Afgelopen jaar kreeg bijna driekwart van de Nederlandse bedrijven te maken met een cyberaanval. Zo was bijvoorbeeld de Britse tak van Carpetright vorige week vorige nog slachtoffer van een cyberaanval. Hoewel de nadelige gevolgen van cyberaanvallen veelvuldig in het nieuws komen, moet een ondernemer vaak eerst schade hebben geleden voordat deze de risico's erkent. De schade van een aanval beperkt zich echter vaak niet tot het bedrijf dat is gehackt. Een al te optimistische risicoinschatting kan daarmee de hele keten in gevaar brengen. Dat schrijft ABN Amro.
Nu er nieuwe Europese wetgeving in de maak is, moeten ondernemers samen met hun klanten en leveranciers de zaken echter snel op orde krijgen.
86% van ondernemingen is aangevallen
Onder het grootbedrijf, met een jaaromzet van minimaal 25 miljoen, werd maar liefst 86 procent van de ondernemingen aangevallen. In het midden- en kleinbedrijf (mkb) zag 71 procent zich verleden jaar geconfronteerd met een aanval, onder zelfstandigen was dit 55 procent. Helaas schatten die laatste twee groepen de risico's van cybercriminaliteit relatief laag in.
Ondernemers blijken de risico's pas vooral te onderkennen op het moment dat een aanval tot schade heeft geleid. Te denken valt aan financiële kosten voor het herstel van systemen, gederfde inkomsten door stilstand van het bedrijf, of reputatieschade door gelekte klantgegevens. Uit onderzoek van verzekeraar Hiscox blijkt dat Nederland wereldwijd op nummer twee staat wat betreft hoogste financiële schade door cybercriminaliteit.
Aanvalsmethoden cybercriminelen veranderen
Ondertussen veranderen de aanvalsmethoden van cybercriminelen in rap tempo. Zo is phishing nog steeds een populaire – en door ondernemers gevreesde – methode om binnen te komen bij bedrijven, maar bedienen criminelen of bijvoorbeeld kwaadwillende overheden zich ook massaal van kant-en-klare inloggegevens om ongemerkt toegang te krijgen tot bedrijfssystemen. Eenmaal binnen leidt dat bijvoorbeeld tot de installatie van schadelijke software. Van de bedrijven zag 37 procent zijn systemen al eens geïnfecteerd met malware; bij 19 procent van de bedrijven gebeurde dit (onder andere) vorig jaar. Met gijzelsoftware heeft 26 procent van de bedrijven ervaring, waarvan 19 procentpunt vorig jaar. Ook datalekken zijn een reëel risico. Meer dan een kwart van de bedrijven verloor al eens vertrouwelijke gegevens; bij 15 procent gebeurde dit in de afgelopen twaalf maanden.
Meer dan de helft van de bedrijven ziet vernieuwingen op het gebied van kunstmatige intelligentie, oftewel 'artificial intelligence' (AI), als bedreiging voor de cyberveiligheid van de organisatie. Vorig jaar was dit nog geen kwart. De risicoperceptie is het sterkst bij de grootste bedrijven, iets wat mogelijk wordt gevoed door spectaculaire berichten die recent in de media verschenen. Zo maakte een financieel medewerker van een multinational in Hong Kong meer dan 25 miljoen dollar over naar fraudeurs, nadat hij in een videovergadering terechtkwam met een deepfake-versie van de CFO en andere collega's. Bij de Nederlandse onlinebank Bunq werd een soortgelijke poging gewaagd met een AI-kloon van topman Ali Niknam.
Bron: ABN Amro