Kleinere bedrijven zijn minder goed voorbereid op cyberaanvallen dan grotere bedrijven, mede door budgettaire beperkingen. Cloud-gebaseerde beveiligingstools en bewustmakingstrainingen kunnen helpen.

Belangrijkste punten:

  • Kleine en middelgrote bedrijven (MKB) zijn het doelwit van 43% van de cyberaanvallen, maar ze zijn minder bereid dan grotere bedrijven om zich te verdedigen.  
  • Data-inbreuken kunnen verwoestend zijn voor kleinere bedrijven. In een onderzoek heeft een kwart van de kleine bedrijven die een inbreuk hebben gehad, vervolgens het faillissement aangevraagd.
  • Een uitdaging voor het MKB is dat het hen ontbreekt aan de middelen om hetzelfde soort uitgebreide cybersecurity-programma's op te zetten die bij grotere bedrijven bestaan.
  • Cloud-gebaseerde beveiligingstools en bewustmakingstrainingen kunnen kleinere bedrijven helpen bij het opbouwen van cyberbestendigheid met een beperkt budget.

Ransomware-aanvallen, diefstal van inlogggegevens, bedrijfsspionage en gegevensinbreuken zijn dreigingen voor bedrijven van elke omvang. Maar ze kunnen vooral uitdagend zijn voor kleine en middelgrote bedrijven (MKB). Terwijl bedrijfsreuzen de budgetten hebben om uitgebreide cybersecurity-programma's te bouwen die helpen bij het opbouwen van cyberbestendigheid, zijn kleinere organisaties beperkter. Hoe kunnen kleine en middelgrote bedrijven de cyberrisico's beperken zonder de interne middelen om cybersecurity-programma's voor grote bedrijven uit te voeren?

Grote cyberrisico's voor kleinere bedrijven

Leviathans zoals eBay, Target en Yahoo! hebben de afgelopen jaren allemaal de krantenkoppen gehaald als gevolg van veiligheidsinbreuken. Begin 2019 was eBay bijvoorbeeld een doelwit voor cyberaanvallen, waardoor hackers toegang kregen tot de informatie van ongeveer 233 miljoen klanten.[1]

Zulke grote nieuwsverhalen kunnen een van de redenen zijn waarom het lijkt alsof grote bedrijven het meeste risico lopen - ze kunnen immers tegemoetkomen aan de vraag van cybercriminelen naar een enorme ransomware-uitbetaling of een enorme hoeveelheid van persoonlijke gegevens leveren.

Maar het blijkt dat kleinere bedrijven vaak het doelwit zijn van cyberaanvallen en ze hebben vaak meer te lijden onder de gevolgen dan grotere bedrijven.[2] Uit één studie blijkt dat 43% van de cyberaanvallen gericht is op kleine en middelgrote ondernemingen.[3] In een onderzoek van de National Cyber Security Alliance (NCSA) in 2019 gaf 28% van de kleine bedrijven aan in de afgelopen 12 maanden een datalek te hebben gehad. Deze inbreuken hebben vaak verwoestende gevolgen: een kwart van de bedrijven die een inbreuk hebben meegemaakt, heeft vervolgens het faillissement aangevraagd en 10% heeft zijn activiteiten stopgezet.[4]

Helaas zijn kleine en middelgrote bedrijven veel minder goed voorbereid dan grotere bedrijven om die cyberrisico's te voorkomen en er op in te spelen. Uit een onderzoek van de Wall Street Journal bleek dat minder dan twee derde van de bedrijven met minder dan 50 miljoen dollar aan inkomsten een cybersecurity-programma hebben, vergeleken met 81% van de bedrijven met meer dan 1 miljard dollar aan inkomsten.[5] Misschien nog wel meer verontrustend is dat 15% van de kleinere bedrijven geen plannen heeft om in de toekomst een cybersecurity-programma op te zetten. Bedrijven met een omzet van minder dan 50 miljoen dollar hebben ook veel meer kans om zich onderontwikkeld te voelen voor specifieke cyberdreigingen zoals ransomware, andere malware en diefstal van inloggegevens. Vergeleken met grotere ondernemingen vinden ongeveer drie keer zoveel MKB-bedrijven dat ransomware-dreigingen een hoog risico vormen.[6]

