MKB blijft mikpunt voor cybercriminelen

vrijdag 16 augustus, 2024

Dat het mkb steeds meer ­risico loopt, blijkt ook uit de cijfers. Onder meer ABN AMRO concludeerde dat de toename van aanvallen onder bedrijven met een omzet van minder dan 10 miljoen euro schrikbarend snel gaat. In 2022 was slechts 39 procent van die bedrijven doelwit van criminelen. In 2023 bleek dat ruimschoots verdubbeld naar 80 procent. Voor zzp’ers worden de cijfers apart bijgehouden. Daar heeft 69 procent te maken met aanvallen.

Over vorig jaar deed ook Sophos onderzoek naar de kwetsbaarheid van het mkb. Daaruit blijkt dat bijna de helft van alle gedetecteerde aanvallen bestond uit keyloggers, spyware en stealers. De gestolen informatie wordt vervolgens door de aanvallers gebruikt om ongeoorloofde toegang op afstand te krijgen, slachtoffers af te persen en ransomware te verspreiden.

Dat het mkb steeds populairder wordt als doelwit valt ook af te ­leiden uit ‘advertenties’ op het dark web. Initial access brokers – hackers die zijn gespecialiseerd in het inbreken in netwerken – maken daar reclame over hun mogelijkheden en diensten om in mkb-netwerken in te breken of om kant-en-klare toegang te verkopen tot mkb’s die ze al ­hebben gekraakt.

LockBit grootste bedreiging
De grootste bedreiging voor het mkb is nog steeds ransomware. Daarbij is hackersgroep LockBit de ‘marktleider’, gevolgd door Akira en BlackCat. Volgens Sophos blijven ransomware-operators hun ransomware-tactieken veranderen. Tussen 2022 en 2023 steeg het aantal ran­somware-aanvallen waarbij er sprake was van versleuteling op afstand met 62 procent. Aanvallers maken in dit geval gebruik van een onbeheerd apparaat op de netwerken van organisaties om bestanden op andere systemen in het netwerk te versleutelen.

Social engineering stijgt flink in de ranglijsten. Business Email ­Compromise en andere sociale campagnes worden steeds complexer. In plaats van gewoon een e-mail met een kwaadaardige bijlage te sturen, ­vallen aanvallers hun doelwitten nu eerder aan door een e-mailwisseling op te zetten of zelfs door hen te bellen. In een poging om de ­traditionele tools voor spampreventie te omzeilen, experimenteren aanvallers nu met nieuwe formaten voor kwaadaardige content, waarbij ze ­afbeeldingen toevoegen die code ­bevatten of door bijlagen te ve­r­zenden in OneNote of archiefformaten. Verder worden e-mails voor social engineering of gewoon phishing steeds geloofwaardiger dankzij generatieve AI. Kromme, slecht vertaalde zinnen komen steeds minder voor.

Geen back-up
Ransomware is bij veel bedrijven niets minder dan een ramp. Dat komt omdat er nog veel te vaak geen maatregelen zijn voor ­‘disaster recovery’. Het Digital Trust ­Center van de overheid becijferde dat van de Nederlandse bedrijven en ­organisaties die in 2023 slachtoffer ­waren van ransomware, 58 procent niet over een back-up beschikte. Bij zo’n 30 procent van alle ransomware-incidenten kreeg de aanvaller toegang tot de organisatie door het misbruiken van beveiligingslekken en kwetsbaarheden. In 28 procent van de gevallen ging dit met via phishing buitgemaakte login­gegevens of gekraakte wachtwoorden. De bereidheid om te betalen voor het ontsleutelen van gehackte data is laag. Slechts 18 procent betaalde in 2023 losgeld. Gelukkig maar, want de kans dat criminelen bereid zijn om over de brug te ­komen met ontsleuteling is ontstellend laag. Het Nederlandse bedrijfsleven is realistischer dan gemiddeld, zo blijkt. Wereldwijd betaalt maar liefst gemiddeld 46 procent losgeld.

NIS2
Msp’s spelen een belangrijke rol als het gaat om het beveiligen van hun mkb-eindklanten. Was dat eerst nog alleen gewoon verstandig en vrijwillig, met NIS2 gaat dat veranderen. Steeds meer bedrijven vallen onder de richtlijn. Zo willen de ­Europese Commissie en de Nederlandse overheid essentiële sectoren ­beschermen, om ontwrichting van de samenleving bij een groot­schalige cyberaanval te voorkomen.

Belangrijk is daarbij de ketenaansprakelijkheid. Een bedrijf valt zelf misschien niet onder de essentiële sector, maar is wel toeleverancier. Deze vallen straks ook onder de NIS2. En dat geldt uiteraard ook voor de IT-dienstverlener. Een ­goede back-up- en recovery-­strategie is straks min of meer verplicht voor een groeiende groep bedrijven.

Pentesten
Zodra alles is ingeregeld, zullen msp’s ervoor moeten zorgen dat mkb-bedrijven regelmatig testen of alle voorzieningen nog wel adequaat zijn. In het grootzakelijke segment gebeurt dat al jaren met penetratietesten, maar die zijn kostbaar. Vaak gaat het daarbij om handwerk, waarbij deskundigen proberen om op alle mogelijke manier in een netwerk binnen te komen.

Voor het mkb zijn zulke pentesten nauwelijks haalbaar, maar gelukkig zijn er steeds meer aanbieders van pentest as a service. Deze volautomatische ‘ethische hackers’ kunnen zo 24 uur per dag, zeven dagen per week blijven zoeken naar kwetsbaarheden in het netwerk en de aangesloten computers.

Genoeg te doen
Voor IT-dienstverleners voor het mkb blijft er genoeg te doen. Advies, implementatie en monitoring zijn essentieel om het mkb qua beveiliging naar een hoger niveau te tillen. Dat is niet alleen voor de bedrijven zelf belangrijk; ook de ­Nederlandse samenleving wordt daarmee een stuk veiliger.

(bron: https://www.channelconnect.nl/specials/cyber-datasecurity-2024/mkb-blijft-kwetsbaar-als-het-gaat-om-cyberdreiging/)