MKB slecht voorbereid op cybercrime

Kleine ondernemers maken zich weinig zorgen om cyberaanvallen, omdat zij ervan overtuigd zijn dat zij hun pc’s en netwerk goed hebben beveiligd.

Dat blijkt uit het onderzoek dat Pb7 Research afgelopen zomer in opdracht van beveiligingsspecialist G Data uitvoerde. Voor het onderzoek werden 100 kleine ondernemers uit Nederland en België met maximaal 10 pc’s ondervraagd. De respondenten gaven aan weinig problemen te hebben met grote security-dilemma’s als Bring Your Own Device en datalekken. Bovendien geloven de meesten dat de kans dat zij in de komende twee jaar schade zullen ondervinden door cybercrime te verwaarlozen is. Uit het onderzoek blijkt echter ook dat er nogal wat misvattingen bestaan over hoe een netwerk goed kan worden beveiligd en welke aanvullende maatregelen er nodig zijn om schade door cybercrime te beperken.

Het zelfvertrouwen dat de respondenten tentoon spreiden, lijkt onterecht. Bij negen op de tien kleinste bedrijven (maximaal vier pc’s) is de eigenaar of directeur degene die de IT-security beslissingen neemt, hoewel hij hier zelf niet in gespecialiseerd is. Bij zes op de tien kleinste bedrijven is de eigenaar of directeur ook echt degene die de IT-security configureert en beheert. Slechts als een bedrijf tussen de vijf en tien pc’s heeft, lijkt het een optie om externe hulp in te schakelen (52%) of een systeembeheerder in dienst te nemen (20%).

In het merendeel van de bedrijven is men zich ervan bewust dat de zakelijke pc’s en laptops ook privé worden gebruikt (55%). Vreemd genoeg bestaat er geen vergelijkbaar bewustzijn als het gaat om privé-smartphones die zakelijk gebruikt worden. Slechts 35% van de respondenten zegt dat dit gebeurt, terwijl de experts van G Data uit ervaring weten dat dit bij bijna alle bedrijven gebeurt. Hier bevindt zich dus een duidelijke lacune in het bewustzijn van de kleine ondernemers. Wie het BYOD-probleem niet erkent, kan ook geen maatregelen treffen tegen malware die via de mobiele apparaten het netwerk kan besmetten en tegen datalekken die bijvoorbeeld voortkomen uit diefstal of verlies van de apparaten.

Dat BYOD bij de kleine ondernemers onontgonnen terrein is, blijkt ook wel uit de antwoorden die wij kregen wanneer wij vroegen naar de eisen die aan de privé-laptops van externen (stagiairs, externe boekhouders, etc.) op het netwerk worden gesteld. Eén op de vier ondernemers stelt helemaal geen eisen aan de beveiliging van deze apparaten. Nog verontrustender is dat 44% aangeeft zelf het netwerk goed te beveiligen tegen de gevaren die deze externe apparaten mogelijk met zich meebrengen. Het is namelijk niet goed mogelijk om een netwerk effectief te beschermen als er een geïnfecteerde pc op aangesloten wordt. Dat zoveel kleine bedrijven zoveel onterecht vertrouwen hebben in een netwerkbeveiliging, geeft aan dat er niet voldoende IT-kennis aanwezig is om een goede beveiliging te garanderen.

Overigens bleek uit een latere vraag dat de meeste kleine ondernemers helemaal niet over een netwerkbeveiliging beschikken. Zo heeft 58% gekozen voor losse beveiligingspakketten in plaats van oplossingen op netwerkniveau. Hierdoor missen zij een goed overzicht van de beveiligingsstatus van alle machines en hebben zij maar beperkt grip op de IT-security van het bedrijf.

De ondernemers hebben zelf niet het idee dat zij over onvoldoende IT-kennis beschikken en gevaar lopen. Zo vindt 67% dat de IT-verantwoordelijke voldoende kennis heeft van IT-security en 57% zegt zelfs dat deze persoon veel kennis over het onderwerp heeft. Zeven op de tien kleinzakelijke ondernemingen schatten de kans dat ze schade leiden door cybercrime in de komende twee jaar op minder dan 5%.

Onderzoeker Peter Vermeulen van Pb7 is ervan overtuigd dat er bij de ondernemers sprake is van onderschatting van de gevaren: “Het onderzoek laat zien dat kleinzakelijke ondernemingen zich vooral baseren op resultaten die in het verleden gerealiseerd zijn. Hoewel men ziet dat de uitdagingen toenemen, worden de toenemende risico’s onvoldoende onderkend.”

Eddy Willems(foto), Security Evangelist bij G Data vult aan: “Naast een onderschatting van of totale onbekendheid met bepaalde gevaren, verwachten veel ondernemers ook nog eens te veel van hun securitypakket. Zij denken in groten getale dat zij met een beveiliging op LAN-niveau een goede beveiliging hebben tegen geïnfecteerde smartphones en laptops, wat zo goed als onmogelijk is. Hiermee staan de netwerken van de meeste kleine bedrijven wagenwijd open voor cybercriminelen.”