Het mkb moet meer werk maken van de beveiliging tegen cyberaanvallen, stelt het Centraal Planbureau (CPB) in een onderzoeksrapport. Maar ook de banken moeten oppassen: zo verzorgt één ICT-bedrijf de cyberbeveiliging van drie grootbanken.

Cyberveiligheid is een wapenwedloop waarin Nederland vooroploopt, aldus het CPB. Maar er zijn wel zorgen over mkb-bedrijven, die vaak cyberveiligheidsmaatregelen treffen dan grote bedrijven. Voorbeelden daarvan zijn encryptie bij het versturen en opslaan van data en token-authenticatie.

Kostenafweging of kennisachterstand?

Van de kleine bedrijven met tien tot twintig werknemers had 15% in 2016 te kampen met een cyberaanval. “Ook grotere bedrijven worden aangevallen, maar zij nemen meer voorzorgsmaatregelen”, aldus het CPB. Vier op de vijf grote bedrijven gebruikt token-authenticatie, tegen 34% voor het gemiddelde bedrijf. “Onduidelijk is of het verschil in beveiliging tussen mkb en grote bedrijven veroorzaakt wordt door een rationale kosten-batenafweging of door een kennisachterstand.”
Het CPB geeft als overweging mee dat overheden en bedrijven informatie delen over cyberveiligheid. “Deze informatie helpt mkb-bedrijven bij de keuze om te investeren in cyberveiligheid. De overheid kan hier ook een intermediaire rol spelen, bijvoorbeeld door een netwerkrol of door het verzamelen en delen van statistische gegevens.”

Cyberbeveiliging banken

Ook grotere bedrijven lopen risico’s. Zo vermoedt het CPB door een steekproef onder internationale banken het bedrijf Akamai “sterk dominant is” in zogeheten ‘DDoS-mitigatie’, het beperken van risico’s en gevolgen van een grootscheepse aanval. Dat hoeft geen probleem te zijn zolang er lage toetredingsbarrières bestaan. “Vanuit maatschappelijk perspectief kun je wèl de vraag stellen of grote marktconcentratie in dit specifieke geval gewenst is. Immers, valt in dit geval Akamai om, dan heeft dit potentieel een keteneffect. Dit hoeft zich niet te beperken tot uitval in de bankensector alleen.” Van de banken gebruik 53% Akamai als DDoS-beschermingsdienst. Volgens het FD gebruiken van de Nederlandse banken ABN Amro, ING en Rabobank de diensten van Akamai.

Weinig aangifte

Bedrijven doen bijna nooit aangifte van een cyberincident, ondanks dat 21% van de ondernemingen daar in 2016 last van heeft gehad. Slechts 2% doet aangifte bij de politie; eenzelfde percentage maakt er melding van bij de Autoriteit Persoonsgegevens en bij banken doet eveneens 2% een melding. Daarbij speelt volgens het CPB mee dat de pakkans bij cybercriminaliteit klein is.