Schokkend: driekwart mkb-bedrijven was doelwit cybercrime

Het zijn zorgwekkende cijfers, vooral wie bedenkt dat mkb-ondernemers zich nog vaak niet of nauwelijks beschermen. Vergelijk het met de voordeur wagenwijd open laten staan, zonder dat iemand de receptie bemant. Of zonder camera’s of enige andere vorm van beveiliging. Dat voelt onverstandig, zoals we thuis de voordeur op slot draaien als we van huis gaan. Toch kunnen cybercriminelen min of meer ongestoord hun gang gaan.

Meer over cybercrime voorkomen: 'Wees spookfacturen en andere factuurfraude te slim af (met tips)'

Zowel het mkb als particulieren zijn steeds vaker doelwit van cybercrime. Uit het Cybercrimebeeld Nederland 2024 blijkt dat maar liefst 16% van alle Nederlanders slachtoffer werd. Dat zijn 2,3 miljoen slachtoffers. Het maakt online criminaliteit (met stip!) de nummer één misdaad in Nederland.  

Specifiek voor het mkb zijn zowel de risico’s als de impact van een aanval groot. Onderzoek door Kaspersky toont aan dat maar liefst 77% van het mkb in de afgelopen twee jaar minstens één keer te maken kreeg met cybercrime. Ook aanvullende cijfers uit vergelijkbare onderzoeken zijn ronduit verontrustend:

• Cybercrime kost het mkb gemiddeld € 270.000 per incident
• Bedrijven lopen vooral risico op verstoringen of zelfs bedrijfsuitval, door ransomware
• Vooral klantgegevens die op straat komen te liggen schaden het vertrouwen van klanten
  

Ook interessant (en heel belangrijk): 'NIS2: maak uw bedrijf klaar voor de toekomst met deze checklists'

Wat verder opvalt is dat cybercriminelen relatief eenvoudige technieken gebruiken, om het mkb te raken. De bescherming blijkt te zwak, waardoor bijvoorbeeld phishing nog altijd heel kansrijk blijkt. Onderzoek laat ziendat maar liefst 67% van de cyberaanvallen in 2024 gerelateerd was aan phishing. Hackers wisten vertrouwelijke informatie te verkrijgen, bijvoorbeeld door medewerkers te misleiden met e-mails, SMS-berichten en nepfacturen. 

Daarnaast ging het in veel gevallen om aanvallen op websites. Die zijn nog vaak slecht beveiligd, omdat het mkb er onterecht vanuit gaat dat zij niet interessant zouden zijn voor cybercriminelen. De aanvallen bestonden uit zowel DDoS-aanvallen om websites plat te leggen als datalekken, die werden misbruikt door online criminelen. 

Tenslotte gaan veel mkb-bedrijven nog slordig om met inloggegevens. Medewerkers gebruiken bijvoorbeeld zwakke wachtwoorden of gebruiken hun wachtwoorden op meerdere verschillende plekken. Dat geeft criminelen de kans om wachtwoorden te kraken. Eenmaal gekraakt kunnen zij de wachtwoorden soms op allerlei plekken gebruiken, om toegang te krijgen tot veel systemen en gegevens. 

Wie het mkb vraagt naar cybercrime en de risico’s hoort een dubbelzinnig antwoord. Aan de ene kant gaan bedrijven ervan uit dat mkb-bedrijven in het algemeen slachtoffer kunnen (en zullen) worden. Terwijl ze er andersom veel minder rekening mee houden dat ze zelf getroffen kunnen worden. Het percentage dat daadwerkelijk actie onderneemt is nog een stuk kleiner.Uit hetzelfde onderzoek dat onderzocht op welke manieren cybercriminelen binnendringen blijkt bijvoorbeeld ook dat ongeveer 1 op de 4 mkb-bedrijven cybercrime als een groot risico ziet. Het gevolg is een gebrek aan gevoelde urgentie. Daardoor blijven veel bedrijven kwetsbaar, waardoor ook in 2025 het aantal gevallen van cybercrime mogelijk zal toenemen. 

In 2024 verwachtte andersom maar liefst 83% van de mkb-bedrijven dat vergelijkbare bedrijven slachtoffer zouden worden van cybercrime. Dat slechts 28% aangaf voorbereid te zijn op een eventuele aanval is wat dat betreft geen verrassing. Het laat zien dat zelfs de bedrijven die de risico’s voor het mkb kennen niet zelf de actie ondernemen om zich beter te beschermen. 

