di 12 aug.

Onderzoek VKW Limburg en UNIZO Limburg: 1 op 7 Limburgse bedrijven leed voorbije 3 jaar schade door cybercriminaliteit

  • Kleinere bedrijven duidelijk vaker slachtoffer en algemeen minder goed voorbereid op cyberaanvallen
  • Phishing en malware berokkenen vaakst schade, maar ook hacking en ransomware gijzelen Limburgse bedrijven
  • Schade vooral door productiviteitsverlies en onvoorziene kosten, 1 op 7 lijdt omzetverlies
  • 3 op 5 bedrijven voelen zich ‘goed’ tot ‘zeer goed’ beveiligd, 1 op 7 onvoldoende
  • Aandacht voor cyberveiligheid voorbije 3 jaar sterk toegenomen in 6 op 10 Limburgse bedrijven. Budget steeg navenant bij 1 op 3.
  • Media-aandacht veruit sterkste trigger. Ook geopolitieke ontwikkelingen en druk van overheidsreglementering spelen rol bij grote bedrijven.
  • Kwart bedrijven beheert IT-beveiliging volledig zelf, bij kleine bedrijven zelfs 40%. 2 op 5 schakelt gespecialiseerde cybersecurity expertise in.
  • Helft grote bedrijven laat cyberprotectie en alertheid van medewerkers extern uitdagen
  • Nog veel marge om cyberveiligheid Limburgse bedrijven op punt te stellen:
    • Kwart heeft geen interne gedragscode of afspraken rond IT-veiligheid
    • Amper 1 op 3 sensibiliseert medewerkers systematisch
    • Slechts 3 op 10 hebben noodplan klaar
  • Overheidssteun voor bedrijven op vlak van cybersecurity nagenoeg ongebruikt en amper gekend

Onderzoek VKW Limburg en UNIZO Limburg:

1 op 7 Limburgse bedrijven leed voorbije 3 jaar schade door cybercriminaliteit

De afgelopen drie jaar leed al 1 op 7 Limburgse bedrijven schade door één of andere vorm van cybercriminaliteit. Phishing en kwaadaardige software zijn het vaakst de schuldige, maar ook hacking en bewuste gijzelsoftware maakten slachtoffers. Schade uit zich het vaakst in productiviteitsverlies en een hoop onvoorziene kosten, maar 1 op 7 van deze bedrijven leed ook omzetverlies. 1 op 10 raakte data kwijt. Hoewel de omvang van bedrijven in belangrijke mate bepalend blijkt voor de mate dat ingezet wordt op digitale defensie, staat het thema ook bij kmo’s steeds meer op de agenda. Dat blijkt uit een onderzoek dat VKW Limburg en UNIZO Limburg uitvoerden bij de Limburgse bedrijven. 

STERK TOEGENOMEN AANDACHT

De aandacht voor cyberveiligheid is op 3 jaar tijd in elk geval sterk tot zeer sterk toegenomen bij  3 op 5 Limburgse bedrijven. Slechts voor 1 op 5 groeide die aandacht niet noemenswaardig in deze periode. Het budget dat daarmee gepaard gaat steeg weliswaar niet evenredig, maar ging niettemin ook duidelijk crescendo (een toename bij 67%, waarvan 32% sterk tot zeer sterk). Hoewel cyberaanvallen tegen grote bedrijven door media-aandacht veel meer in de kijker lopen, blijken kleine bedrijven vaker slachtoffer te zijn van cybercriminaliteit (20 à 30% bij de kleinste versus 8% bij de grootste bedrijven). Die media-aandacht blijkt de voornaamste trigger voor de sterk toenemende aandacht (en budget) ervoor in bedrijven. Bij grote bedrijven spelen evenwel zeker ook geopolitieke ontwikkelingen en druk vanuit overheidsreglementering een meer dan gemiddelde rol. De recente NIS2-richtlijn die tot doel heeft de cyberbeveiliging binnen de Europese Unie te versterken blijkt nog niet zo breed gekend bij bedrijven, maar wordt door het merendeel van de grote bedrijven toegepast.

GEVOEL VAN VEILIGHEID

Opvallend, maar misschien ook wel een valkuil, is dat er – dankzij of ondanks de sterk toegenomen  aandacht voor het thema – een relatief sterk gevoel van veiligheid heerst bij de gemiddelde Limburgse ondernemer of bedrijfsleider over de beveiliging van hun bedrijf tegen cyberaanvallen. 86% van de bedrijven is ervan overtuigd voldoende beveiligd te zijn. 6 op 10 noemt het beveiligingsniveau van hun bedrijf zelf goed (36%) tot zeer goed (22%) of zelfs totaal (3%).

Ruim een kwart van alle Limburgse bedrijven houdt de IT-beveiliging van hun bedrijven volledig in eigen handen, vanuit de overtuiging hiervoor zelf voldoende kennis in huis te hebben. Bij de kleinste bedrijven is dit zelfs 40%. Globaal kan ontwaart worden dat bedrijven vanaf de kaap van 10 medewerkers de IT-beveiliging vaker (volledig) gaan uitbesteden, maar vanaf 50 werknemers deze vaker deels met eigen personeel in handen nemen. 2 op 5 bedrijven besteden de IT-beveiliging deels uit, 1 op 3 doet dat volledig. 2 op 5 schakelt daarbovenop gespecialiseerde cybersecurity expertise in.

