Bijna driekwart van de Nederlandse bedrijven kreeg vorig jaar te maken met een cyberaanval. Veel bedrijven onderkennen de risico’s pas als een aanval daadwerkelijk tot schade leidt. Dit blijkt uit een onderzoek dat ABN Amro samen met MWM2 onder 895 organisaties heeft verricht.
Maar liefst 86 procent van het grootbedrijf (omzet boven 25 miljoen euro) was doelwit van cybercriminelen. Bij middelgrote en kleine bedrijven gold dit voor 71 procent en onder zelfstandigen was dit 55 procent.
Ondanks het hoge dreigingsniveau blijft de risicoperceptie in het Nederlandse bedrijfsleven achter. Ondernemers lijken de risico’s pas te onderkennen als een aanval leidt tot kosten voor herstel van systemen, gederfde inkomsten door stilstand van het bedrijf of reputatieschade door gelekte klantgegevens. Inmiddels hebben aanvallen al bij 59 procent van het grootbedrijf en 43 procent van het mkb dergelijke schade veroorzaakt.
Het aantal mkb- en zzp-bedrijven dat cybercriminaliteit als ‘veel’ of ‘heel erg veel’ risico beschouwt, is ondertussen afgenomen. Nu Europese wetgeving wordt aangescherpt, groeit echter de urgentie voor bedrijven om hun cyberveiligheid samen met klanten en leveranciers op orde te krijgen.
Nieuwe ontwikkelingen
Uit het onderzoek blijkt verder dat aanvallen van cybercriminelen steeds geraffineerder en verfijnder worden. Ruim de helft van de bedrijven beschouwt nieuwe ontwikkelingen op het gebied van artificial intelligence (ai) dan ook als een grote bedreiging; een jaar geleden was dit nog geen kwart. Zo maakt generatieve ai zoals ChatGPT het bijvoorbeeld eenvoudig om in korte tijd overtuigende phishing-mails te creëren.
Ook interactieve gesprekken kunnen aan ai-modellen worden uitbesteed. In een automatische chat kunnen inloggegevens worden ontfutseld of betalingen in gang gezet. Ook zetten oplichters technologie in om slachtoffers te doen geloven dat ze met iemand anders van doen hebben, zoals met ‘ceo-fraude’ of ‘whaling’. Bij deze vorm van phishing doen oplichters zich voor als ceo of lid van het hoger management. Zij benaderen medewerkers via e-mail, Whatsapp of gebruiken deepfake-technieken via telefoon- en videogesprekken met het dringende verzoek om geld over te maken of gevoelige informatie te geven. Deze vorm van oplichting treft vooral grotere bedrijven. In 2023 was bijna één op de drie van deze bedrijven doelwit van zo’n aanval.
NIS2
Om de weerbaarheid tegen cyberaanvallen te verbeteren, wordt in oktober de nieuwe Europese NIS2-wetgeving van kracht. De nieuwe wet schrijft voor dat bedrijven cyberrisico’s in hun toeleveringsketen in kaart moeten brengen. Julia Krauwer, sector banker Technologie, Media & Telecom van ABN Amro: ‘De mate waarin dat gebeurt, verschilt echter sterk per bedrijf. Nederland loopt met de implementatie van NIS2 daarnaast achter ten opzichte van andere landen, zoals Duitsland en België. Actie vanuit bedrijven verdraagt echter geen uitstel, ook omdat klanten in andere delen van Europa NIS2-compliance van hun Nederlandse leveranciers zullen eisen.’
(Het rapport is hier te downloaden.)
