Cybersecurity-incidenten zijn in het midden- en kleinbedrijf (mkb) wijdverbreid. Een deel daarvan is te wijten aan cybercrime. In 2021 heeft zich bij 28% van de bedrijven van 10 of meer medewerkers een incident met een interne oorzaak voorgedaan, zoals storingen van ICT-systemen, en bij 12% een incident met een externe oorzaak, zoals cybercriminaliteit. Tegelijkertijd laten deze CBS-data zien dat (basale) veiligheidsmaatregelen door veel bedrijven niet worden genomen. Zo maakt 50% van deze bedrijven geen risicoanalyse en heeft dus onvoldoende beeld van de kans op incidenten en het effect daarvan op de bedrijfsvoering. Dit percentage loopt sterk op naarmate bedrijven minder medewerkers hebben. Bij zzp’ers maakt 85% geen analyse van de risico’s. Hier is nog een wereld te winnen. Een verhoogde inzet op bekendheid van de tools van het DTC kan veel bedrijven stimuleren hier de nodige stappen in te zetten.
Risicoanalyse is basismaatregel voor digitale veiligheid
Een risicoanalyse maken is – zeker bij omvangrijke organisaties – een activiteit die wat tijd in beslag neemt. Maar het gaat veel inzicht en focus opleveren. Welke ‘kroonjuwelen’ verdienen bescherming? En hoe staat het met die bescherming? Is het al eens getest? Aan de hand van een eenvoudig stappenplan voor risicoanalyse is deze basismaatregel voor elke ondernemer uitvoerbaar.
Door een aantal basismaatregelen te treffen, wordt het cybercriminelen een stuk lastiger gemaakt om netwerken binnen te komen en schade aan te richten. Hoewel volledige veiligheid niet bestaat, kunnen preventieve maatregelen veel criminaliteit voorkomen.
Behoefte mkb
Omdat CBS-cijfers niet de achtergronden of sentimenten vertellen, treedt de overheid ook in contact met mkb-ondernemers en hun vertegenwoordigers, onder andere via de DTC Community. Uit die gesprekken komt het volgende naar voren:
- Het tegengaan van cybercriminaliteit is strategisch belangrijk, maar niet het enige probleem waar het mkb mee kampt. Het onderwerp verdient structurele aandacht maar dit is in de waan van de dag lastig in te regelen.
Via stappenplannen, checklists en adviezen wil DTC ondernemers helpen om digitale veiligheid verankerd te krijgen zowel in het management als in de operationele processen van bedrijven. Hierin wordt ook de samenwerking met IT-dienstverleners via brancheorganisatie NLdigital ingezet. - Relatief veel mkb-ondernemers onderschatten de ernst en risico’s van cybercriminaliteit. Het is daarom belangrijk om in te zetten op voorlichting en bewustwording bij medewerkers.
Phishing is nog steeds de meest gebruikte methode voor cybercriminelen om bedrijven digitaal binnen te komen. Bewustwording en herkennen van phishing blijft daarom een terugkerend thema voor publiekscampagnes. - Als ondernemers wordt aanbevolen een groot aantal vrij complexe handelingen te verrichten om cyberweerbaarder te worden, dan kan dit leiden tot een averechtse reactie.
Het is wenselijk de communicatie eenvoudig te houden en de hoeveelheid communicatie te beperken. Er komt daarom naast de huidige Basisscan Cyberweerbaarheid een tool die een praktische geprioriteerde actielijst met basismaatregelen oplevert voor kleinere ondernemers en zzp’ers. - Het DTC is het landelijk aanspreekpunt voor ondernemers in de niet-vitale sectoren. Echter, veel ondernemers hebben behoefte aan hulp dichter bij huis. Er is behoefte aan spreiding van kennis en informatie op regionaal en lokaal niveau.
Brancheorganisaties, regionale Platforms Veilig Ondernemen, gemeenten en samenwerkingsverbanden van het DTC kunnen hierin een belangrijke rol vervullen. Het DTC zet daarom in op het opzetten en/of versterken van samenwerkingsverbanden die regionaal of branchegericht zijn. Op dit moment zijn er 44 samenwerkingsverbanden bij het DTC aangesloten. Het streven is dat dit aantal eind 2023 op 50 ligt.
