Uit onderzoek van ABN AMRO en MWM2 blijkt dat 20% van de Nederlandse bedrijven in het afgelopen jaar schade ondervond door cybercriminaliteit. Bij grote bedrijven is dat zelfs 30%. De schade bestaat voornamelijk uit financiële verliezen, verlies van data en bedrijfsgeheimen, en verstoringen in de bedrijfsvoering.
Recentelijk is de Britse retailer Marks & Spencer (M&S) getroffen door een grote cyberaanval die het bedrijf ongeveer 300 miljoen pond aan inkomsten en aanzienlijke imagoschade heeft gekost. De aanvaller kreeg toegang door zich voor te doen als een medewerker en externe medewerkers te overtuigen het wachtwoord van een beheerdersaccount te resetten, waarbij hij Multi-Factor Authentication (MFA) omzeilde. Dit is een voorbeeld van hoe een bedrijf, groot, middel of klein, slachtoffer kan worden van een cyberaanval.
Opvallend is dat veel organisaties, vooral mkb’ers en zzp’ers, hun eigen cyberweerbaarheid overschatten. Hoewel bijna alle bedrijven ooit slachtoffer zijn geweest van een cyberincident, nemen kleinere organisaties minder uitgebreide maatregelen dan grote bedrijven. Deze mkb’ers en zzp’ers focussen zich vooral op technische bescherming, zoals antivirus en firewalls.
Daarmee denken bedrijven vaak al grotendeels aan de eisen te voldoen, maar er zijn nog belangrijke stappen nodig om écht weerbaar te zijn. Organisaties missen vaak de detectie- en herstelplannen, trainingen en bewustwording van eigen medewerkers en weerbaarheid tegen statelijke actoren. Grotere bedrijven nemen een bredere set aan maatregelen en werken vanuit de reële aanname dat ze op een zeker moment (weer) geraakt zullen worden.
De Europese Unie speelt in op deze trend, want dit is niet enkel het geval in Nederland, met strengere regels, zoals de NIS 2-richtlijn, die organisaties verplicht tot betere cyberbeveiliging. Hoewel deze wetgeving binnenkort in Nederland van kracht wordt, is de bekendheid ermee nog beperkt. 46% van de mkb-organisaties zegt niet bekend te zijn met de nieuwe wetgeving. Dat is weinig, zeker gezien het feit dat NIS 2-plichtige bedrijven ook de digitale kwetsbaarheden van toeleveranciers, klanten en partners in beeld moeten hebben.
Het voorbeeld van Marks & Spencers toont aan hoe belangrijk het is om bijvoorbeeld uw identiteiten zorgvuldig te verifiëren en ongeoorloofde toegang te voorkomen. Als ondernemer of bestuur is het belangrijk om duidelijke processen in kaart te brengen en hierbij een Plan-Do-Check-Act cyclus op te stellen om continu te verbeteren.
Een laagdrempelige en veelgebruikte hulp in dit spanningsveld is de welbekende ISO 27001 norm. ISO 9001 staat bij vele bekend als de kwaliteitsmanagement norm, maar er bestaat voor elke risico-aspect een unieke norm, waarbij ISO 27001 toepasbaar is als framework voor een effectief informatiebeveiliging managementsysteem.
Het biedt een framework waarmee organisaties risico’s kunnen identificeren, maatregelen implementeren en continu verbeteren. Het grote voordeel: in plaats van losse technische oplossingen (zoals firewalls of antivirus), kijkt ISO 27001 integraal naar mensen, processen en technologie.
Bij een ISO 27001 certificering van LRQA kunt u vervolgens ondervinden of u ook daadwerkelijk voldoet aan de norm, waardoor u voortdurend uw informatiebeveiliging managementsysteem kunt verbeteren en aanscherpen.