Middenbedrijf onderschat risico’s van cybercrime

Middelgrote ondernemingen onderschatten de gevolgen van aanvallen door internetcriminelen. De bedrijven ontberen in algemeen een beveiligingsstrategie, beschikken in beperkte mate over een aparte security officer en reserveren relatief weinig geld om de risico’s van cybercrime volledig uit te bannen.

Uit onderzoek van KPMG onder het Nederlands middenbedrijf blijkt dat een ruime meerderheid van de ondernemingen weliswaar bekend is met het fenomeen cybercrime, maar dat een kleine 60% een hoge prioriteit aan het onderwerp toekent. Eén op de vijf bedrijven geeft aan het afgelopen jaar te maken te hebben gehad met een aanval door internetcriminelen. Het ging hier met name om phishing en in mindere mate om besmetting van software en aanvallen op de website van de bedrijven.

Iets meer dan de helft van bedrijven geeft aan dat de aanval uiteindelijk gericht was op het verkrijgen van toegang tot kapitaal. Daarnaast blijken cybercriminelen er vooral op uit te zijn om bedrijfs- en productieprocessen te verstoren. Het verkrijgen van toegang tot geld en informatie over intellectuele eigendommen blijken in mindere mate aanleiding voor een aanval.

Geen reële dreiging
“Kennelijk overheerst bij deze middelgrote bedrijven de gedachte dat het niet zo’n vaart zal lopen”, zegt John Hermans, partner bij KPMG Risk Consulting. Hermans: “Bijna 70% van de bedrijven gaat er dan ook vanuit dat cybercrime de komende maanden geen reële dreiging voor de onderneming gaat vormen. En ook als we kijken naar de budgetten die de ondernemingen vrijmaken om cybercrime te voorkomen of in een vroegtijdig stadium te signaleren, kan de conclusie alleen maar zijn dat de dreiging nauwelijks serieus wordt genomen en dat er sprake is van onderschatting.

Zo’n 80% van de bedrijven geeft aan maximaal tienduizend euro te reserveren voor het voorkomen van aanvallen via het internet. Voor wat betreft de schade als gevolg van cybercrime geeft zo’n 80% van de bedrijven aan dat deze niet meer dan tienduizend euro bedraagt. Dat zijn de feiten, maar de werkelijke omvang van cybercrime is in het algemeen moeilijk te achterhalen omdat de detectieprocedures mogelijk niet alles in kaart brengen.”

Vooral georganiseerde misdaad
Om je als bedrijf optimaal te kunnen verdedigen tegen cybercrime zijn volgens Hermans beveiligingsbewustzijn en inzicht in de risico’s van essentieel belang. Hermans: “Duidelijk is in ieder geval dat cybercrime niet van tijdelijke aard is en niet langer meer het domein is van amateurs. Deze ‘script kiddies’ vormen in wezen niet meer dan een vervelende dreiging en zijn er vooral op uit om geld te stelen en veel minder op het raken van de vitale functies van de organisatie.

Serieuze aanvallen komen nu vooral van de georganiseerde misdaad die er bewust op uit is de organisatie te ontregelen, te spioneren en vertrouwelijke informatie te krijgen. Vooral de overheid en grote organisaties vormen hierbij het doelwit. De complexe IT-omgeving maakt het echter vrijwel onmogelijk om dit soort incidenten volledig uit te bannen. Het doel is dan ook vooral te voorkomen dat een aanval uit de hand loopt. De focus moet dus met name liggen op het beschermen van de belangrijkste bezittingen en het zeker stellen dat er mechanismen waarmee organisaties goed en snel op incidenten kunnen reageren.”