Kleine ondernemers maken zich weinig zorgen om cyberaanvallen, omdat zij ervan overtuigd zijn dat zij hun pc’s en netwerk goed hebben beveiligd. Dat blijkt uit het onderzoek dat Pb7 Research afgelopen zomer in opdracht van beveiligingsspecialist G Data uitvoerde. Voor het onderzoek werden honderd kleine ondernemers uit Nederland en België met maximaal tien pc’s ondervraagd.
De respondenten gaven aan weinig problemen te hebben met grote securitydilemma’s als bring your own device (byod) en datalekken. Bovendien geloven de meesten dat de kans dat zij in de komende twee jaar schade zullen ondervinden door cybercrime te verwaarlozen is. Uit het onderzoek blijkt echter ook dat er nogal wat misvattingen bestaan over hoe een netwerk goed kan worden beveiligd en welke aanvullende maatregelen er nodig zijn om schade door cybercrime te beperken.
Zelf it-security doen
Bij negen op de tien kleinste bedrijven (maximaal vier pc’s) is de eigenaar of directeur degene die de it-securitybeslissingen neemt, hoewel hij hier zelf niet in gespecialiseerd is. Bij zes op de tien kleinste bedrijven is de eigenaar of directeur ook echt degene die de it-security configureert en beheert. Slechts als een bedrijf tussen de vijf en tien pc’s heeft, lijkt het een optie om externe hulp in te schakelen (52 procent) of een systeembeheerder in dienst te nemen (20 procent).
In het merendeel van de bedrijven is men zich ervan bewust dat de zakelijke pc’s en laptops ook privé worden gebruikt (55 procent). Er bestaat geen vergelijkbaar bewustzijn als het gaat om privé smartphones die zakelijk gebruikt worden. 35 procent van de respondenten zegt dat dit gebeurt, terwijl dit bij bijna alle bedrijven gebeurt. Hier bevindt zich dus een duidelijke lacune in het bewustzijn van de kleine ondernemers. Wie het byod-probleem niet erkent, kan ook geen maatregelen treffen tegen malware die via de mobiele apparaten het netwerk kan besmetten en tegen datalekken die bijvoorbeeld voortkomen uit diefstal of verlies van de apparaten.
Externe apparaten
Dat byod bij de kleine ondernemers onontgonnen terrein is, blijkt ook wel uit de antwoorden op vragen naar de eisen die aan de privé laptops van externen op het netwerk worden gesteld. Eén op de vier ondernemers stelt helemaal geen eisen aan de beveiliging van deze apparaten. 44 procent geeft aan zelf het netwerk goed te beveiligen tegen de gevaren die deze externe apparaten mogelijk met zich meebrengen.
Het is namelijk niet goed mogelijk om een netwerk effectief te beschermen als er een geïnfecteerde pc op aangesloten wordt. Dat zoveel kleine bedrijven zoveel onterecht vertrouwen hebben in een netwerkbeveiliging, geeft aan dat er niet voldoende it-kennis aanwezig is om een goede beveiliging te garanderen.
Helemaal geen netwerkbeveiliging
Overigens bleek uit een latere vraag dat de meeste kleine ondernemers helemaal niet over netwerkbeveiliging beschikken. Zo heeft 58 procent gekozen voor losse beveiligingspakketten in plaats van oplossingen op netwerkniveau. Hierdoor missen zij een goed overzicht van de beveiligingsstatus van alle machines en hebben zij maar beperkt grip op de it-security van het bedrijf.
De ondernemers hebben zelf niet het idee dat zij over onvoldoende it-kennis beschikken en gevaar lopen. Zo vindt 67 procent dat de it-verantwoordelijke voldoende kennis heeft van it-security en 57 procent zegt zelfs dat deze persoon veel kennis over het onderwerp heeft. Zeven op de tien kleinzakelijke ondernemingen schatten de kans dat ze schade leiden door cybercrime in de komende twee jaar op minder dan 5 procent.
Risico’s onvoldoende onderkend
Onderzoeker Peter Vermeulen van Pb7 is ervan overtuigd dat er bij de ondernemers sprake is van onderschatting van de gevaren. ‘Het onderzoek laat zien dat kleinzakelijke ondernemingen zich vooral baseren op resultaten die in het verleden gerealiseerd zijn. Hoewel men ziet dat de uitdagingen toenemen, worden de toenemende risico’s onvoldoende onderkend.’
‘Naast een onderschatting van of totale onbekendheid met bepaalde gevaren, verwachten veel ondernemers ook nog eens te veel van hun securitypakket’, vult Eddy Willems, security evangelist bij G Data, aan. ‘Zij denken in groten getale dat zij met een beveiliging op lan-niveau een goede beveiliging hebben tegen geïnfecteerde smartphones en laptops, wat zo goed als onmogelijk is. Hiermee staan de netwerken van de meeste kleine bedrijven wagenwijd open voor cybercriminelen.’
