Het Ministerie van Economische zaken staat op velerlei manieren ondernemers bij in het veilig online zaken doen. Nederland heeft een van de meest geavanceerde digitale economieën ter wereld, en is daarom een geliefd werkterrein voor cybercriminelen. Om bij te houden hoe effectief deze ondersteuning van het ministerie is, voert het Centraal Bureau voor de Statistiek (CBS) jaarlijks onderzoek uit. De resultaten over 2024, gebundeld in de Cybersecuritymonitor 2024, zijn afgelopen week gepubliceerd.
De cybersecuritymonitor is gebaseerd op gegevens verzameld uit de jaarlijkse ICT-enquête. Dit is een steekproef van ongeveer 50.000 Nederlandse bedrijven uit een populatie van 1,1 miljoen. Het gaat hierbij om bedrijven van verschillende groottes en bedrijfstakken. Dit onderzoek naar het gebruik van digitale middelen door Nederlandse bedrijven vindt in verschillende vormen al sinds 1983 plaats. Naast onderzoek naar bedrijven wordt sinds 2021 ook gekeken naar het gebruik van ICT door zelfstandigen zonder personeel (zzp'ers).
Belangrijkste conclusie van het onderzoek: Nederlandse bedrijven zijn goed op de hoogte van verschillende cyberveiligheidsmaatregelen die ze kunnen nemen. Dit geldt met name voor grote bedrijven. Onder bedrijven met 250 of meer werknemers neemt een ruime meerderheid (64%) tien of meer maatregelen om de cyberveiligheid van de organisatie te vergroten. Het gaat hierbij om zowel voor de hand liggende maatregelen als een wachtwoordbeleid en antivirussoftware, als meer geavanceerde maatregelen als systematische risicoanalyses.
Met name tweestapsverificatie bij het inloggen is een populaire beveiligingsmaatregel. Dit houdt in dat de werknemer bij het inloggen bij bedrijfssystemen, zowel op locatie als extern, een extra stap moet zetten. Het kan hierbij bijvoorbeeld gaan om het invoeren van een via SMS of e-mail aangeleverde code, of een speciale hardware sleutel. Deze veiligheidsmaatregel is sinds 2017 ruim verdubbeld in het gebruik, van 26% van alle bedrijven in 2017 tot 61% van alle bedrijven in 2024.
Tweestapsverificatie was al de norm voor grote bedrijven. 71% van bedrijven met 250 of meer werknemers gebruikte dit in 2017. Inmiddels gebruikt 97% van bedrijven uit deze categorie tweestapsverificatie. In 2024 werd voor het eerst bij een meerderheid van bedrijven van elke categorie van grootte deze veiligheidsmaatregel gebruikt.
Gegevensveiligheid
Het werken met gevoelige (klant)gegevens lijkt een van de belangrijkste indicatoren voor de mate waarin bedrijven bezig zijn met cyberveiligheid. Naast bedrijven actief in de ICT sector waren met name bedrijven uit de sectoren financiële dienstverlening en de gezondheids- en welzijnszorg zeer actief bezig met het doorvoeren van verschillende soorten cyberveiligheidsmaatregelen. Dit komt ook vanwege de vanuit Europa opgelegde verplichtingen omtrent de verantwoordelijkheden van de personeels- en klantgegevens ban bedrijven. Deze verantwoordelijkheden zijn onder andere vastgelegd in de Algemene Verordening Persoonsgegevens (AVG).
Deze gegevens staan vaak centraal bij cybersecurityincidenten bij bedrijven, zowel intern als extern. Met name grote bedrijven hebben vaker te maken met incidenten. Dat is op zich niet zo vreemd. Meer menselijke interactie met de systemen vergroot de kans op menselijke fouten. Daarnaast valt er bij grotere bedrijven ook meer te halen, en is de angst voor reputatieschade groter. Daarnaast hebben deze bedrijven vaak meer ICT-personeel, waardoor de kans op detectie groter is.
Over de volle breedte is er echter wel een sterke afname te zien in het aantal incidenten. Bij grote bedrijven gaf 39% van de respondenten in 2016 aan dat ze te maken hadden gehad met cybersecurityincidenten. In 2023 was dat nog maar 16%. Bij elke bedrijfsgrootte is een vergelijkbare afname te zien. Tussen 2016 en 2022 is het aantal incidenten ruim gehalveerd, en sindsdien is het percentage min of meer stabiel.
Waakzaam
De vormen die cybercriminaliteit aannemen ontwikkelen zich constant. Ook brengen nieuwe technologieën vaak nieuwe risico's met zich mee. Zo was bijvoorbeeld het gevaar van een gegevenslek bij het gebruik van kunstmatige intelligentie (AI) enkele jaren geleden nog compleet onbekend. Nu is het iets waar steeds meer rekening mee moet worden gebruiken. Ook geven verschillende instanties aan dat AI ook de productiviteit en flexibiliteit van cybercriminelen vergroot.
Het is daarom belangrijk om waakzaam te zijn, niet alleen op consistentie in de uitvoering van bestaande maatregelen, maar ook bij het volgen van nieuwe ontwikkelingen op het gebied van cyberveiligheid. De Nederlandse overheid ondersteunt burgers en bedrijven bij het veilig blijven op het internet. Voor bedrijven is het Digital Trust Center (DTC) het belangrijkste aanspreekpunt voor cyberveiligheid. Op de website van het DTC vindt u algemene tools, zoals de CyberVeilig Check, die gebruikt kan worden om kwetsbaarheden binnen uw organisatie in kaart te brengen. Ook zijn er informatiepagina's over bijvoorbeeld spookfacturen en social engineering. Daarnaast is er de DTC Community voor contact met experts en mede-ondernemers en het laatste nieuws op het gebied van cybersecurity.