Redactie - 15 april 2022

MKB security heeft stok achter de deur nodig

MKB security heeft stok achter de deur nodig image

Tijdens de Dutch IT Security Day 2022 in de Fokker Terminal in Den Haag constateren, onder leiding van Dutch IT Channel-moderator en dagvoorzitter Danny Frietman, vertegenwoordigers van Nederlandse cybersecurity-allianties dat het Nederlandse mkb nog achter de cybersecurityfeiten aanloopt. Met een tweesporenbeleid kan de branche het mkb het beste helpen de security awareness te verbeteren, zo vinden de deelnemers tijdens een speciale sessie van de Dutch IT Cybersecurity Assembly.

Het Nederlandse bedrijfsleven beseft langzamerhand goed dat cybersecurity een must is en dat het zich hierop moet voorbereiden. De vraag is of dit voor alle sectoren geldt. Vooral voor de motor van het Nederlandse bedrijfsleven; het midden -en kleinbedrijf (mkb).

Zijn mkb-bedrijven in staat om net als grote bedrijven hun cybersecurity op orde te hebben? En zo niet, hoe en wat kan de Nederlandse cybersecuritybranche hierbij helpen. En waar moet die hulp uit bestaan?

Mkb nog niet volwassen

Uit de paneldiscussie komt naar voren dat de aandacht voor cybersecurity bij het mkb nog te wensen overlaat. “Wat betreft de ‘readiness’ voor cybersecurity van het bedrijfsleven, zijn bepaalde sectoren volwassener dan andere”, stelt Joris den Bruinen, directeur van Security Delta (HSD). “Vitale bedrijven, zoals banken en de telecomsector, hebben hun zaken op orde. Hoe kleiner echter de bedrijven, hoe minder volwassen ze op cybersecuritygebied zijn.”

Toch is deze aandacht niet altijd vanzelfsprekend, vindt Astrid Oosenburg van het Dutch Institute for Vulnerability Disclosure (DIVD). ”Kleinere ondernemers zijn in de eerste plaats met hun bedrijf bezig en richten zich niet direct op cybersecurity. Maar het is wel belangrijk dat zij daar meer aandacht aan geven. Ze moeten beseffen dat zij, bijvoorbeeld via hun kassatransacties, ook data genereren die goed moeten worden beschermd. Hiervoor valt nog een grote slag te maken.”

Hans ten Hove, mede-oprichter van de Dutch IT Cybersecurity Assembly en Director Northern Europe van Datto, signaleert dat het mkb vooral ontbreekt aan kennis. “Mkb’ers hebben vaak hun cybersecurity aan hun ICT-leverancier uitbesteed. Zij denken daarom dat de security altijd is geregeld, wat natuurlijk niet zo is. Daarom is in het mkb nog veel awareness en meer kennis nodig.”

Gelukkig klinkt er ook een positieve noot. “Hoewel ik wel de zorgen voor het mkb deel, is er gelukkig ook een kentering te zien”, zegt Liesbeth Holterman van Cyberveilig Nederland aan. “Mkb-ondernemers vragen mij steeds vaker hoe ze hun cybersecurity kunnen verbeteren. Vooral praktische zaken zetten hen aan het denken.”

Elkaar helpen voor bewustwordingsproces

De Nederlandse cybersecuritybranche kan vanzelfsprekend als geen ander het mkb helpen bij het vergroten van dit bewustzijn. “Als cybersecuritybranche hebben we altijd verantwoordelijkheid naar onze klanten”, zegt Hans ten Hove. “Zodat zij een minimale basisveiligheid hebben, ongeacht de bedrijfsomvang. Als branche moeten we ons in alle gremia hiervoor inzetten. Uiteindelijk moeten wij vooral de impact van cybersecurityrisico’s voor bedrijven beperken. Dit nog meer dan alleen ontzorgen.”

Volgens Astrid Oosenburg is hulp van de cybersecuritybranche een no-brainer. Wel is het hierbij belangrijk is dat grotere partijen de kleinere daarbij helpen. “Zie de Rotterdamse Haven, waar de grotere bedrijven de kleinere helpen met het op orde krijgen van de cybersecurity. Dit gaat niet vanzelf, dus moeten we daar als branche energie in steken.”

Wortel en stok

Hoe en waarmee de branche het mkb kan helpen, is echter nog niet altijd duidelijk. Liesbeth Holterman: “We hebben nog niet met zijn allen bepaald wat de minimale basis- of essentiële vereisten zijn. Het is niet duidelijk waar het mkb minimaal aan moeten voldoen. Als je dat weet en hebt vastgesteld, kan je pas verder kijken. Bijvoorbeeld naar minimale eisen voor cyberverzekeringen of zelfs fiscale incentives, maar ook zaken waar de eigen keten aan moet voldoen. Voor de cybersecuritybranche is dit nu nog een beetje pappen en nathouden. Daarin mogen we best creatiever zijn.”

“Naast het zoeken van spreekwoordelijke wortels, pleit ik ook voor een stok achter de deur”, zegt Joris den Bruinen. “In Nederland zijn we als cybersecuritybranche te langzaam, we moeten doorpakken. Laten we net als de jaarlijkse accountantscontrole ook een verplichte toets op cybersecurity doen. Een APK voor cybersecurity. Zet hierbij niet alleen vinkjes, maar laat het ook een leerproces zijn.”

Conclusies

Alle paneldeelnemers zijn ervan overtuigd dat een tweesporenbeleid het beste werkt voor het mkb. Aan de ene kant hulp en eventuele incentives en aan de andere kant dus een stok achter de deur.

Ook is er voor zowel de cybersecuritybranche, als het mkb zelf, nog voldoende werk aan de winkel. Niet alleen voor het realiseren van het genoemde tweesporenbeleid, maar ook voor het nemen van verantwoordelijkheid, zo constateerden tot slot de deelnemers.

Auteur: Floris Hulshoff Pol

De Dutch IT Cybersecurity Assembly is een initiatief waar security leiders en specialisten uit het Nederlands bedrijfsleven en overheid meerdere keren per jaar samen komen om cruciale security ontwikkelingen te bespreken en te agenderen. Dutch IT Cybersecurity Assembly is een initiatief van Dutch IT Channel en Datto.

Axians 12/11/2024 t/m 26/11/2024 BN+BW