Een op de veertien Nederlandse bedrijven heeft naar eigen zeggen sinds het begin van de coronacrisis te maken gekregen met cybercriminaliteit gerelateerd aan covid-19. Dit blijkt uit onderzoek dat ABN Amro in mei heeft verricht onder 170 bedrijven.
De bank houdt er rekening mee dat het werkelijke percentage getroffen bedrijven hoger ligt. Want niet elke aanval zal zijn herkend als verband houdend met corona. Behalve dat de dreiging van cybercrime toeneemt, verandert ook het karakter van de cyberaanvallen.
Uit recent onderzoek van Europol blijkt dat na het installeren van ransomware steeds sneller om losgeld wordt gevraagd. Hoewel cybercriminaliteit door de coronacrisis een extra impuls heeft gekregen, is dit niet bij bedrijven hoger op de agenda komen te staan.
Aandacht verschoven
Tijdens het onderzoek in mei gaf 31 procent van de ondernemingen aan veel risico op cybercrime voor de eigen organisatie te zien. Bij een eerder onderzoek rond eind januari bedroeg dit percentage nog 54 procent. De mate waarin cybercriminaliteit als risico wordt gezien, is sinds het uitbreken van de coronacrisis dus significant gedaald. Volgens ABN Amro is deze afname goed te verklaren. Door de uitbraak van de crisis zal de aandacht zijn verschoven naar algehele factoren rondom bedrijfscontinuïteit, zo veronderstelt de bank.
Overigens is het aantal ddos-aanvallen toegenomen. Zo werd naar de website van Thuisbezorgd zo veel internetverkeer gestuurd dat de servers het even niet aankonden. Voor het eerst in ruim 1,5 jaar kreeg ook ABN Amro met een geslaagde ddos-aanval te maken.
Verzekeraar Hiscox becijferde recent dat cyberaanvallen bedrijven steeds meer geld kost. Het totale schadebedrag bij slachtoffers is dit jaar wereldwijd met 61 procent toegenomen.
Cyber security awareness is nog steeds onderbelicht bij organisaties terwijl zij aantoonbaar hier allemaal kwetsbaar voor zijn. Ik snap dat niet goed. De kosten van een incident zijn nog veel hoger dan wat je vergoed krijgt bij een claim. Ciso’s krijgen zelden voldoende mandaat en dat terwijl het het risico om incidenten te verkleinen niet alleen zeer betaalbaar is, maar bovendien ook een investering is in de kennis van je medewerkers. In mijn ogen is er geen excuus te verzinnen waarom medewerkers geen training krijgen in de cyber security essentials zoals wachtwoorden niet hergebruiken, tweestapsverificatie toepassen, phishing herkennen en incidenten melden.
Als het misgaat heb je gewoon geen goed verhaal als je medewerkers niet traint.