TOCH NOG VEEL MARGE VOOR VERBETERING

Ondanks de grotere alertheid van de Limburgse bedrijven voor cybersecurity, lijkt er toch nog best veel marge voor verbetering. Zo blijkt er in bijna een kwart van de bedrijven (nog) geen interne gedragscode of afspraken rond IT-veiligheid te bestaan en slechts 3 op 10 bedrijven hebben een noodplan klaarliggen voor het geval de onderneming zou worden getroffen door hacking, phishing of andere grote IT-problemen. Slechts iets meer dan 1 op 3 sensibiliseert medewerkers op een systematische manier rond hun verantwoordelijkheid inzake cyberveiligheid op het werk. 1 op 5 doet wel eens acties rond het thema, maar die gebeuren niet systematisch, bij 44% gebeurt dit helemaal niet of is er daarrond geen beleid. Bij de grote bedrijven laat de helft de alertheid van hun medewerkers testen of hun cyberprotectie extern uitdagen (ethisch hacken).

OVERHEIDSSTEUN? HOE? WAT?

Hoewel verschillende overheden steun bieden aan bedrijven die investeren in cybersecurity, blijkt die amper gekend en nog minder gebruikt te worden. 2 op 3 van de respondenten is helemaal niet op de hoogte van enige vorm van overheidssteun op dit vlak. Best gekend (25%) is nog het verhoogde steunpercentage via de KMO-portefeuille, maar amper 4% van de bedrijven deed hier al beroep op. De federale verhoogde belastingaftrek kent met 5% toepassing nog het beste gebruik. De VLAIO-subsidie voor Cybersecurity verbetertrajecten en VLAIO-innovatiesteun rond dit thema kennen enkel bij grote bedrijven (even beperkt) gebruik. Van de Europese onderzoeks- en innovatieprojecten gericht op cybersecurity heeft amper 1 op 5 bedrijven al gehoord.

REACTIE

Gedelegeerde bestuurders Ruben Lemmens (VKW Limburg) en Bart Lodewyckx (UNIZO Limburg): “Dit onderzoek legt bloot dat cyberveiligheid voor veel Limburgse bedrijven nog te vaak een blinde vlek blijft, vooral bij kleinere bedrijven. Nochtans zijn zij net het vaakst slachtoffer. Het feit dat 1 op 7 Limburgse bedrijven de voorbije drie jaar reële schade leed – gaande van productiviteitsverlies tot omzetdaling – toont aan dat de risico’s concreet en structureel zijn.” 

“Het ‘veilige gevoel’ dat vaak bestaat is een risico, ook bij grotere bedrijven. Want hoewel 3 op de 5 bedrijven voelen zich 'goed' tot 'zeer goed' beveiligd voelen, is het paradoxaal dat tegelijkertijd slechts 3 op de 10 een noodplan heeft klaarliggen voor als het misgaat. Ook kan het belang van de menselijke firewall in deze technische materie niet genoeg benadrukt worden: phishing is bij 76% van de slachtoffers de oorzaak van de schade. Toch investeert amper 1 op de 3 bedrijven systematisch in het trainen van hun medewerkers. Digitale weerbaarheid is geen optionele investering meer, maar een absolute randvoorwaarde voor een duurzame en veilige bedrijfsvoering.”

“Het is heel positief dat de aandacht voor cybersecurity toeneemt, maar dat volstaat niet. Het versterken van de cyberweerbaarheid is geen eenmalige actie, maar een continu proces van sensibilisering, investering en samenwerking. We roepen bedrijven op om structureel te investeren in IT-beveiliging én verwachten van de overheid meer gerichte ondersteuning en bekendmaking van bestaande maatregelen. Als ondernemersorganisaties willen we daarin een katalysator zijn – samen met overheid en experten. Alleen door samenwerking kunnen we het cyberrisico beheersbaar maken voor alle ondernemingen – groot én klein.”

Ook Mathias Vissers, co-founder en cybersecurity evangelist van het gespecialiseerde Fox&Fish Cyberdefense, reageert op het onderzoek: Het feit dat 1 op 7 Limburgse bedrijven de voorbije drie jaar effectief schade leed, is een wake-up call. Het meest alarmerende cijfer is dat kleinere bedrijven significant vaker slachtoffer zijn, met percentages tot wel 30%. Tegelijkertijd beheren net zij hun IT-beveiliging vaak volledig zelf, soms uit de overtuiging dat het risico beperkt is. Dat is een gevaarlijke misvatting. Voor cybercriminelen zijn kmo’s geen klein doelwit, maar makkelijk te oogsten fruit. Ze zijn de ruggengraat van onze economie en het is dus belangrijk dat zij hun weerbaarheid testen en verhogen. De steun daarvoor is er, maar moet duidelijk beter de weg vinden naar de bedrijven. De kmo-portefeuille geeft tussen de 35% en 50% subsidie voor cybersecurity advies of opleiding, maar is opvallend weinig gekend. Amper 4% van de bedrijven maakt daar gebruik van, een gemiste kans. Want een opleiding voor het personeel of een traject om de risico’s in kaart te brengen, wordt zo financieel een stuk toegankelijker.

En Mathias geeft nog een concrete tip: “Voor de 3 op de 5 bedrijfsleiders die zich 'goed' beveiligd voelen, is er een simpele test: leg de ‘Cyber Fundamentals’ van het Centrum voor Cybersecurity België op safeonweb.be eens naast je huidige beleid. Het onderzoek toont aan dat veel schade voortkomt uit phishing en malware. De 'BASIC'-maatregelen in die gids, zoals een goed wachtwoordbeleid en het trainen van medewerkers, zijn ontworpen om net die problemen aan te pakken. Zonder een sluitend back-upplan of een formele IT-gedragscode, is je gevoel van veiligheid weinig meer dan een illusie die door de eerste de beste phishingmail doorprikt kan worden. Het is een gratis en praktisch stappenplan. Als elk Limburgs bedrijf op zijn minst die basiscontroles zou implementeren, kunnen we de in het onderzoek genoemde schadecijfers al drastisch verlagen.”