OVER HET DTC
Doelstelling: verhogen cyberweerbaarheid van ondernemend Nederland
Het Digital Trust Center (DTC) is als onderdeel van het ministerie van Economische zaken en Klimaat actief om de cyberweerbaarheid van ondernemers in Nederland te vergroten. Het geeft voorlichting over de 5 basisprincipes van veilig digitaal ondernemen en de daaruit voortvloeiende maatregelen die je kunt treffen om de cyberveiligheid van je bedrijf of organisatie te verhogen. Daarbij geldt als uitgangspunt dat je als ondernemer in eerste instantie zelf verantwoordelijk bent voor de te nemen maatregelen. De overheid heeft een faciliterende rol en verschaft de informatie en instrumenten om bedrijven in staat te stellen risico’s af te wegen en de nodige maatregelen te treffen.
Voorlichting en Campagnes
In de afgelopen jaren heeft het ministerie van EZK via publiekscampagnes (zoals ‘Eerst checken, dan klikken’ en ‘Doe je updates’) ingezet op het verhogen van de bewustwording van cybercrimerisico’s. De doelgroep was het bredere publiek. Voor gedragsverandering bij bedrijven rolt het DTC specifieke campagnes uit. Zo startte eind juni een campagne om de bewustwording van phishing onder de aandacht te brengen. De campagne is gebaseerd op een grootschalig onderzoek naar phishing bij mkb-bedrijven. Dit najaar vraagt het DTC via een campagne aandacht voor de voorgenomen internetstandaard security.txt. Als bedrijven via een eenvoudig protocol aangeven via welk e-mailadres ze gewaarschuwd willen worden voor ernstige cyberdreigingen, dan kunnen ze (sneller) schadebeperkende maatregelen doorvoeren.
Concrete tools en handelingsperspectief
Het DTC blijft de instrumenten uitbreiden die de ondernemer helpen om passende maatregelen te nemen voor cyberveiligheid. Er zijn al meerdere interactieve tools voor bedrijven in gebruik zoals de Basisscan Cyberweerbaarheid die gebaseerd is op de 5 Basisprincipes van digitale veiligheid en de Risicoklassentool die je vertelt welke maatregelen bij jouw bedrijf passen. Om ook de wat minder cybervolwassen bedrijven in actie te krijgen, wordt een extra instrument ontwikkeld. Deze tool wordt zeer praktisch en activerend. Het is namelijk cruciaal dat de stap van weten naar doen wordt gemaakt.
Waarschuwingsservice
Door het delen van algemene en specifieke dreigingsinformatie draagt het DTC bij aan het minimaliseren van de effecten van externe incidenten. Het waarschuwen van specifieke bedrijven over concrete dreigingsinformatie via de daartoe ingerichte informatiedienst komt goed op stoom; ruim 1700 bedrijven hebben de afgelopen 12 maanden een bedrijfsspecifieke waarschuwing ontvangen. Cijfers laten zien dat bij een steeds groter aantal cyberincidenten individuele bedrijven zijn gewaarschuwd en een handelingsperspectief aangereikt hebben gekregen.
Kennisuitwisseling in de DTC Community
Informatie-uitwisseling en kennisdeling vindt plaats in de DTC Community. Het besloten online cybersecurityplatform voor ondernemers in Nederland telt ruim 1200 leden en maakt een sterke groei door.
Innovatieve samenwerkingen
Om het Nederlandse ondernemersklimaat digitaal veilig te maken is samenwerken essentieel. Om ondernemers beter te kunnen bereiken worden soms cybersecuritycampagnes gezamenlijk ontwikkeld en uitgerold. Zo is er een nauwe samenwerking met de Kamer van Koophandel om ondernemers via informatieve video’s te helpen met het op orde krijgen de basismaatregelen.
Het project Samen Digitaal Veilig is onderdeel van nieuwe samenwerkingsafspraken tussen de ondernemersorganisaties (VNO-NCW, MKB-Nederland en BOVAG) en de ministeries van Justitie en Veiligheid en Economische Zaken en Klimaat. Het online platform Samen Digitaal Veilig biedt onder meer een elektronische leeromgeving voor medewerkers en een risico-inventarisatie voor IT-verantwoordelijken. Brancheorganisaties spelen in de verspreiding van die informatie een belangrijke rol. Zij kunnen, als vertrouwde partner van de bedrijven in de eigen branche, dit platform onder de aandacht brengen. MKB-Nederland organiseert voor brancheorganisaties diverse informatiebijeenkomsten om hen mee te nemen in de mogelijkheden van het project.
In de brief ‘Preventie cybercrime voor het midden- en kleinbedrijf’ van de minister van Justitie en Veiligheid aan de Tweede Kamer (6 juli 2022) wordt nog een flink aantal samenwerkingen toegelicht die gedragsverandering bij bedrijven beogen.