In 2024 werd één op de vijf Nederlandse bedrijven getroffen door een cyberaanval met schade zoals financiële verliezen of datalekken. Het Wereld Economisch Forum noemt cybercrime inmiddels het vijfde grootste bedrijfsrisico. “Cybersecurity is een reëel bedrijfsrisico geworden”, bevestigt Mark Drost, Principal Security Advisor bij Route443 in Heerlen. “Elk bedrijf is, ongeacht zijn omvang, digitaal verbonden en daarmee kwetsbaar.”
Route443 is een full service Cybersecuritypartner. Accountmanager Raymond Gulpen: “We merken dat veel mkb-bedrijven de risico’s onderschatten, door gebrek aan kennis, tijd of gevoel voor urgentie. Dat maakt het mkb tot een ideaal doelwit, juist omdat hier de digitale beveiliging nog niet altijd aan de maat is. Criminelen kiezen de gemakkelijkste weg, dus daar waar de deur openstaat gaan ze het eerst naar binnen.”
Risico’s voor mkb’ers
Wat zijn dan zoal de risico’s voor (mkb-) bedrijven? Drost: “Als gevolg van ransomware (hackers leggen de systemen stil totdat er losgeld is betaald) kan de productie weken stilliggen. Met als gevolg financiële schade door omzetverlies, IT-kosten, juridische kosten en mogelijke boetes. Daarnaast zijn er immateriële kosten zoals reputatieschade en verlies van klantvertrouwen. Bedrijven in de maakindustrie lopen zelfs extra risico. Dat heeft vaak te maken met het gebruik van verouderde software of IT-systemen die niet zijn ontworpen met moderne cybersecurity in gedachten, moeilijk zijn te onderhouden, integreren en op te schalen.”
Identity security is de sleutel
Alle hens aan dek dus, want hoewel een hack nooit 100% te voorkomen is, is de impact ervan wel degelijk te beperken. Gulpen: “Daarvoor moet de ondernemer een aantal maatregelen nemen. Maar liefst 80-90% van de hacks is terug te voeren op misbruik van accounts als gevolg van zwakke wachtwoorden, phishing mails, gestolen inloggegevens of (ex-) medewerkers met te veel toegang. Eén klik op een link in een foute e-mail kan al enorme gevolgen hebben. Losse maatregelen zoals antivirussoftware nemen dat risico niet weg. Wat wel werkt is ‘identity security’. Oftewel het potentiële ‘aanvalsoppervlak’ verkleinen door toegangsrechten goed te beheren en continu te monitoren. Niet één slot op de deur, maar een aantal achter elkaar. Door meerdere veiligheidslagen te combineren en wachtwoorden te vervangen door veiligere alternatieven (bijvoorbeeld vingerafdruk of gezichtsherkenning) neemt de kans op misbruik af. Dat klinkt misschien ingewikkeld, maar het is vaak juist gebruiksvriendelijker. Geen wachtwoorden meer die elke drie maanden moeten worden aangepast en dus ook minder menselijk fouten.”
Cybersecurity vraagt om een andere blik
“We merken dat veel mkb’ers denken dat ze cybersecurity goed geregeld hebben omdat ze een IT-partij inhuren of bepaalde tools gebruiken”, zegt Drost. “In de praktijk blijkt echter vaak dat die middelen niet goed zijn ingericht of niet actief worden gemonitord. Security wordt er dan ‘bij gedaan’, terwijl het juist vraagt om onafhankelijk toezicht en continue aandacht. IT-beheer en cybersecurity vervullen verschillende rollen en vragen om een andere blik. Anders krijg je de situatie van de slager die zijn eigen vlees keurt.”
En hoe zit het dan met AI?
AI speelt een steeds grotere rol binnen cybersecurity, zowel aan de kant van organisaties als van de criminelen. Gulpen: “Bedrijven gebruiken AI om grote hoeveelheden inlog- en netwerkdata te analyseren en afwijkend gedrag sneller te herkennen dan een mens ooit zou kunnen. Tegelijkertijd gebruiken cybercriminelen diezelfde technologie om aanvallen slimmer, persoonlijker en grootschaliger te maken, bijvoorbeeld bij phishing en ransomware. AI vergroot de snelheid en schaal van digitale dreigingen, waardoor organisaties die hun basisbeveiliging niet op orde hebben, sneller en harder worden geraakt. Dat maakt cybersecurity urgenter dan ooit.”
Wetgeving dwingt tot actie
Nieuwe Europese regelgeving, zoals NIS2 (de vernieuwde richtlijn voor Network & Information Security) verplicht organisaties om securitymaatregelen te nemen. In Nederland wordt deze richtlijn vertaald in de Cyberbeveiligingswet. De NIS2 legt meer verantwoordelijkheid bij ondernemers en bestuurders. Dat voelt voor veel mkb’ers als extra druk, maar de positieve kant is dat het dwingt om structureel na te denken over digitale weerbaarheid en bedrijfscontinuïteit.”
Cyberverzekering: net zo belangrijk als brandverzekering
De kans dat een mkb-bedrijf met cybercrime te maken krijgt is reëel”, benadrukt Gulpen. “Het is dan ook slim om – net zoals je je voor brand verzekert – een cyberverzekering af te sluiten voor digitale schade en uitval. Verzekeraars stellen steeds strengere eisen aan de basisbeveiliging. Wie zijn digitale fundament niet op orde heeft, loopt het risico alsnog onverzekerd te zijn op het moment dat het misgaat. Een goede extra stok achter de deur om passende maatregelen te nemen.”
Geen kostenpost maar randvoorwaarde
“Cybersecurity hoeft niet ingewikkeld of onbetaalbaar te zijn”, verzekert Drost. “De belangrijkste stap is inzicht: weten waar de kwetsbaarheden zitten en welke risico’s echt relevant zijn voor jouw bedrijf. Pas daarna volgt de keuze voor maatregelen. Cybersecurity is in onze ogen geen kostenpost, maar een randvoorwaarde voor bedrijfscontinuïteit.”
Meer weten? Kijk op www.route443.eu
