ThreadStone presenteert jaarlijkse top 3 cyber kwetsbaarheden MKB

Zoals inmiddels gebruikelijk komt ThreadStone Cyber Security aan de vooravond van de start van de Europese cybersecuritymaand met de jaarlijkse top 3 van kwetsbaarheden binnen het MKB.

De top 3 cyber-kwetsbaarheden MKB van 2024

1.      Nog steeds onvoldoende risicoperceptie.

2.      Geen plan of draaiboek voor noodgevallen.

3.      Onvoldoende besef ketenverantwoordelijkheid (van belang in het kader van NIS2).

De jaarlijkse top 3 is gebaseerd op de totale geanonimiseerde bevindingen van ThreadStone tijdens uitgevoerde nulmetingen in de eerste drie kwartalen van 2023. Daarbij ligt de nadruk op bedrijven met een omvang 15 tot 1.500 medewerkers.

De top 3 van 2024

1.    Beperkte risicoperceptie.

Uit onze jaarlijkse analyse blijkt dat in veel organisaties nog steeds de gedachte heerst dat zij geen target zijn, dat het al zoveel jaar goed gaat, dat de IT’er het regelt, dat werken in de cloud veilig is, of dat zij geen aantrekkelijke vis zijn. In de praktijk zien we echter dat er niemand verantwoordelijk is, dat er geen beleid is, dat er geen training wordt gegeven, dat zakelijke systemen ook privé worden gebruikt, dat er niets wordt gedaan aan beveiliging van IoT- of OT-apparatuur en dat security toch echt iets anders is dan IT-beheer. 

Gelukkig zien we ook een lichtpuntje: ten opzichte van 2023 zijn er meer risico-mitigerende maatregelen geïmplementeerd. 

2.    Niet voldoende voorbereid zijn

Samenhangend met het vorige aspect is dat organisaties nog steeds onvoldoende zijn voorbereid op situaties dat zich een incident voordoet. Wij vragen ondernemers vaak hoe zijn reageren als er een grotere klant wegvalt. De meesten antwoorden dan dat ze er even slecht van slapen, maar dat ze zich snel herpakken en zich bijvoorbeeld richten op new business. Bij een cyberaanval of -diefstal kan het zijn dat de hele business ineens wegvalt. De financiële en emotionele schade is enorm. Het markeert vaak een enorm stressvolle periode, waarin de vraag is of de onderneming het überhaupt overleeft. Het opstellen van een draaiboek kan echt veel stress en onnodige extra schade voorkomen. Bovendien kun je een checklist opnemen van acties waar je aan moet denken, variërend van het informeren van klanten tot aan het inlichten van politie en de Autoriteit Persoonsgegevens. Zorg dus voor een plan en test dit regelmatig.

3.    Digitale ketenverantwoordelijkheid niet op de agenda.

Met het ingaan van de Europese NIS2-richtlijn, in Nederland naar verwachting in 2025, gaan er andere regels gelden voor digitale ketenverantwoordelijkheid. Niet alleen NIS2-plichtige, maar ook hun toeleveranciers en partners moeten voldoen aan bepaalde eisen. Er zullen hardere voorwaarden worden gesteld aan het snel kunnen melden van cyberincidenten (meldplicht) en het kunnen aantonen van getroffen maatregelen (zorgplicht). Daar zal voor NIS2-plichtige organisaties ook op worden gehandhaafd, met scherper toezicht. Opdrachtgevers zullen hierdoor strengere eisen gaan stellen aan (MKB-)organisaties waarmee zij samenwerken. Want een MKB-organisatie die niet direct onder de NIS2 valt maar wel klanten heeft die NIS2-plichtig zijn, kan door cybercriminelen als tussenstap worden gebruikt om bij deze grotere bedrijven binnen te komen.

Supporter van de European Cyber Security Month

ThreadStone is supporter van de Europese cybersecuritymaand: alle aandacht helpt om ondernemers bewust te maken van hun verantwoordelijkheden en van de stappen die zij (vaak snel en relatief eenvoudig) kunnen zetten. Met de aankomende invoering van NIS2 krijgt dit alleen maar meer urgentie. De dreiging voor het MKB is niet kleiner dan voor de grootzakelijke markt, maar de budgetten zijn over het algemeen lager. ThreadStone zet daarom in op pragmatische en betaalbare cybersecuritymaatregelen voor het MKB.