Nederlandse bedrijven nemen meer securitymaatregelen, maar er zijn opvallende gaten.

September 11, 2019

Ondernemingen voeren steeds meer maatregelen door om zich te verdedigen tegen cyberaanvallen van buitenaf, meldt het Centraal Bureau voor de Statistiek (CBS). Daarbij maken vooral middelgrote bedrijven een inhaalslag; met bijvoorbeeld authenticatie via soft- of hardwaretokens. De Cybersecuritymonitor 2019 van het CBS wijst echter ook uit dat sommige securitymaatregelen niet altijd worden toegepast. Encryptie van opgeslagen data gebeurt nog weinig en zelfs basale antivirus blijkt bij bepaalde bedrijven niet gebruikt.

Vorig jaar lag het percentage bedrijven dat zelf zei meer dan zes cybersecuritymaatregelen te nemen 5 procentpunt hoger dan een jaar eerder, blijkt uit het cybersecuritymeting van het CBS. Het onafhankelijke bestuursorgaan schotelt bedrijven in zijn jaarlijkse enquête 'ICT-gebruik bedrijven' een lijst van twaalf verschillende maatregelen voor om hun ICT-beveiliging te verbeteren. Daaronder vallen het installeren van antivirussoftware, het voeren van een beleid voor sterke wachtwoorden, en authenticatie van werknemers via een software- of hardware-token. "In het algemeen geldt hoe meer maatregelen tegelijkertijd genomen worden, hoe hoger het ICT-beveiligingsniveau van een bedrijf", aldus het CBS.

Groot en (dus) doelwit
 
Grotere bedrijven geven vaker aan dat ze meer cybersecuritymaatregelen nemen dan kleinere bedrijven. Dit is op dubbele wijze gerelateerd aan de omvang van grotere bedrijven. Enerzijds hebben zij vaak een grotere en complexere ICT-infrastructuur, met meer ICT-experts in dienst. Anderzijds zijn grotere bedrijven vaak interessanter voor cybercriminelen om aan te vallen. Middelgrote en ook kleine organisaties kunnen echter ook interessant zijn, dankzij automatische aanvallen die dan grote aantallen raken.

Ruim 90 procent van de bedrijven met 500 en meer werknemers gaf in 2018 aan dat ze meer dan zes cybersecuritymaatregelen hebben genomen. Voor zeer kleine bedrijven, met 2 werknemers, was dit slechts 17 procent. Bij kleine ondernemingen, met 10 tot 20 werknemers, heeft het CBS de grootste toename gezien in het aantal genomen securitymaatregelen. Daar gaf 40 procent aan in 2018 voorbij de grens van zes maatregelen voor ICT-beveiliging te zijn gegaan. In 2017 was dit nog 31 procent. De verschillen tussen bedrijven van uiteenlopende omvang omvatten ook opvallende beveiligingsgebreken, zo toont de Cybersecuritymonitor 2019.

Geen antivirus: 18 procent
 
Zo is antivirussoftware weliswaar een van de meest gebruikte securitymaatregelen, maar blijft dat bij zeer kleine bedrijven nogal achter te lopen. Terwijl grote bedrijven (met meer dan 500 werknemers) vorig jaar in 99 procent van de gevallen antivirussoftware gebruikt, is dat bij zeer kleine bedrijven (met twee werknemers) in 82 procent het geval.

De twee andere meest gebruikte maatregelen zijn voor beleid voor sterke wachtwoorden, en data-opslag op een externe locatie. Bij grote bedrijven zijn deze voor respectievelijk 95 en 95 procent in gebruik, terwijl het bij zeer kleine bedrijven respectievelijk slechts 56 en 57 procent is. De minst toegepaste beveiligingsmaatregelen is het versleutelen van data die ze opslaan. Van de grote bedrijven maakte 69 procent hier gebruik van tegen 19 procent van de bedrijven met twee werkzame personen.

Inhaalslag
 
Ondertussen maken middelgrote bedrijven (met 20 tot 50 werknemers) in Nederland een inhaalslag. Zij hebben afgelopen jaar meer geavanceerde beveiligingsmaatregelen genomen, meer nog dan grote bedrijven. Zo is gebruik van authenticatie via een soft- of hardwaretoken en beleid voor sterke wachtwoorden in 2018 toegenomen met respectievelijk 9 en 6 procentpunt, meldt het CBS. Bij grote bedrijven was er meer vooruitgang in gebruik van encryptie voor opslag en ook voor het versturen van data.

Meer informatie