De cijfers spreken boekdelen: van alle grote bedrijven werd 93 procent ooit slachtoffer van een cyberincident, bij mkb-bedrijven was dit 85 procent. Voor een vijfde van alle organisaties leidde dit het afgelopen jaar daadwerkelijk tot schade. Financiële verliezen kwamen het vaakst voor, gevolgd door verlies van klantdata of bedrijfsgeheimen en operationele verstoringen.
Dat blijkt uit het woensdag gepubliceerde ABN Amro-rapport Cyberweerbaarheid Nederland blijft achter bij geopolitieke realiteit.
Toch blijkt er een opvallende kloof tussen perceptie en realiteit. Een kwart van de ondervraagde bedrijven vindt het ‘helemaal niet lastig’ om de eigen cyberveiligheid op orde te krijgen. Hoe kleiner de organisatie, hoe optimistischer de houding. Die zelfverzekerdheid staat echter op gespannen voet met de werkelijkheid.
Tunnelvisie in plaats van strategische weerbaarheid
Het probleem zit in de aanpak. Kleinere bedrijven focussen zich eenzijdig op preventie: apparaten beveiligen, firewalls installeren en antivirusprogramma’s updaten. Maar proactieve detectie van inbraken of plannen voor herstel na een hack ontbreken vaak volledig. Grote bedrijven daarentegen nemen een bredere set aan maatregelen en werken vanuit de reële aanname dat ze vroeg of laat getroffen zullen worden.
‘Er zit een enorm gat in kennis over cybersecurity tussen de grootste bedrijven en de kleinere spelers’, constateert Coen Klaver, director Cyber Defense bij ABN Amro. ‘En met blinde vlekken is het makkelijker om je veilig te wanen.’
Lees ook: Meerderheid van de ceo’s ‘voelt zich analoog in een digitale wereld’
Deze tunnelvisie wordt extra problematisch door de veranderende aard van cyberdreigingen. We bevinden ons inmiddels in wat experts een ‘digitaal oorlogsgebied’ noemen, waarin geopolitieke spanningen direct doorwerken in de cyberspace.
Geopolitiek speelt steeds grotere rol
Respondenten zien cybercriminelen nog altijd als de grootste bedreiging (52 procent), gevolgd door individuele hackers (24 procent). Statelijke actoren werden slechts door 9 procent genoemd.
De actualiteit toont echter een ander beeld. Eind april werden bijvoorbeeld tientallen Nederlandse websites aangevallen door pro-Russische hackersgroepen als vergelding voor militaire steun aan Oekraïne.
De grenzen tussen cybercriminelen en staatsactoren vervagen bovendien steeds meer. Overheden maken gebruik van toegang die criminele ‘initial access brokers’ hebben verkregen, huren commerciële hackers in of laten aanvallen uitvoeren via schijnbaar onafhankelijke ‘hacktivisten’. In Rusland en Iran zijn er sterke aanwijzingen dat ransomware-groepen bewust worden gedoogd of zelfs gestuurd door inlichtingendiensten.
EU-veiligheidschef Kaja Kallas noemde het eerder al een strijd van ‘autocratieën tegen democratieën’. Rusland, Iran, Noord-Korea en, meer heimelijk, China werken nauw samen.
Elk land heeft echter eigen motieven. China wil technologische voorsprong behalen en voert cyberaanvallen uit om informatie buit te maken. Noord-Korea en Iran worden gedreven door handelsblokkades en zoeken via hacks toegang tot kennis over bijvoorbeeld landbouw. Ruslands aanvallen zijn vooral financieel en geopolitiek gemotiveerd.
Keteneffect vergroot kwetsbaarheid
Bijzonder zorgwekkend is hoe aanvallers toeslaan via digitale toeleveringsketens. Bij de SolarWinds-hack van 2019 infiltreerden Russische diensten een softwareleverancier en voegden kwaadaardige code toe aan updates. Wereldwijd installeerden 18.000 klanten deze besmette software, waarmee hackers toegang kregen tot Amerikaanse ministeries en IT-giganten.
