Kaspersky: Nederlandse bedrijven te nonchalant in hun cybersecurity

Volgens de studie 'Incident Response voor preventie' kunnen zelfs eenvoudige stappen het beveiligingsniveau in de organisatie kunnen verhogen. Toch heeft 35 procent van de ondervraagde organisaties niet eens een wachtwoordbeleid te gebruiken. Nog eens 28 procent maakt geen geen back-ups van data en 45 procent gebruikt geen multi-factor authenticatie. En dit terwijl - volgens cijfers van het CBS - 20 procent van de bedrijven met meer dan 250 werknemers in 2022 een ICT-beveiligingsincident hadals gevolg van een externe aanval.

Bovendien wordt de manier waarop cybercriminelen toegang krijgen tot bedrijfsnetwerken in Nederland steeds complexer. Basismaatregelen zoals multi-factor authenticatie alleen zijn niet meer voldoende, merkt Kaspersky op. IT- en security-beslissers moeten zich er daarom van bewust zijn dat een preventieve cybersecuritystrategie niet langer optioneel is voor duurzame cyberbescherming, maar een must. Toch laten de resultaten zien hoe dergelijke basishygiëne al vaak ontbreekt.

Gebrekkige training medewerkers

Los van gebrekkige basishygiëne komt uit de studie ook naar voren dat 50 procent van de bedrijven in Nederland hun werknemers niet regelmatig traint op onderwerpen als spam of phishing - de klassieke toegangspoorten voor cybercriminelen om toegang te krijgen tot gegevens. Terwijl de menselijke schakel vaak nog de zwakste is in de cybersecurity-keten, en slecht geschreven spam en phishing-mails merendeels tot het verleden behoren. Ze zijn tegenwoordig nauwelijks meer van authentieke berichten te onderscheiden. Om zich hiertegen technisch te beschermen, zet 60 procent van de bedrijven anti-phishing software in. Veel te weinig, meent Kaspersky.

Slechts één op de drie bedrijven (33%) heeft daarnaast een patchmanagementbeleid. Dit terwijl kwetsbaarheden in de beveiliging van applicaties en besturingssystemen tot de meest voorkomende aanvalsvectoren in bedrijven behoren.

Preventieve maatregelen

Bovengenoemde best practices op het gebied van beveiliging vormen de ruggengraat van elke beveiligingsstrategie en kunnen worden gebruikt als preventieve maatregel om de verdediging te verbeteren, benadrukt Kaspersky. Hun nonchalance stelt veel Nederlandse organisaties echter bloot aan de potentiële infiltratie van cybercriminelen, die kwetsbaarheden kunnen uitbuiten en ransomware en malware in de hele toeleveringsketen kunnen verspreiden.

Als deze maatregelen er niet zijn, worden bedrijven een gemakkelijk doelwit voor criminelen en dit is des te verontrustender omdat respondenten te veel vertrouwen hebben in hun beveiligingsteam, stelt Jornt van der Wiel, Senior Security Researcher, Global Research and Analysis Team bij Kaspersky. "Iets minder dan de helft van de respondenten denkt dat ze een aanval binnen een uur kunnen detecteren. Dit is ongelooflijk naïef. Zeker gezien de beschermingsmaatregelen die de meeste respondenten nemen."

Staatsgesponsorde groepen en geraffineerde criminele groepen zijn volgens Van der Wiel zo succesvol omdat ze niet worden gedetecteerd. "Vooral door de staat gesponsorde groepen kunnen maanden of zelfs jaren op netwerken zitten voordat ze uiteindelijk worden gedetecteerd, wat vaak gebaseerd is op geluk in plaats van op preventieve maatregelen en strenge beveiliging."

Lees hier het hele rapport: 'Incident Response voor preventie - Bedrijven in Nederland vertrouwen sterk op hun cyberweerbaarheid, maar is dat gegrond?'