Digitale veiligheid voor het MKB – het blijft lastig

In de EU is dit de maand van de cyber security en dat betekent dat her en der onderzoek verschijnt over vooral de digitale veiligheid van burgers en het MKB. DsiN uit Duitsland is geen uitzondering en komt met de resultaten van onderzoek onder +1000 personen, waarvan er 41 procent in bedrijven met minder dan 10 personen werkzaam zijn. Echt MKB onderzoek dus!

EU Cyber Security Maand

Jaarlijks besteed de EU in oktober extra aandacht aan digitale veiligheid in de meest brede zin. Onder de vlag van de ECSM (European Cybersecurity Month) kunnen organisaties uit de lidstaten aandacht voor het thema vragen en Brussel zorgt dan voor extra aandacht en afhankelijk van het project en land voor extra steun.

De belangstelling in Nederland voor deze thema maand is al lang gering, voor dit jaar staan er maar twee online activiteiten door Nederlandse organisaties genoemd. Het is daarom ook niet verwonderlijk dat er geen onderzoek wordt gepresenteerd over de digitale veiligheid in Nederland.

DsiN

In Duitsland is meer activiteit waarneembaar. DsiN staat voor Deutschland sich Im Netz, en dat is een privaat, publieke samenwerking. Het DsiN-Praxisreport 2020 is daar een voorbeeld van. Het is een onderzoek dat twaalf maanden loopt en dit jaar de periode van voor en tijdens de eerste Corona maatregelen bevat. De resultaten van dit jaar zijn daarom anders dan die van voorgaande jaren.

De bevindingen zijn het resultaat van +1000 deelnemers. Omdat 41 procent daarvan in bedrijven met 1 – 10 medewerkers werkzaam is en 24 procent in bedrijven met 10-50 werknemers ligt de focus sterk op de onderkant van de markt. Alleen al daarom zijn de resultaten waarschijnlijk ook vergelijkbaar met de situatie op de Nederlandse markt.

Aanvallen – welke aanvallen?

54 procent van de geënquêteerden zegt de laatste twaalf maanden geen aanval met malware gezien te hebben. 46 procent dus wel en 6 procent zegt zelfs permanent onder vuur te liggen. Reden voor zorg is niet dat laatste percentage maar het eerste. Meer dan de helft zegt geen aanvallen gezien te hebben. Daarbij is 49 procent van de deelnemers zelf (hoofd) verantwoordelijk voor de IT op het kantoor of in het bedrijf. De vraag of er echt geen aanvallen zijn geweest of dat men die niet herkent heeft ligt voor de hand. Dat komt mede omdat 24 procent aangeeft niets te doen om de awareness en competenties te vergroten.

Aanvallen op de IT, anders dan pogingen malware te plaatsen, worden door 32 procent niet gemonitord, gevolgd of herkend. Op de vraag hoe men op een dergelijk aanval zou reageren geeft 35 procent aan dat ze dan pas zullen nadenken over passende maatregelen. 22 procent heeft een draaiboek of de cybervariant van een BHV.

Het lijkt er dus op dat nog steeds een groep van bijna 30 procent van de kleinere bedrijven in Duitsland de digitale risico’s zwaar onderschat. Die groep heeft ook geen idee hoe met een aanval of besmetting moet worden omgegaan. Deze cijfers waren ook hoger, maar al jaren blijft “een kwart plus” dit gedrag vertonen.

Dat 8 procent nooit een back-up van de data maakt en 17 procent zeer onregelmatig zal dan ook niet verbazen. Deze scores zijn eveneens al jaren ongeveer gelijk. NIet gevraagd is of de back-ups ook worden getest.

Conclusie, in het Duitse MKB is de digitale veiligheid nog steeds niet over de volle breedte op een hoog niveau. Alles behalve dat. Of de score in Nederland veel beter zou zijn valt te betwijfelen, maar is zonder vergelijkbaar onderzoek niet te bewijzen.