Goede cyberbeveiliging te duur voor mkb'er? Welnee!

26 september 2017

Het beveiligen van de eigen IT-systemen is zo kostbaar dat het voor veel kleine en middelgrote bedrijven bijna niet meer loont. Daarvoor waarschuwt Deloitte in een onderzoek naar de risico's van cybercriminaliteit voor het Nederlandse bedrijfsleven.

FD 26 september 2017

Ondernemingen met een omzet onder de €100 mln zitten 'gevaarlijk dicht bij' het punt dat de uitgaven tegen computercriminelen te hoog uitvallen, berekenden de onderzoekers. In telecom, media en de zakelijke dienstverlening is voor de mkb'ers de opbrengst van investeringen volgens het rapport nu al negatief.

Gevaar voor hele bedrijfsleven

Volgens Deloitte liggen de uitgaven voor een adequate cyberbeveiliging, afgezet tegen de omzet, voor een mkb-bedrijf op ongeveer het dubbele van die van een groot bedrijf. Hierdoor doen ondernemers enkel het hoognodige en dat brengt het hele bedrijfsleven in gevaar. Hackers kunnen via een lek bij een kleine toeleverancier alsnog binnenkomen bij hun eigenlijke prooi - een van de grotere ondernemingen in het land.

'Er zijn te weinig diensten op de markt die voor mkb-bedrijven betaalbaar zijn', zegt Deloitte-onderzoeker Maarten van Wieren. Wel kunnen zij zich verzekeren tegen de risico's van een cyberaanval, maar ook die premies zijn hoog en belangrijke zaken, zoals de diefstal van intellectueel eigendom, zijn volgens hem niet inbegrepen. 'Dat is geen houdbare situatie.'

Specialisme is duur

‘Het mkb heeft behoefte aan goedkopere oplossingen’, beaamt Petra Oldengarm, directeur cybersecurity bij Hoffmann bedrijfsrecherche. Specialisme is duur, en alleen het testen van systemen kost volgens haar al snel vele duizenden euro's. Volgens Oldengarm hebben bedrijven in de financiële sector de beveiliging meestal wel op orde, terwijl zorgondernemers vaker nog achterop zijn.

Maar goede beveiliging hoeft niet per se duur te zijn, stelt Oldengarm. Zo helpt het al als mkb'ers vaker een back up maken van hun bestanden. In dat geval hoeft een ondernemer niet te schrikken als hackers inbreken, bestanden versleutelen en die alleen tegen betaling vrijlaten. ‘Een extra harde schijf kost bijna niets, terwijl de impact van ransomware enorm kan zijn. Een bedrijf met tien man personeel kan erdoor failliet gaan.’

Volgens Oldengarm zou elke ondernemer een afweging moeten maken over de kans dat een aanval voorkomt, de mogelijke schade en de preventiekosten. 'Als je dan besluit niets te doen omdat het niet loont, dan is het tenminste een afgewogen risico, zegt zij. 'Maar we zien vaak bedrijven die er niet goed over hebben nagedacht.’

Markt voor cyberbeveiliging oververhit

De beveiligingssector moet met efficiëntere, beter schaalbare oplossingen komen, die ook mkb-bedrijven zich kunnen veroorloven, stelt Van Wieren. Om er vervolgens direct een kanttekening bij te zetten. 'De markt is oververhit. Partijen zijn heel druk. Die komen helemaal niet toe aan het ontwikkelen van goedkopere producten voor deze doelgroep.'

Daar komt bij dat hackers en andere cybercriminelen voortdurend nieuwe technieken ontwikkelen om in te breken. En via marktplaatsen verspreiden die technieken zich razendsnel. Ook de minder slimme cyberinbrekers komen zo eenvoudig aan gecompliceerde hackerstrucs. 'Dat vraagt ook steeds meer van de beveiliging en dat drijft de kosten weer verder op', aldus Van Wieren. 'En hoe beter de grote bedrijven beveiligd zijn, hoe aantrekkelijker het mkb wordt als doelwit voor deze criminelen.'

Maandag werd bekend dat Deloitte, dat zich afficheert als een van de grootste cyberbeveiligers ter wereld, zelf ook is getroffen door een cyberaanval. Hackers kregen toegang tot het e-mailsysteem via een zogenaamd beheerdersaccount, dat slechts beveiligd was met een gebruikersnaam en wachtwoord.


Dit interview met Petra Oldengarm verscheen in het Financieele Dagblad, 26 september 2017