Driekwart van de grote bedrijven maakt inmiddels afspraken over cybersecurity met klanten, leveranciers en partners. Bij mkb-bedrijven doet ongeveer de helft dit, onder zelfstandigen slechts 29 procent. ‘Bedrijven moeten zich ervan bewust zijn dat ze door een zwakte in hun eigen beveiliging ook de deur kunnen openzetten voor bad guys naar tal van partners’, waarschuwt voormalig Commandant der Strijdkrachten Dick Berlijn.
Kunst van crisisvoorbereiding
Een cruciaal verschil tussen grote en kleine organisaties zit in crisisvoorbereiding. ‘Goed crisismanagement gebeurt voor 90 procent vóór de crisis’, weet Berlijn uit zijn tijd bij Defensie. ‘Als die voorbereiding op orde is, kun je tijdens de crisis redelijk ontspannen je werk doen.’
Lees ook: ‘Schade cyberaanval is te vergelijken met grote brand’
Grote bedrijven hebben vaker detectiesystemen en herstelplannen klaarliggen. Kleinere organisaties vertrouwen bijna volledig op preventie, zonder geavanceerde monitoring of response-plannen. Niet alle aanvallen zijn echter te voorkomen. Vroeg of laat komt er eentje door de verdedigingsmuur.
AI versterkt zowel aanval als verdediging
Kunstmatige intelligentie brengt nieuwe dimensies met zich mee. Ongeveer de helft van de bedrijven ziet AI als bedreiging voor hun cyberveiligheid. Gerichte phishing-aanvallen door AI-agents blijken 24 procent effectiever dan door menselijke bedriegers. ‘Agentic AI’ kan het volledige traject automatiseren: van eerste contact tot gepersonaliseerde follow-ups.
Tegelijkertijd biedt AI ook kansen voor betere beveiliging. Het kan afwijkend netwerkverkeer sneller herkennen of automatisch kwetsbaarheden in code opsporen. ‘Maar je kunt niet alles aan AI overlaten’, waarschuwt cybersecurityexpert Jurjen Harskamp. ‘Je moet de boel zelf al onder controle hebben.’
Europa wapent zich
De Europese Unie reageert met een duidelijke strategie om minder afhankelijk te worden van buitenlandse technologie. Europa heeft gemerkt dat bijvoorbeeld afhankelijkheid van Amerikaanse clouddiensten of Chinese hardware niet zonder risico is.
‘Hoe zeker kunnen we zijn van onze vriend aan de andere kant van de oceaan? Door de actualiteit stellen organisaties zich de vraag of hun data en digitale diensten wel onder alle omstandigheden veilig zijn’, zegt Berlijn. ‘Europa realiseert zich nu dat het meer op eigen technologie moet kunnen vertrouwen.’
Lees ook: Overstappen naar de Europese cloud? Hier moet je op letten als ondernemer
De Europese NIS2-richtlijn moet daarbij helpen. De richtlijn verplicht een breed scala aan organisaties hun cyberweerbaarheid naar een minimaal niveau te tillen, van energiesector tot transportbedrijven.
Hoewel twee derde van het grootbedrijf deze wetgeving kent, is dat bij mkb-organisaties minder dan de helft. Dat is zorgwekkend, omdat NIS2-plichtige bedrijven ook digitale kwetsbaarheden van toeleveranciers in beeld moeten hebben.
De verschillende maatregelen ten spijt, volgens Harskamp moeten we ons vooralsnog geen illusies maken. ‘Zelfs als we bijvoorbeeld naar de Europese cloud gaan, draaien de datacenters nog altijd op Amerikaanse software en Chinese hardware. De uitdaging is veel groter dan nu in het publieke debat wordt gesuggereerd.’
