Ondanks alle aandacht voor cybercriminaliteit blijkt er voor het Nederlandse mkb op dat gebied nog werk aan de winkel. Volgens het Centraal Planbureau (CPB) neemt het mkb minder vaak maatregelen om de digitale veiligheid te verbeteren dan grote ondernemingen. Mkb’ers lopen volgens het CPB nu 'onnodige risico’s'.
De digitale wereld is ongekend populair onder criminelen. Alleen al de zogeheten DDoS-aanvallen die computersystemen van banken lamleggen maken duidelijk dat er voor Nederland ook grote economische belangen gemoeid zijn met het aanpakken van cybercriminaliteit. Daarom stellen de rekenmeesters van het CPB sinds 2016 elk jaar een rapport (pdf) op over hoe het is gesteld met de digitale veiligheid in ons land.
In het algemeen is dat beeld best goed. Zo zijn Nederlandse websites in vergelijking met andere landen goed op dreef met het toepassen van versleutelingsstandaarden. Het kabinet trekt ook extra geld uit voor digitale veiligheid. Zo is op Prinsjesdag bekendgemaakt dat het ministerie van Economische Zaken jaarlijks € 5 miljoen beschikbaar heeft om ondernemers te ondersteunen.
Maar het blijft een ‘wapenwedloop’, schrijft het CPB. De criminelen worden steeds gewiekster, de phishing-mails sluwer en de malware (tool) slimmer. Ook blijft cybercriminaliteit vaak onbestraft en doen burgers en ondernemers minder snel aangifte van deze delicten dan van andere criminaliteit.
Uit het onderzoek blijkt dat het mkb een achterstand heeft ten opzichte van grote ondernemingen. Daarom lopen mkb’ers volgens het CPB risico’s die makkelijk in te dammen zijn door meer beveiligingsmaatregelen te nemen. Grote ondernemingen kiezen bijvoorbeeld vaker voor het versleutelen van data of ze laten werknemers verplicht inloggen met een ‘token’. Dat kan een apart kastje zijn (zoals veel banken ook gebruiken voor internetbankieren) of bijvoorbeeld een beveiligde app op de smartphone. Of het verschil in beveiliging komt door ‘een rationele kosten-batenafweging’ of door een kennisachterstand, heeft het CPB niet kunnen achterhalen.
Extra maatregelen zijn echter geen overbodige luxe, zo stelt het rapport, want in 2016 kreeg 15% van de ondernemingen met 10 tot 20 werknemers te maken met een cyberaanval.