Vier op de vijf mkb’ers vertrouwt voor zijn cybersecurity grotendeels op zijn ICT-leverancier, zo blijkt uit onderzoek door SIDN. Dit staat in schril contrast met de 58% van IT-leveranciers die aangeeft dat hun mkb-klanten onvoldoende beschermd zijn. Een zorgelijke situatie, aangezien het aantal mkb-slachtoffers van cybercriminaliteit de afgelopen 12 maanden steeg naar 22%.
Uit het onderzoek blijkt dat de meeste mkb’ers ervan uitgaan dat hun ICT-leverancier een zekere zorgplicht heeft en daardoor ook bescherming biedt tegen cyberrisico’s. Dit sluit aan bij de recente uitspraak van de rechtbank Amsterdam. Daarin staat dat van een IT-leverancier verwacht mag worden dat de beveiliging van de geleverde dienst onderdeel van de afspraak is.
Praktijk
De praktijk blijkt vooralsnog echter weerbarstiger. Zo laat eerder onderzoek door Centraal Beheer zien dat in slechts 22% van de gevallen hier daadwerkelijk afspraken over zijn gemaakt tussen mkb-ondernemingen en ICT-leverancier. Het lijkt er dus op dat mkb’ers te hoge verwachtingen hebben rond de bescherming tegen cybercrime door hun IT-leverancier. Tegelijkertijd moeten IT-leveranciers de beveiliging van hun product op orde hebben, ook wanneer een klant daar niet expliciet naar vraagt.
“Verwachtingen en werkelijkheid lopen langs elkaar heen, zo toont het onderzoek aan,” licht Alex van Wijhe, Business developer CyberSterk bij SIDN, toe. “Het is beter om juridisch getouwtrek te voorkomen en duidelijke afspraken te maken over wie (mede-)verantwoordelijk is voor de cybersecurity van bepaalde IT-diensten. Voorkomen is nog altijd beter dan genezen.”
Maar er speelt meer. Van Wijhe: “Het gevoel van urgentie om digitaal beschermd te zijn, ontbreekt nog bij een te grote groep mkb-ondernemers. Slechts 30% van de ondervraagde directieleden maakt zich druk over cybercriminaliteit. Over personeelsbezetting en het voldoen aan wet- en regelgeving maakt men zich meer zorgen. Opvallend is verder dat 72% van de ondernemers cybercriminaliteit maar in beperkte mate als bedreigend beschouwt voor zijn bedrijf.”
Basale maatregelen
Ondertussen steeg het aantal mkb-slachtoffers van cybercriminaliteit de afgelopen 12 maanden naar 22%. Een jaar geleden lag dit percentage nog op 19%. De beschermingsmaatregelen die mkb-bedrijven nemen zijn over het algemeen basaal te noemen. Zo heeft 62% een gedegen antivirusprogramma, 52% een sterk spamfilter en voert 47% regelmatig updates uit.
“Een virusscanner en een firewall zijn vandaag de dag onvoldoende om kwaadwillenden buiten de deur te houden,” licht Van Wijhe toe. “Veel belangrijker is het om afwijkend verkeer binnen je netwerkomgeving te signaleren. Slechts 29% van de ondervraagde mkb’ers maakt gebruik van een oplossing die hierin voorziet. Een belangrijke reden hiervoor is dat er tot voor kort geen security-oplossingen specifiek voor het mkb op de markt waren. Dat was voor ons een directe aanleiding om CyberSterk te ontwikkelen.”
