Vergroot de cyberweerbaarheid van jouw organisatie!

Overheden en toezichthouders uit binnen- en buitenland dringen er steeds nadrukkelijker op aan dat management en directies van ondernemingen de cyberweerbaarheid van hun organisaties serieus nemen én vergroten. Simpelweg omdat het aanvalsoppervlak voor cybercriminelen iedere dag groter wordt, zeker in combinatie met kunstmatige intelligentie.

Wat die nadelige effecten van cybercrime voor organisaties en individuen kunnen zijn, schetsen het Openbaar Ministerie (OM) en de politie heel helder in deze tweejaarlijkse monitor Cybercrime in beeld. Daarnaast laten diverse onderzoeksrapporten zien hoe het gesteld is met de status van de cybersecurity van bedrijven. Zo geeft het Centraal Bureau voor de Statistiek (CBS) in de Cybersecurity Monitor 2023 gedetailleerde cijfers weer over cyberincidenten en cybersecuritymaatregelen bij Nederlandse bedrijven.

Vergroot cyberweerbaarheid in het MKB

In Nederland ziet onder meer het Digital Trust Center (DTC), opgericht door het ministerie van Economische Zaken en Klimaat, het als haar missie om ondernemend Nederland – van zzp’ers en MKB tot aan grote bedrijven – digitaal weerbaarder te maken tegen de toenemende cyberdreigingen. Zeer recent nog bracht het DTC het nieuws dat vooral kleine ondernemingen te weinig oog hebben voor hun cyberweerbaarheid.

Cyberweerbaarheid vergroten en cybercrime effectief bestrijden, zo luidt van diverse kanten de opdracht aan kleine, middelgrote en grote bedrijven. Voor sommige sectoren geldt zelfs de nieuwe NIS2-richtlijn die specifieke bepalingen bevat voor het management. Zo moeten zij maatregelen voor cyberrisicobeheer goedkeuren, toezicht houden op de implementatie ervan en een gespecialiseerde beveiligingstraining volgen. Bij ernstige overtredingen kunnen zij zelfs persoonlijk aansprakelijk worden gesteld. Hoewel de NIS2 wellicht voor veel bedrijven niet geldt, is het ontbreken van kennis over de richtlijn en de lagere bereidwilligheid om cybersecurity maatregelen te nemen bij veel kleine bedrijven en het MKB wel degelijk zorgwekkend aldus het DTC.

“Beveiliging is zo goed als je informatie over bedreigingen”

Het rapport Cyberweerbaarheidskloof in het MKB van Deloitte beschrijft het zo: “In een tijdperk waarin organisaties digitaliseren en in toenemende mate onderling verbonden zijn in waardeketens, is het belangrijk dat het MKB het vermogen heeft om (relevante) digitale risico’s te verminderen tot een aanvaardbaar niveau, zeker gezien het continu veranderende dreigingslandschap. Om de nationale cyberweerbaarheid te versterken en de cyberweerbaarheidskloof te verkleinen, moet Nederland over de gehele linie beschikken over cybervolwassen organisaties. Dit betekent dat zowel de overheid als het MKB verantwoordelijk zijn voor het verbeteren van de cyberweerbaarheid van onze samenleving, om te zorgen dat ons land open, veilig en welvarend blijft.”

Hoe verbeter je als MKB-bedrijf de cyberweerbaarheid van je organisatie?

Digitalisering biedt veel kansen, maar brengt ook een steeds complexer dreigingslandschap met zich mee. Daarom is het van belang dat ook jouw organisatie cyberweerbaar is. Maar hoe pak je dat aan? En wat zijn de obstakels die je moet overwinnen? Het rapport van Deloitte benoemt drie interne en vijf externe knelpunten die het verhogen van je cyberweerbaarheid mogelijk lastig maken.

Interne obstakels en oplossingen

1. Onvoldoende cyberbewustzijn en -kennis

Vaak ontbreekt het aan een goed begrip van de dreigingen en de noodzaak van cybersecurity op verschillende niveaus binnen de organisatie. Zonder deze kennis blijven medewerkers kwetsbaar voor phishing-aanvallen of andere vormen van social engineering. 

Oplossing: Investeer in regelmatige bewustwordingstrainingen voor medewerkers. Cybersecurity moet onderdeel worden van de bedrijfscultuur. Organiseer workshops, e-learningprogramma’s en phishing-simulaties. Dit zorgt ervoor dat iedereen binnen de organisatie de basisprincipes van cyberveiligheid begrijpt en toepast. Denk ook aan het inzetten van een Security Awareness Officer of externe partners die trainingen kunnen verzorgen.

2. Onvoldoende inzicht in risico’s en handelingsperspectief

Veel bedrijven in het MKB hebben moeite om een volledig beeld te krijgen van hun cyberrisico’s. Het ontbreekt vaak aan inzicht in waar de kwetsbaarheden liggen en welke stappen genomen moeten worden om deze aan te pakken.

Oplossing: Start met een uitgebreide risicoanalyse. Er zijn tools beschikbaar die de cybersecuritystatus van je organisatie in kaart brengen. Overweeg ook om een externe specialist in te huren die deze analyse voor je kan uitvoeren. Dit geeft je een duidelijker beeld van de zwakke punten binnen je IT-omgeving en biedt een concreet handelingsperspectief. Vanuit daar kun je prioriteiten stellen en gericht investeren in beveiligingsmaatregelen.

