Cybersecuritymonitor 2023: kleinere bedrijven nemen minder maatregelen

De Cybersecuritymonitor wordt mede op verzoek van het ministerie van Economische Zaken en Klimaat (EZK) gemaakt. Hieronder zoomt het Digital Trust Center (DTC) in op een selectie van de belangrijkste bevindingen voor het Nederlandse bedrijfsleven, van zelfstandige ondernemers tot grote bedrijven in de sectoren zorg, financiële dienstverlening, horeca, ICT en industrie.

Conclusie die we kunnen trekken is dat de kleinere bedrijven minder cyberweerbaar zijn dan grote bedrijven. Op alle uitgevraagde (basis)maatregelen nemen kleine bedrijven minder actie dan grote bedrijven en dat maakt hen kwetsbaar voor cyberincidenten. Maar er is ook goed nieuws: het aantal cyberincidenten dat het bedrijfsleven ervaart, is wederom lager dan het jaar ervoor. Dit geldt ook voor het aantal ransomware-aanvallen.

Cybersecuritymaatregelen

• Grotere bedrijven nemen meer maatregelen tegen cyberdreigingen

Het cyberweerbaarheidsniveau van een bedrijf verhoogt naarmate er meer maatregelen genomen worden. Dit jaar zien we voor het eerst een lichte afname van het aantal bedrijven met twee of meer werknemers dat de helft of meer van de gevraagde cybersecuritymaatregelen neemt.
Het CBS toont aan dat elke maatregel vaker door grotere bedrijven genomen wordt dan door kleinere bedrijven. Hierbij blijkt dat de ‘moeilijkheid’ van een maatregel duidelijk effect heeft op de mate van gebruik bij met name kleinere bedrijven. Zo blijkt het verschil bij het gebruik van een Virtual Private Netwerk (VPN) tussen microbedrijven (2-10 werknemers) en grote bedrijven (250+ werknemers) enorm: 25% ten opzichte van 81%. Deze trend zet ook door wanneer wordt gekeken naar zzp’ers, die weer net iets lager scoren dan de microbedrijven.

• De ICT-sector en gezondheidszorg scoren goed op cybersecuritymaatregelen

Bedrijven die meer met ICT bezig zijn of die een groot belang hebben bij het beveiligen van hun data, zoals de ICT-sector of de gezondheidszorg, scoren beter op het gebied van cybersecurity dan sectoren waar dit minder belangrijk lijkt.

Cybersecurityincidenten

• Aantal ICT-veiligheidsincidenten neemt af

Het totale aantal ICT‐veiligheidsincidenten met zowel een interne als externe oorzaak is afgenomen. Deze dalende trend geldt voor alle bedrijfsgroottes en is ingezet sinds 2020. In 2016 had bijvoorbeeld nog bijna 40% van de grootste bedrijven een ICT‐veiligheidsincident door een aanval van buitenaf, terwijl dit in 2022 nog maar 18% was.

• Grotere bedrijven vaker slachtoffer

Grote bedrijven ervaren over de jaren heen consistent meer incidenten dan kleine bedrijven. Dit geldt voor zowel interne incidenten als incidenten door een aanval van buitenaf. Voor dit patroon kunnen meerdere oorzaken zijn. Bij interne incidenten, zoals uitval van ICT‐systemen door hardware- of softwarestoringen, kan meespelen dat grote bedrijven vaker een grotere en complexere ICT‐infrastructuur hebben.
Het aantal bedrijven met ICT-veiligheidsincidenten neemt af, deze daling is zichtbaar voor bedrijven in alle bedrijfsgroottes. Van deze incidenten blijkt een derde gepaard te gaan met kosten, dit geldt voor zowel incidenten met een interne als externe oorzaak. In 2022 bedroegen deze kosten in de meeste gevallen minder dan 1% van de bedrijfsomzet.

• Ransomware-aanvallen lopen terug

Uit de enquête van 2022 blijkt dat het aantal bedrijven dat slachtoffer is geworden van een ransomware-aanval is gedaald. Procentueel gezien hebben grotere bedrijven meer last van ransomware-aanvallen dan grote bedrijven. Er is een stijging van het aantal ransomware-aanvallen in de ICT-sector en bij zelfstandig ondernemers.

Van alle bedrijven met 2 of meer werknemers die een ransomware-aanval hebben gehad, schakelde 37% de hulp in van een cybersecuritybedrijf. Een kleiner aandeel (18%) stapte naar de politie. Dit percentage neemt af naarmate ingezoomd wordt op kleinere bedrijven.
Cybersecuritymonitor 2023 (PDF)Cybersecuritymonitor tabellen