen. “Meer dan de helft van de organisaties maakt gebruik van twee-factor-authenticatie om de externe toegang tot hun netwerk en gegevens te beveiligen. Het zorgelijke is echter dat dit betekent dat ook een groot deel van de organisaties twee-factor authenticatie nog helemaal niet inzet”, vertelt Havermans. 

Iets anders dat goed gaat is de inzet van ‘endpoint security’, waarbij centraal beheerde beveiligingssoftware wordt gedistribueerd naar eindpunten, zoals pc’s, laptops of smartphones. Havermans: “De meeste organisaties hebben inmiddels effectieve maatregelen in gebruik voor endpoint security, met name voor de beveiliging van werkplek en telefoon. Een aantal deelnemende zorginstellingen blijft nog wel achter op het treffen van effectieve maatregelen voor endpoint security, wat toch opvallend te noemen is.”

Havermans laat weten dat voor het mkb-segment 100% veiligheid en digitale weerbaarheid niet realistisch is om na te streven. Daarom is het van cruciaal belang voor organisaties om de juiste balans te vinden tussen investeringen in cybersecurity, risico’s en bedrijfscontinuïteit. “Wanneer tref je voldoende maatregelen rondom cybersecurity? Dit is een lastig vraagstuk. Een gedegen risicoanalyse helpt om tot een afgewogen risicobesluit te komen”, besluit Havermans.

Lees ook: Baker Tilly Corporate Finance helpt IT-bedrijf bij herstructurering.