3. Het is lastig te bepalen hoeveel en waarin moet worden geïnvesteerd

Cybersecurity voelt vaak als een ongrijpbare kostenpost. Je wilt wel investeren, maar hoe weet je of je niet te veel of juist te weinig investeert? Wat is de juiste balans?

Oplossing: Stel een cybersecuritystrategie op die past bij de grootte en het risicoprofiel van je organisatie. Werk met een gerichte aanpak, waarbij je investeert op basis van het risico dat bepaalde assets lopen. Zorg ervoor dat je budget wordt bepaald door een kosten-batenanalyse, waarbij je kijkt naar het potentiële financiële verlies van een cyberincident versus de investeringen die nodig zijn om dat te voorkomen. Overweeg ook om cyberverzekeringen af te sluiten als een extra vangnet.

Externe obstakels en oplossingen

1. Algemeen tekort aan personeel met expertise in ICT en cyberveiligheid

Het vinden van gekwalificeerd personeel op het gebied van ICT en cyberveiligheid is een grote uitdaging. Dit tekort kan leiden tot onvoldoende interne capaciteit om adequaat te reageren op cybersecuritydreigingen. 

Oplossing: Outsourcing kan hier een uitkomst bieden. Overweeg het inhuren van een managed security service provider. Deze externe specialisten kunnen 24/7 de beveiliging van je IT-omgeving monitoren en reageren op incidenten. Dit kan een kosteneffectieve oplossing zijn voor bedrijven die niet de middelen hebben om een volledig intern team op te bouwen. Daarnaast kun je gebruikmaken van of interim-specialisten voor specifieke projecten.

2. Beperkte toepasbaarheid van huidige richtlijnen voor het MKB

Veel MKB-bedrijven worstelen met het toepassen van de bestaande richtlijnen, die vaak te complex of omvangrijk zijn voor hun bedrijfsstructuur.

Oplossing: Maak gebruik van sector-specifieke richtlijnen of MKB-gerichte cybersecurity frameworks, zoals het Cybersecurity Maturity Model (CMMC) of NIST Cybersecurity Framework, die beter aansluiten op de schaal van je organisatie. Daarnaast kun je advies inwinnen bij brancheorganisaties of de Kamer van Koophandel, die vaak tools en resources aanbieden die specifiek zijn toegespitst op het MKB.

3. Afhankelijkheidsrisico’s in de toeleveringsketen

Veel bedrijven zijn afhankelijk van leveranciers voor hun IT-diensten, maar weten niet altijd welke risico’s dat met zich meebrengt. Een kwetsbaarheid bij een leverancier kan ook jouw bedrijf raken.

Oplossing: Voer regelmatig audits uit op je leveranciers en werk samen met partners die voldoen aan strenge veiligheidsnormen. Overweeg contractuele verplichtingen die leveranciers verantwoordelijk maken voor hun beveiligingsmaatregelen. Door strikte afspraken te maken, zorg je ervoor dat jouw bedrijf minder afhankelijk is van de zwakste schakel in de keten.

4. Beperkte vindbaarheid van (overheids-)hulpmiddelen

Er zijn wel degelijk overheids- en branche-initiatieven beschikbaar om het MKB te ondersteunen op het gebied van cybersecurity, maar deze worden vaak onvoldoende gevonden of benut.

Oplossing: Zoek actief naar overheidsprogramma’s, zoals subsidies of trainingsprogramma’s die beschikbaar zijn voor het MKB. Denk bijvoorbeeld aan de Digital Trust Center van het Ministerie van Economische Zaken of regionale initiatieven die ondersteuning bieden bij het verhogen van de cyberweerbaarheid. Maak ook gebruik van online platforms en webinars die door deze instanties worden georganiseerd.

5. Veranderend dreigingslandschap

Cyberdreigingen veranderen snel en worden steeds geavanceerder. Dit maakt het moeilijk om altijd up-to-date te blijven en adequaat te reageren.

Oplossing: Zorg voor een flexibel cybersecurityplan dat regelmatig wordt geëvalueerd en aangepast aan nieuwe dreigingen. Blijf op de hoogte van de laatste ontwikkelingen via betrouwbare bronnen zoals het Nationaal Cyber Security Centrum (NCSC) en gebruik threat intelligence tools om proactief te reageren op opkomende dreigingen. Automatisering kan hier ook een belangrijke rol spelen: door het inzetten van geavanceerde monitoringtools kun je sneller reageren op verdachte activiteiten.

Status cyberweerbaarheid jouw organisatie?

Weet jij eigenlijk wat de status is van de cyberweerbaarheid van jouw organisatie? Heb je al gebruikgemaakt van basismaatregelen zoals het uitschakelen van ongebruikte services en poorten op apparatuur, het regelmatig installeren van updates, het gebruik van sterke wachtwoorden, het installeren van IoT-apparatuur op een separaat netwerk en het instellen van Multi-Factor-Autorisatie? Dit zijn belangrijke stappen, maar er is nog veel meer dat je kunt doen. Door inzicht te krijgen in de obstakels en de juiste oplossingen te implementeren, kun je de cyberweerbaarheid van jouw organisatie vergroten.

Wil je hierover verder praten of ben je op zoek naar concrete stappen? Neem gerust contact op om samen te kijken naar de mogelijkheden voor jouw bedrijf!