Uit een nieuw onderzoek blijkt dat het midden- en kleinbedrijf (MKB) in het Verenigd Koninkrijk geen best practice-protocollen tegen cybercriminaliteit implementeert en slecht voorbereid is om te reageren op een incident. Slechts 1 op de 5 (19%) beschikt over een aanbevolen plan om te reageren op cyberincidenten .
Terwijl de vooruitgang van AI zowel de complexiteit als de verspreiding van cyberaanvallen blijft escaleren, onthulde het onderzoek – uitgevoerd in opdracht van aanbieder van cyberverzekeringen Cowbel – een nonchalante benadering van de gevolgen door Britse leiders:
- 77% van de Britse MKB-bedrijven heeft geen interne beveiliging;
- 32% van de CEO’s is ervan overtuigd dat een cyberaanval geen invloed zou hebben op hun vermogen om zaken te doen;
- 1 op de 10 (10%) van alle bedrijfsleiders zegt dat ze hun positie met betrekking tot cyberrisico’s niet hoeven te verbeteren;
- 87% beschouwt reputatieschade niet als een belangrijk risico voor het bedrijf
Datalekken hebben bedrijven in het Verenigd Koninkrijk vorig jaar gemiddeld 3,2 miljoen pond gekost – met het Verenigd Koninkrijk op de zesde plaats van duurste landen ter wereld voor datalekken. Dit komt bovenop de laatste Cybersecurity Breaches Survey van de overheid, waaruit blijkt dat 59% van de middelgrote bedrijven in de afgelopen 12 maanden te maken heeft gehad met inbreuken of aanvallen.
Ondanks deze statistieken werd zelfgenoegzaamheid onder MKB-bedrijven gezien bij alle leidinggevenden: slechts 20% van de CHRO’s, 22% van de directeuren en 28% van de CEO’s beschouwt cyberdreigingen als hun grootste risico. Zorgwekkend genoeg viel het risico van cyberdreigingen bijna van de radar van de CFO’s, die het op de een na laatste plaats zetten van 14 mogelijke bedreigingen, met slechts 8% die het als hun grootste risico beschouwden.
Naast een trend om het huidige cyberklimaat te onderschatten, bracht het onderzoek ook verwarring aan het licht over de eerste reacties in het geval van een cyberinbreuk; 8% van de CEO’s zegt dat ze direct in contact zouden treden met de dader. In plaats van hun verzekeringsmaatschappij op de hoogte te stellen, zei meer dan de helft van alle respondenten (52%) dat hun eerste actie zou zijn om het IT-team op de hoogte te stellen in geval van een inbreuk.
Toen respondenten werd gevraagd naar de ‘eerste actie die ze zouden ondernemen na een datalek’, was er een duidelijk gebrek aan eensgezindheid binnen de C-suite:
- CEO’s: 10% zegt dat ze toezichthouders zouden inlichten, terwijl nog eens 10% zei dat ze contact zouden opnemen met het interne IT-team;
- CFO’s: 17% zou het interne technische team op de hoogte brengen, 10% zou klanten/klanten informeren en nog eens 10% zou het financiële team op de hoogte brengen;
- HR-directeuren: 24% vond dat ze eerst het interne financiële team op de hoogte moesten stellen;
- Senior marketeers: 31% vond dat ze eerst hun technische team op de hoogte moesten stellen, terwijl 25% zei dat ze hun verzekeringsmaatschappij zouden inlichten
Simon Hughes, VP en General Manager van Cowbell UK, zegt dat Britse MKB-bedrijven zichzelf kwetsbaar opstellen en wijd open staan voor bedreigingen. “Bijna elke dag zien we een nieuwe grote cyberaanval in het nieuws komen – en dat zijn alleen nog maar de aanvallen die groot genoeg zijn om in het nieuws te komen. Of we nu onze kop in het zand steken of niet, de aanvallen nemen toe. Naarmate de ontwikkelingen op het gebied van AI doorgaan, zullen we de komende jaren vrijwel zeker een toename zien in het volume, de complexiteit en de impact van cyberaanvallen. Het is niet de vraag of, maar wanneer. Maar het is nu niet het moment om bang te maken, het is tijd voor proactieve planning.”
Broker specialist, Cowbell UK, Catherine Aleppo voegt hieraan toe: “Ons onderzoek wijst op een aantal ernstige hiaten in de kennis, waardoor bedrijven zeer kwetsbaar zijn. De boodschap is duidelijk: de verwarring rond de eerste reacties moet dringend worden opgelost. Er moet meer ondersteuning en voorlichting komen over cyberrisico’s en Incident Response Planning als bedrijven deze incidenten het hoofd willen bieden en snel willen herstellen. Er is werk aan de winkel om het cruciale bewustzijn van cyberkwetsbaarheden te verhogen en het Britse MKB, dat de ruggengraat van de Britse economie vormt, te beschermen.”
