Cyberaanvallen nemen toe in aantallen en creativiteit. De beweging ‘naar de cloud’ en de toename van het aantal met netwerk verbonden apparaten voeden de dreiging. Op dit moment is cybercriminaliteit de grootste bedreiging voor het bedrijfsleven. Succesvolle aanvallen kunnen bedrijven wereldwijd duizenden tot miljoenen dollars kosten, als gevolg van verstoorde activiteiten, beschadigde reputatie en herstelkosten. Maar hoe zit het met de investeringsbudgetten in cybersecurity?
MediaMarkt, Colonial Pipeline, JBS Foods, RTL Nederland, Mandemakers, Universiteit Maastricht en honderden andere bedrijven en instellingen zijn vorig jaar slachtoffer geworden van cyberaanvallen. Maar laat je niet misleiden. Naast grotere organisaties die in het nieuws komen, zijn ook vele kleinere bedrijven het doelwit. Conclusie: hoe groot of klein ook, geen enkel bedrijf is veilig tegen cybercriminaliteit. Sterker, het mkb is de afgelopen jaren zelfs uitgegroeid tot één van de grootste groepen organisaties die slachtoffer zijn geworden van een vorm van cybercriminaliteit.
Reputatieschade
Verbazingwekkend genoeg vragen veel ondernemers zich nog steeds af waarom ze als ondernemer moeten investeren in cybersecurity. Een antwoord? Als je geraakt wordt door ransomware terwijl je onvoorbereid bent, dan kost je dit meer geld om te herstellen dan het had gekost om te voorkomen. Om nog maar te zwijgen van de extra kosten van reputatieschade, vertrouwen en downtime.
Uit gesprekken met ondernemers blijkt dat – vooral door de bovenstaande voorbeelden van afgelopen jaar – het bewustzijn aanzienlijk gestegen is. Het onderwerp cybersecurity staat vaker op de agenda van de board. Maar komt er daarmee ook extra budget beschikbaar om cyberdreigingen tegen te gaan?
Tijdens de vakbeurs Cybersec Europe in Brussel vorig jaar hebben we geleerd dat van het totale ict-budget dat Nederlandse organisaties jaarlijks beschikbaar stellen, meer dan vijftien procent naar security gaat. Een opvallende, tweede conclusie is dat twee derde van de organisaties extra geld heeft uitgetrokken of dit gaat doen in de strijd tegen ransomware of om schade hierdoor te voorkomen. Omgerekend blijkt dat de meeste organisaties een budget in 2022 voor ict-beveiliging hebben dat tussen een ton en een half miljoen euro (tien procent) ligt. Logischerwijs zijn de verschillen tussen organisaties groot vanwege de bedrijfsgrootte. Voor grote organisaties is het ook makkelijker om budget te krijgen voor cybersecurity.
Gokken
Ongeacht de omvang moeten er gesprekken plaatsvinden binnen organisaties: waar geven we ons geld aan uit, en waarom? Voor ons is het natuurlijk niet te begrijpen dat je niet zou investeren in cybersecurity. Maar je kunt er beter niet op gokken dat je veilig blijft. Dat is belangrijk, want nog te vaak zijn bedrijven onvoldoende voorbereid. Ze gaan ervan uit dat ze desnoods maar wat geld apart kunnen zetten om achteraf de boel te repareren, maar dat is in de praktijk veel duurder dan nu voorbereid zijn.
Bovendien liggen de privégegevens en andere gevoelige data dan vaak al op straat. Door proactief de situatie te monitoren, voorkom je extra kosten én problemen achteraf. Hoog tijd dus dat het mkb stopt met het ontkennen doelwit te zijn en de cybersecurity(budgetten) op orde te brengen. Pas dan sta je sterk als bedrijf mocht het noodlot toeslaan.
(Auteur John Schaap is senior director Benelux & Nordics bij BlackBerry.)
Wat betreft een wedloop zijn vragen van ondernemers over investeringen en rendement logisch want een afweging van risico’s gaat om de kans en de impact, zie de laatste alinea over het gokken. Als sector stellen we tenslotte dat het bij ransomware niet meer gaat om een OF maar een WANNEER waardoor ondernemers terecht met vragen komen over investeren in het voorkomen of in het genezen. Want hersteltijd speelt een grote rol doordat schade van stilstand om een verlies aan inkomsten gaat terwijl de (operationele) kosten doorlopen.
Natuurlijk is niets doen geen optie want reputatieschade speelt ook een rol hoewel dat misschien te mitigeren is met marketing. Want met alle FUD zeggen we als sector zelf dat de kans op ransomware bijna 100% is terwijl we niet erg duidelijk zijn over impact ervan als het om het aanwenden van de budgetten gaat want met meer geld doe je geen wonderen.