Hoe is het gesteld met de cyberweerbaarheid van MKB-organisaties in de provincie Noord-Brabant? Dat is de centrale vraag in het Cyberweerbaarheidsonderzoek MKB Brabant, georganiseerd door ACA IT-Solutions, met medewerking van netwerkorganisatie MKB Eindhoven en Fontys ICT Hogeschool.
Directie, (IT-)management en IT-(mede)verantwoordelijken van bijna 200 Brabantse organisaties hebben een vragenlijst doorlopen, waarbij zij hun visie gaven op cybersecurity en de wijze waarop dit in hun organisatie is gerealiseerd. Dit onderzoek heeft plaatsgevonden in de periode juni tot en met september 2022. De overall conclusie: de cyberweerbaarheid van het MKB in Brabant is nog ver onder de maat. Onderstaand zijn de belangrijkste resultaten en conclusies van het onderzoek vermeld binnen de pijlers Beleid, Techniek en Mens. Dit rapport publiceren we in oktober, de European Cyber Security Month, om extra aandacht te vragen voor dit onderwerp. Het volledige rapport is terug te vinden op aca-it.nl/rapport
Voorkom een ‘Snoepwinkel voor cybercriminelen’
Het cybersecuritybeleid is bij het merendeel van de respondenten nog onderbelicht. Zo staat bij slechts 50,8% van de respondenten het thema cybersecurity periodiek op de agenda van de directie en beschikt slechts 56,3% over procedures omtrent informatiebeveiliging en cyberincidenten. In veel gevallen ontbreekt het aan betrokkenheid en prioriteit bij de directie. Dit leidt weer tot het ontbreken van een adequaat cybersecurity beleid en uitvoering binnen organisaties. Dit zien we bijvoorbeeld terug bij het bewustzijn van het management bij ICT-rechten en -bevoegdheden. Daarnaast ontbreekt het aan goede procedures, die ook hoog nodig zijn na een cyberaanval. Tevens blijkt uit het onderzoek dat het niet adequaat uitvoeren van patches en updates leidt tot een ‘snoepwinkel voor cybercriminelen.’
Gebrek aan kennis en onvoldoende aandacht voor de technische basisprincipes
Ook de techniek loopt op te veel vlakken nog achter de feiten aan. Dit komt door een gebrek aan kennis op het gebied van cybersecurity en actueel inzicht in de methodieken van cybercriminelen. Zo is er bijvoorbeeld onvoldoende aandacht voor de technische basisprincipes van cybersecurity, zoals back-up en MFA (multi-factor authenticatie).
Back-ups zijn een waar pijnpunt zo blijkt: het positieve nieuws is dat ze worden gebruikt door een meerderheid van de organisaties. Echter, maar liefst 28,3% van de respondenten geeft aan niet te testen op bruikbaarheid en nog eens 30,3% weet dit niet. Verder heeft het grootste deel van de respondenten (49,7%) geen cyberverzekering of weet niet of deze is afgesloten (22,1%).
Factor mens blijft zwakke schakel
Daarnaast wordt de rol van de medewerkers nog te vaak onderbelicht en onderschat. De mens is vaak de zwakste schakel binnen het cybersecurity-spectrum. Zo geven de ondervraagden in slechts 44,4% van de gevallen aan dat medewerkers periodiek worden getraind om malafide mails te herkennen.
Inhaalslag hoog nodig
Michael Waterman (Cybersecurity Architect) en Geert Rademakers (Directeur) van ACA-IT-Solutions over de resultaten: “Het MKB staat volop in de belangstelling van cybercriminelen. Een inhaalslag is hoog nodig. Kijkend naar de onderzoeksresultaten zijn er quick wins te behalen bij veel organisaties door een aantal basisprincipes. Dit staat ook in ons onderzoeksrapport vermeld en het advies is om, op brede schaal, versneld door te voeren. Hiermee kunnen al veel aanvallen gepareerd worden dan wel onschadelijk worden gemaakt. Dit dient gecombineerd te worden met een structurele verbeterslag en permanente aandacht op directieniveau.”
Voortgang blijven monitoren
ACA IT-Solutions en haar partners hebben de ambitie om dit marktonderzoek na twee jaar te herhalen, teneinde een beeld te geven van voortgang ten opzichte de vorige onderzoeksperiode.