Kleine ondernemingen slecht voorbereid op cybercrime

  • Bron (c) 2013, VirusAlert

Onderzoek onder 100 kleine MKB-ers in Nederland en België brengt grote
zelfoverschatting aan het licht

Kleine ondernemers maken zich weinig zorgen om cyberaanvallen, omdat zij
ervan overtuigd zijn dat zij hun pc’s en netwerk goed hebben beveiligd. Dat
blijkt uit het onderzoek dat Pb7 Research afgelopen zomer in opdracht van
beveiligingsspecialist G Data uitvoerde. Voor het onderzoek werden 100
kleine ondernemers uit Nederland en België met maximaal 10 pc’s ondervraagd.

De respondenten gaven aan weinig problemen te hebben met grote
security-dilemma’s als Bring Your Own Device en datalekken. Bovendien
geloven de meesten dat de kans dat zij in de komende twee jaar schade zullen ondervinden door cybercrime te verwaarlozen is. Uit het onderzoek blijkt echter ook dat er nogal wat misvattingen bestaan over hoe een netwerk goed kan worden beveiligd en welke aanvullende maatregelen er nodig zijn om schade door cybercrime te beperken.

Het zelfvertrouwen dat de respondenten tentoon spreiden, lijkt onterecht.
Bij negen op de tien kleinste bedrijven (maximaal vier pc’s) is de eigenaar
of directeur degene die de IT-security beslissingen neemt, hoewel hij hier
zelf niet in gespecialiseerd is. Bij zes op de tien kleinste bedrijven is de
eigenaar of directeur ook echt degene die de IT-security configureert en
beheert. Slechts als een bedrijf tussen de vijf en tien pc’s heeft, lijkt
het een optie om externe hulp in te schakelen (52%) of een systeembeheerder in dienst te nemen (20%).

In het merendeel van de bedrijven is men zich ervan bewust dat de zakelijke pc’s en laptops ook privé worden gebruikt (55%). Vreemd genoeg bestaat er geen vergelijkbaar bewustzijn als het gaat om privé-smartphones die zakelijk gebruikt worden. Slechts 35% van de respondenten zegt dat dit gebeurt, terwijl de experts van G Data uit ervaring weten dat dit bij bijna alle
bedrijven gebeurt. Hier bevindt zich dus een duidelijke lacune in het
bewustzijn van de kleine ondernemers. Wie het BYOD-probleem niet erkent, kan ook geen maatregelen treffen tegen malware die via de mobiele apparaten het netwerk kan besmetten en tegen datalekken die bijvoorbeeld voortkomen uit diefstal of verlies van de apparaten.

Dat BYOD bij de kleine ondernemers onontgonnen terrein is, blijkt ook wel
uit de antwoorden die wij kregen wanneer wij vroegen naar de eisen die aan
de privé-laptops van externen (stagiairs, externe boekhouders, etc.) op het
netwerk worden gesteld. Eén op de vier ondernemers stelt helemaal geen eisen aan de beveiliging van deze apparaten. Nog verontrustender is dat 44% aangeeft zelf het netwerk goed te beveiligen tegen de gevaren die deze externe apparaten mogelijk met zich meebrengen. Het is namelijk niet goed mogelijk om een netwerk effectief te beschermen als er een geïnfecteerde pc op aangesloten wordt. Dat zoveel kleine bedrijven zoveel onterecht vertrouwen hebben in een netwerkbeveiliging, geeft aan dat er niet voldoende IT-kennis aanwezig is om een goede beveiliging te garanderen.

Overigens bleek uit een latere vraag dat de meeste kleine ondernemers
helemaal niet over een netwerkbeveiliging beschikken. Zo heeft 58% gekozen voor losse beveiligingspakketten in plaats van oplossingen op netwerkniveau. Hierdoor missen zij een goed overzicht van de beveiligingsstatus van alle machines en hebben zij maar beperkt grip op de IT-security van het bedrijf.

De ondernemers hebben zelf niet het idee dat zij over onvoldoende IT-kennis beschikken en gevaar lopen. Zo vindt 67% dat de IT-verantwoordelijke
voldoende kennis heeft van IT-security en 57% zegt zelfs dat deze persoon
veel kennis over het onderwerp heeft. Zeven op de tien kleinzakelijke
ondernemingen schatten de kans dat ze schade leiden door cybercrime in de
komende twee jaar op minder dan 5%.

Onderzoeker Peter Vermeulen van Pb7 is ervan overtuigd dat er bij de
ondernemers sprake is van onderschatting van de gevaren: “Het onderzoek laat zien dat kleinzakelijke ondernemingen zich vooral baseren op resultaten die in het verleden gerealiseerd zijn. Hoewel men ziet dat de uitdagingen toenemen, worden de toenemende risico’s onvoldoende onderkend.”

Eddy Willems, Security Evangelist bij G Data vult aan: “Naast een
onderschatting van of totale onbekendheid met bepaalde gevaren, verwachten veel ondernemers ook nog eens te veel van hun securitypakket. Zij denken in groten getale dat zij met een beveiliging op LAN-niveau een goede beveiliging hebben tegen geïnfecteerde smartphones en laptops, wat zo goed als onmogelijk is. Hiermee staan de netwerken van de meeste kleine bedrijven wagenwijd open voor cybercriminelen.”