Het lijkt erop dat bedrijven wél weten dat ze risico lopen, maar niet goed begrijpen hoe ze zichzelf kunnen beschermen. Of, niet goed weten welke specialisten ze daarmee kunnen helpen. Bovendien is ‘cybercrime’ een algemene dreiging, die meerdere aspecten kent. Door in te zoomen op die aspecten wordt het soms makkelijker om de bescherming op dat gebied te verbeteren. 

Bekijk ook onze korte uitlegvideo: 'Wapen uw bedrijf tegen phishing en malware'

Wie in 2025 wil voorkomen zelf slachtoffer te worden van cybercrime zou binnen het mkb minimaal een aantal maatregelen moeten nemen. Dat begint met het vergroten van de bewustwording, ook al is dat tegelijkertijd een vager begrip. Het doel is om medewerkers te trainen in het herkennen van phishing mails en verdachte links.  

Tip: plan in 2025 bijvoorbeeld een phishing awareness training, een security awareness training of een phishing test. Gespecialiseerde bureaus bieden de trainingen en tests aan, om medewerkers beter weerbaar te maken. 

De beste bescherming tegen actuele dreiging hoeft niet ingewikkeld te zijn. Binnen het mkb zou u bijvoorbeeld moeten werken aan:

Sterke wachtwoorden - Een artikel uit 2024 beschrijft dat vooral het gebruik van zwakke wachtwoorden een belangrijke oorzaak is voor het succes van cyberaanvallen. Een sterk en uniek wachtwoord (in combinatie met een wachtwoordmanager) lost dit probleem eenvoudig op.

2FA (of MFA)-authenticatie - Twee-factor authenticatie (of multi-factor-authenticatie) geldt als de veilige standaard, zowel binnen het mkb als daarbuiten. Met authenticatie op een extra apparaat of op een andere manier neemt de veiligheid bij inloggen sterk toe.

Back-ups van bedrijfskritische data - De Nederlandsche Bank adviseert in de Good Practice Informatiebeveiliging back-ups voor het herstel van IT-systemen en bedrijfskritische data. Door applicaties, systemen en data daarmee te beschermen komt de continuïteit van (mkb)bedrijven niet in gevaar. Bovendien minimaliseert het de impact van incidenten.

Regelmatige updates van software - Al jarenlang adviseert het Nationaal Cyber Security Centrum dat het belangrijk is om tijdig software-updates te installeren. Dat verhelpt kwetsbaarheden en beschermt systemen tegen misbruik. Tip: cloud-software met automatische updates voorkomt in veel gevallen dat u binnen het mkb blijft werken met verouderde software. 

Ten slotte kunt u denken aan een cyberverzekering. Dat houdt cybercriminelen niet buiten de deur, maar dekt wel de financiële schade die er kan ontstaan. Zoals beschreven wijst recent onderzoek uit dat het per incident binnen het mkb gaat om gemiddeld € 270.000 schade. Dat is een enorme kostenpost, die een verzekering makkelijk rechtvaardigt. 

Bekijk deze interessante video met  Pieter Cobelens: 'Zo lek is uw bedrijf'

Wie zich goed wil beschermen tegen cybercrime zal bovendien vooruit moeten blijven kijken. Met het mkb als belangrijk doelwit van cybercriminelen vormt bijvoorbeeld AI een belangrijk risico. Kunstmatige intelligentie maakt het voor criminelen makkelijker om complexe en geavanceerde aanvallen op te zetten. Dat betekent dat phishing berichten realistischer ogen en medewerkers de pogingen moeilijker kunnen herkennen. 

Een artikel dat de internationale trends in cybercrime analyseerde beschrijft hoe sterke wachtwoorden en 2FA extra belangrijk worden, om cybercriminelen de toegang te ontzetten. Vooral binnen het mkb valt er heel veel te winnen. Dat is nu het geval voor cybercriminelen, omdat bedrijven de deur wagenwijd open laten staan. Laten we er samen voor zorgen dat we die deur minimaal op een kier krijgen en zelfs bijna sluiten. 

Verder lezen: 'Dit zijn de 9 meest voorkomende soorten cyberaanvallen'