Als het MKB een succesvolle cyberaanval overleeft, kunnen ze te maken krijgen met aanzienlijke saneringskosten. In de nasleep van een cyberaanval kunnen kleine bedrijven gemiddeld 690,00 dollar besteden aan saneringskosten, en middelgrote bedrijven meer dan 1 miljoen dollar, volgens een schatting.[7]

Kwetsbare Supply Chains kunnen ravage aanrichten

Omdat het MKB vaak deel uitmaakt van complexe toeleveringsketens voor veel grotere bedrijven, is een extra zorg de dreiging van cyberaanvallen op derden - en het risico dat een inbreuk op de systemen van het MKB kan worden gebruikt om een groter bedrijf aan te pakken. Volgens de Wall Street Journal-enquête voelen kleinere bedrijven zich ruwweg twee keer zo goed voorbereid op risico's als grotere bedrijven als gevolg van aanvallen op hun derde partijen en hun toeleveringsketen.

Kwaadwillende actoren, op zoek naar de eenvoudigste weg in de systemen en gegevens van een organisatie, dringen meestal door tot de zwakkere schakels in de toeleveringsketen - vaak kleine en middelgrote ondernemingen - als een stap in de richting van het bereiken van verderop in de keten. Sommige spraakmakende inbreuken, zoals die bij Home Depot en Target, werden getraceerd naar aanvallen op hun supply chain.[8] Deze inbreuken kunnen gegevens in gevaar brengen en vertrouwelijke bedrijfsplannen, persoonlijke informatie en e-mailcontacten blootleggen. De impact kan jaren duren.[9]

De uitdaging van het bouwen van Cyber Resilience

Tal van factoren kunnen kleinere bedrijven kwetsbaarder maken voor cyberaanvallen. MKB kunnen minder IT-personeel hebben, of zelfs geen toegewijd IT-personeel. Met kleinere budgetten dan grote bedrijven kunnen ze veel minder geavanceerde computer- en netwerkbeveiligings- en back-upprocedures hebben en missen ze een algemeen beveiligingsplan. Het kan zijn dat medewerkers niet goed op de hoogte zijn van de beveiliging, waardoor ze minder snel in staat zijn om social engineeringaanvallen en e-mail phishing-zwendel te detecteren. Deze zwendelpraktijken omvatten imitatieaanvallen waarbij aanvallers officieel schijnbare e-mailberichten sturen die slachtoffers verleiden tot het onthullen van gevoelige financiële en persoonlijke gegevens.[10]

Een actieplan voor het MKB

Toch zijn er manieren waarop kleinere bedrijven zonder diepe zakken hun beveiligingsvoorbereiding kunnen opvoeren. Een belangrijke strategie is het omarmen van cloud-gebaseerde beveiligingsproducten voor e-mailbeveiliging, bescherming tegen malware, back-up en andere beveiligingen. Door dit te doen, kunnen bedrijven voorkomen dat ze kapitaal moeten uitgeven aan gespecialiseerde hardware en software, en dat ze fysieke ruimte moeten vrijmaken voor hardware. Cloudbeveiligingsproducten kunnen ook de vereiste IT-administratieve inspanningen verminderen. Het kan ook eenvoudiger zijn om het werken op afstand te ondersteunen en ervoor te zorgen dat er altijd een back-up wordt gemaakt van de gegevens.[11]

Hoewel er geen one-size-fits-all panacee is, zijn er andere manieren waarop kleinere bedrijven de veiligheid kunnen beheren met een krap budget, waaronder:

  • Online, interactieve beveiligingsbewustzijnstrainingen voor werknemers kunnen de risico's aanzienlijk verminderen. Bij de meeste beveiligingsinbreuken gaat het om menselijke fouten.
  • Voorlichting van medewerkers over cyberrisico's tijdens het reizen en waar mogelijk het verwijderen van gevoelige gegevens van apparaten voor een zakenreis. Voeg de beveiliging van mobiele apparaten toe aan uw plannen.
  • Houdt toezicht op connecties met derden om de dreigingen van uw toeleveringsketen en andere zakenpartners te beoordelen.
  • Huur een externe consultant in om risico's en kwetsbaarheden te helpen beoordelen en bloot te leggen, inclusief het testen van systemen die externe toegang mogelijk maken, zoals websites en cloud drives. 
  • Stel een responsplan op zodat uw medewerkers weten hoe ze moeten omgaan met cyberdreigingen.
  • Stel een cybersecurity-beleid op, inclusief best practices, van het gebruik van unieke wachtwoorden en het melden van verdachte e-mails tot het implementeren van tweefactor-authenticatie.
  • Update software onmiddellijk om online dreigingen te bestrijden.
  • Zorg ervoor dat de medewerkers op afstand worden beschermd door een firewall.

De bottom line

Bedrijven staan bloot aan een breed scala aan cyberrisico's, van gegevensdiefstal tot ransomware-aanvallen. De dreigingen zijn vooral gevaarlijk voor kleinere bedrijven, die niet over de diepe zakken beschikken die nodig zijn om resource-intensieve cyberbeveiligingsprogramma's op te bouwen. Maar er zijn manieren waarop kleinere bedrijven met een krap budget veerkracht kunnen opbouwen op het gebied van cyberveiligheid, zoals het toepassen van cloudgebaseerde beveiligingstools en beveiligingsbewustzijnstrainingen.

[1] 10 Bedrijven getroffen door cyberaanvallen", Villanova Universiteit

[2] "Kleine en middelgrote bedrijven moeten zich richten op cyberbeveiliging", Security Magazine...

[3] "43% van de cyberaanvallen zijn nog steeds gericht op kleine bedrijven, terwijl Ransomware blijft stijgen.

[4] "Small Business Cybercriminal Target Survey Data," National Cybersecurity Alliance

[5] "Welke industrieën zijn niet klaar voor een Cyberattack?" Wall Street Journal. 

[6] "Welke industrieën zijn niet klaar voor een Cyberattack?" Wall Street Journal. 

[7] "Kleine en middelgrote bedrijven moeten zich richten op cyberbeveiliging", Security Magazine...

[8] "Blockchain is enorm overschat; Supply Chain Cybersecurity is enorm ondergewaardeerd," SupplyChain24/7

[9] "Wat is een supply chain-aanval? Waarom zou je op je hoede moeten zijn voor derde partijen," CSO

[10] "Wat kleine bedrijven moeten weten over cybersecurity," Microsoft 365

[11] "Cloud Computing en de voordelen ervan voor kleine bedrijven," Cleverisme

 

Wil je nog meer geweldige artikelen zoals deze? Schrijf je dan in op onze blog.

Krijg al het laatste nieuws, tips en artikelen direct in uw inbox afgeleverd

Misschien vind je dit ook leuk:

Ransomware Attack laat Honda vastzitten in "Park"

Een grootschalige ransomware aanval op Honda...

Een grootschalige ransomware-aanval op Honda Motor Co. stopt de mens... Lees meer >

Mercedes Cardona

via Mercedes Cardona

Bijdragende Schrijver

Geplaatst op 11 juni 2020

Ransomware in een nieuw jasje: betaal of we publiceren

Ransomware-aanvallen zijn groter geworden...

Ransomware-aanvallen zijn groter en geavanceerder geworden... Lees meer >

Mercedes Cardona

via Mercedes Cardona

Bijdragende Schrijver

Geplaatst op 10 juni 2020

Wil je Cyber Resilience? Integreer e-mailbeveiliging in uw SIEM

Het integreren van e-mail beveiligingsgegevens met Sec...

Integratie van e-mailbeveiligingsgegevens met Beveiligingsinformatie en... Lees meer >

Mitch Wagner

via Mitch Wagner

Bijdragende Schrijver

Geplaatst op 28 mei 2020