De rol van het MKB in relatie tot cybersecurity is traditioneel onderbelicht. Er is nog maar weinig onderzoek gedaan naar de beveiliging van de systemen die gebruikt worden door bedrijven in het MKB, die 90% van de bedrijven in Nederland vormt en voor een flink deel de economische activiteit bepalen1. Daarom is het essentieel dat er meer aandacht komt voor de (digitale) veiligheid van deze organisaties.
Op landelijk niveau is al langer aandacht voor het belang van cybersecurity in het MKB. In het Cybersecuritybeeld Nederland 2016 wordt gesteld: “Het MKB neemt, ten opzichte van grotere bedrijven, relatief weinig maatregelen op het gebied van cybersecurity2.” Daarmee is de ruggengraat van de Nederlandse economie kwetsbaar. Maar hoe kwetsbaar?
Sinds 2014 hebben de adviseurs van Capgemini Consulting in samenwerking met verzekeraar Interpolis de CyberPreventieDienst opgezet3. Hierbij worden MKB-bedrijven doorgelicht op acht verschillende kerngebieden. Deze acht gebieden zijn: beleid en aansturing, beveiliging informatie, bewustwording en training, wet- en regelgeving, processen, fysieke beveiliging, toegang bedrijfsnetwerk en internet/web. Ook wordt de technische staat van de netwerken door een technische scan (een zogenaamde ‘pentest’) beproefd.
De verbonden samenleving manifesteert zich het duidelijkst in burgers en bedrijven die hun activiteiten steeds meer online ontplooien en verwachten dat dit veilig kan. Keer op keer blijkt dat de cybersecurity van Nederlandse bedrijven (van multinational tot de bakker om de hoek) afhankelijk is van veilige verbindingen.
In 2015 hebben Interpolis en Capgemini Consulting het onderzoek ‘Cybersecurity in het MKB’4 uitgevoerd, naar de stand van zaken omtrent cybersecurity binnen het midden- en kleinbedrijf. Uit dit onderzoek komt naar voren dat ongeveer de helft van de ondervraagde bedrijven gebruik maakt van digitale betalingsvormen, zoals creditcardbetalingen of online betalingsmogelijkheden. Ook maakt ongeveer de helft van deze bedrijven gebruik van intellectueel eigendom en/of vertrouwelijke gegevens. 32% van MKB-ondernemers verwacht dat het bedrijfsrisico dat zij lopen met betrekking tot cybersecurity in de komende vijf jaar zal stijgen. Met name de doelgroepen zakelijke dienstverlening, detailhandel en industrie komen naar voren als sectoren die grotere risico’s zien op digitaal vlak.
Op basis van dit onderzoek hebben Capgemini Consulting en Interpolis de CyberPreventieDiensten eïntensiveerd en uitgerold. De aanpak die is ontwikkeld, is op concrete aanbevelingen gericht langs de klassieke drie dimensies van organisatie, mensen & middelen en technologie (‘people, process & technology’). Deze dimensies zijn uitgewerkt in een achttal kerngebieden en vervolgens in een pilot bij een vijftal ondernemers uitgevoerd. De drie dimensies staan centraal bij de interviews en informatieverzameling. Het resultaat wordt hierna geanalyseerd en de aanbevelingen worden gekoppeld aan de zogenoemde ‘gaps’ die gevonden zijn tijdens de analyse.
In de afgelopen twee jaar is de CyberPreventieDienst enkele tientallen keren uitgevoerd. Daarmee is het mogelijk om een eerste verkenning te doen van de resultaten van de uitgevoerde CyberPreventieDiensten. Hiervoor is een speciale benchmark ontwikkeld die inzicht geeft in de weerbaarheid van de deelnemende ondernemers en een vergelijking op sectorniveau voor enkele sectoren mogelijk maakt. Zo kan een individuele ondernemer zien hoe zijn eigen onderneming scoort ten opzichte van het gemiddelde van de deelnemende ondernemers, en vaak dus zijn concurrenten.
De bedrijven die zijn opgenomen in de benchmark kunnen gecategoriseerd worden onder de volgende sectoren: retail, overheid, financial, industrie, dienstverlening en horeca/entertainment. Mogelijke antwoorden op de vragen waren: of men bepaalde maatregelen niet, ad hoc, deels of geheel heeft geïmplementeerd. Met bijbehorende scores van 0-3. Een score van 2 (deels) vormt naar ons idee de gewenste baseline voor cybersecurity.
Conclusie
MKB-bedrijven ontplooien steeds meer activiteiten online en vertrouwen hierbij vaak op externe dienstverleners om de technische aspecten af te dichten. Zaken als fysieke beveiliging, toegang tot het bedrijfsnetwerk en de beveiliging van de website zijn vaak uitbesteed en hiermee naar een aantal criteria op papier ‘geregeld’. Het regelmatig testen van de staat van deze beveiligingsmaatregelen is echter vaak een blinde vlek.
Op vijf van de acht kerngebieden (beleid en aansturing, beveiliging informatie, bewustwording en training, wet- en regelgeving en processen) kunnen MKB-bedrijven nog een flinke slag maken om hun (digitale) veiligheid op een hoger volwassenheidsniveau te brengen.
Een aanpak gericht op de grootste risico’s, voortkomend uit inzicht in waar de belangen van de organisatie liggen, is hierbij cruciaal om de juiste maatregelen te nemen. Weten waar de gaten zitten, is essentieel om deze te kunnen dichten. Organisaties hebben vaak een blinde vlek voor hun zwaktes, want ze denken hun risico’s te hebben afgedicht door deze uit te besteden.
