Het Centraal Bureau voor de Statistiek (CBS) publiceerde voor het zevende jaar op rij de Cybersecuritymonitor. Hierin rapporteert het CBS over de cyberweerbaarheid van bedrijven en huishoudens in Nederland. Het ministerie van Economische Zaken en Klimaat (EZK) is een van de opdrachtgevers van de Cybersecuritymonitor.
Een belangrijke conclusie uit de monitor is dat kleinere bedrijven minder cyberweerbaar zijn dan grote bedrijven. Op alle uitgevraagde (basis)maatregelen nemen kleine bedrijven minder actie dan grote bedrijven. Dit maakt hen kwetsbaar voor cyberincidenten.
Cyberweerbaarheidsniveau
Het cyberweerbaarheidsniveau van een bedrijf is groter naarmate men meer maatregelen neemt. Dit jaar ziet het CBS voor het eerst een lichte afname van het aantal bedrijven met twee of meer werknemers dat de helft of meer van de gevraagde cybersecuritymaatregelen neemt.
Het CBS toont aan dat grotere bedrijven elke maatregel vaker doorvoeren dan kleinere bedrijven. Hierbij blijkt dat de ‘moeilijkheid’ van een maatregel duidelijk effect heeft op de mate van gebruik. Met name ook weer bij kleinere bedrijven. Zo blijkt het verschil bij het gebruik van een Virtual Private Network (VPN) tussen microbedrijven (2-10 werknemers) en grote bedrijven (250+ werknemers) enorm. Namelijk 25% ten opzichte van 81%. Deze trend zet ook door wanneer men kijkt naar zzp’ers. Die scoren weer iets lager dan de kleinere bedrijven.
Bedrijven die meer met ICT bezig zijn of die een groot belang hebben bij het beveiligen van hun data, zoals de ICT-sector of de gezondheidszorg, scoren beter op het gebied van cybersecurity dan sectoren waar dit minder belangrijk lijkt.
Aantal ICT-veiligheidsincidenten neemt af
Het totale aantal ICT‐veiligheidsincidenten met zowel een interne als externe oorzaak nam af. Deze dalende trend geldt voor alle bedrijfsgroottes. En zette in 2020 in. In 2016 had bijvoorbeeld nog bijna 40% van de grootste bedrijven een ICT‐veiligheidsincident door een aanval van buitenaf, terwijl dit in 2022 nog maar 18% was.
Grotere bedrijven vaker slachtoffer
Grote bedrijven ervaren over de jaren heen consistent meer incidenten dan kleine bedrijven. Dit geldt voor zowel interne incidenten als incidenten door een aanval van buitenaf. Voor dit patroon kunnen meerdere oorzaken zijn. Bij interne incidenten, zoals uitval van ICT‐systemen door hardware- of softwarestoringen, kan meespelen dat grote bedrijven vaker een grotere en complexere ICT‐infrastructuur hebben.
Het aantal bedrijven met ICT-veiligheidsincidenten neemt af, deze daling is zichtbaar voor bedrijven in alle bedrijfsgroottes. Van deze incidenten blijkt een derde gepaard te gaan met kosten, dit geldt voor zowel incidenten met een interne als externe oorzaak. In 2022 bedroegen deze kosten in de meeste gevallen minder dan 1% van de bedrijfsomzet.
Ransomware-aanvallen lopen terug
Uit de enquête van 2022 blijkt dat het aantal bedrijven dat slachtoffer werd van een ransomware-aanval daalde. Procentueel gezien hebben grotere bedrijven meer last van ransomware-aanvallen dan kleine bedrijven. Er is een stijging van het aantal ransomware-aanvallen in de ICT-sector en bij zelfstandig ondernemers.
Van alle bedrijven met 2 of meer werknemers die een ransomware-aanval hadden, schakelde 37% de hulp in van een cybersecuritybedrijf. Een kleiner aandeel (18%) stapte naar de politie. Dit percentage neemt af naarmate ingezoomd wordt op kleinere bedrijven.