Cyberdreiging: werknemers en (kleine) bedrijven worstelen met concrete actie

Zo neemt een op de vijf bedrijven met minder 10 werknemers nog altijd geen concrete maatregelen tegen digitale dreiging, blijkt uit het jaarlijkse onderzoek Alert Online van Ipsos I&O in opdracht van het ministerie van Economisch Zaken, over onder meer het bedrijfsleven. Bij bedrijven die dat wél doen, is twee-staps-inloggen (dat je niet zomaar de interne werkomgeving kan bereiken met slechts één wachtwoord) de meest genomen actie. 55 procent van de ondervraagde medewerkers – binnen het onderzoek en dus niet per bedrijf – denkt te weten dat deze maatregel verplicht is binnen de organisatie.

Groeiend probleem

Cybergerelateerde crime is een groeiend probleem binnen het bedrijfsleven. In 2024 had een op de vijf bedrijven te maken met een cyberaanval, becijferde ABN Amro. Bij grote ondernemingen was dat aandeel nog groter. Daar maakte drie op de tien bedrijven een cyberaanval mee. De meeste voorkomende schade was verlies van geld en klantendata en verstoring van de operationele werkzaamheden.

• Lees ook dit artikel: welke impact heeft AI op de wereld van recruitment? Marleen Deleu en Farid El Machaoud delen hun inzichten

Demissionair minister van Economische Zaken Vincent Karremans (VVD) sprak onlangs nog over de noodzaak tot investeringen in cyberweerbaarheid bij bedrijven en overheidsorganisaties. Kleinere organisaties – en dat geldt natuurlijk al helemaal voor zzp’ers – hebben vaak niet de financiële middelen en/of de capaciteit om hun interne organisatie goed te beveiligen. Onder de Europese richtlijn NIS2 vallen op den duur steeds meer organisaties onder de wettelijke verplichting om hun digitale weerbaarheid op orde te hebben. Tegen potentieel hoge boetes.

Handelingsverlegenheid

Uit het Alert Online-onderzoek blijkt verder dat een derde van de medewerkers (34 procent) hun eigen kennis over online veiligheid als zeer goed inschatten. Vorig jaar lag dit percentage nog op 27 procent. Drie op de vijf medewerkers (60 procent) denken dat de eigen organisatie voldoet aan de wet- en regelgeving. Maar zelf zijn medewerkers vaak helemaal niet zo goed op de hoogte van alle wetten en regels. Een kleine minderheid (10 procent) zegt (zeer) goed te weten wat er allemaal speelt op dit terrein, terwijl meer dan de helft van de respondenten (52 procent) dat ‘heel slecht’ weten.

Toch lijkt er wel sprake van handelingsverlegenheid, of wellicht zelfs wel schaamte, als het misgaat. Een van de meest voorkomende fenomenen is phishing mail en het daarbinnen klikken op een link die je doet belanden in een situatie waarin je kan worden opgelicht of gechanteerd. Het aandeel medewerkers dat phishing mail meemaakte is gestegen van 25 procent in 2024 naar 31 procent dit jaar.

In de helft (47 procent) van de gevallen dat een medewerker te maken kreeg met dit soort vormen van cybercrime deed de desbetreffende medewerker geen melding of aangifte. Medewerkers die wel actie ondernamen, deden dat overwegend door melding te maken bij de ICT-afdeling van hun bedrijf (45 procent). Twee op de vijf medewerkers die geen aangifte deden, geven aan dat ze geen of weinig schade ondervonden. Een derde (35%) vond het (daarnaast) niet zo belangrijk. 5 procent zegt dat het geen zin heeft om aangifte of melding te doen. Uit het onderzoek blijkt ook dat ICT-medewerkers, vermoedelijk omdat zij dicht op het vuur zitten en er dagelijks mee bezig zijn, veel bewuster zijn van de gevaren én daar ook op acteren.

• Lees ook dit artikel: Het tekort aan IT’ers blijft bestaan zolang bedrijven blijven vissen in dezelfde vijver