Het Nederlandse bedrijfsleven is volgens de Digital Economy and Society Index koploper binnen Europa als het gaat om digitalisering. Dat heeft ons veel gebracht, zoals verhoging van de arbeidsproductiviteit, nieuwe digitale producten en afzetkanalen en betere samenwerking in de keten. Maar ook nadelen, zoals de kwetsbaarheid van digitale processen voor cybercriminaliteit. Uit onderzoek van PwC blijkt dat 58% van de Nederlandse CEO’s zich zeer veel zorgen maakt over cybersecurity.
Toenemende dreiging van cybercriminaliteit
Het komt de laatste tijd steeds vaker voor, ook in de Services & Leisure sector: bedrijven en organisaties die slachtoffer worden van een (geslaagde) cyberaanval. Eind vorig jaar werd de wereld nog verrast met beveiligingsproblemen in Log4J, waardoor veel bedrijven tijdelijk applicaties uit de lucht moesten halen. Naast grotere organisaties die veelal in het nieuws komen, zijn ook kleinere bedrijven het doelwit van cybercriminelen. De cyberdreiging neemt toe door de versnelling in digitalisering als gevolg van de covidpandemie, de beweging van organisaties naar de cloud en de toename van het aantal met een netwerk verbonden apparaten. Bovendien worden cybercriminelen steeds professioneler en zetten steeds geavanceerdere automatisering in. De jaarlijkse geschatte schade in Nederland ligt volgens ING Research tussen de EUR 8 en 12 miljard.
Ransomware en economische spionage
Volgens DataLekt waren er 168 cyberincidenten in de media in 2021. Dat is een stijging van 240% vergeleken met 2020 en nog maar het topje van de ijsberg. Veel van de geslaagde cyberaanvallen die in de media komen betreft ransomware of gijzelsoftware. Hackers nemen hierbij de controle over van data of de IT-infrastructuur van een organisatie. Ze blokkeren de toegang met behulp van encryptie totdat losgeld is betaald. In veel gevallen wordt data ook gestolen, zogenoemde double extortion. Recent waren naast Media Markt ook Colonial Pipeline, JBS Foods, uitzendbureau IJmond Werkt!, RTL Nederland, Mandemakers, VDL, ROC Mondriaan en honderden andere bedrijven en instellingen slachtoffer. Naast ransomware kan er ook sprake zijn van economische spionage gericht op het stelen van bedrijfsgeheimen, zoals intellectueel eigendom. Dat is een bedreiging voor het lange termijn verdienvermogen van bedrijven.
"},"alignedImage":{"position":"bottom","transformBaseUrl":"https://assets.ing.com/transform/0d738762-ce18-4d24-8a48-0bbb42e00e2e/Forse-stijging-ransomware-aanvallen-trade-en-transport_tcm162-235576","original":"https://assets.ing.com/m/4647e2d617dd2b9b/original/Forse-stijging-ransomware-aanvallen-trade-en-transport_tcm162-235576.png","extension":"jpg"}},{"componentType":"paragraph","richBody":{"value":"Veel bedrijven onvoldoende voorbereid
Er is een duidelijke toename van het aantal cyberdreigingen. Het startpunt voor veel cybercriminelen is het ongericht scannen naar zwakheden in de digitale infrastructuur van een bedrijf en vervolgens kijken wat daar te halen valt. Een groot deel van de bedrijven in de zakelijke dienstverlening en horeca lijkt onvoldoende voorbereid. Vooral kleinere bedrijven nemen minder vaak veiligheidsmaatregelen, mede uit gebrek aan kennis, kostenoverwegingen en de inschatting van risico’s. Zo denken ze vaak – ten onrechte - dat ze geen doelwit zijn. Bovendien zijn veel kleinere bedrijven voor cybersecurity afhankelijk van hun IT-leverancier, omdat zij zelf niet voldoende kennis in huis hebben.
Miljardenschade
De grootste kostenpost bij een cyberaanval is het verlies aan ‘business’, zoals klanten, omzet en kosten voor reputatieherstel. Daarnaast bestaat de schade van een cyberaanval uit kosten gemaakt om te reageren (zoals detecteren en escaleren), en het op de hoogte stellen van en afwikkelen van de schade met getroffenen en autoriteiten. Ook zijn er nog de opportunity kosten, zoals reputatieschade en verlies van intellectuele eigendommen. Afhankelijk van het type aanval en de organisatie verschilt ook de hoogte van de schade sterk. Wereldwijd wordt de jaarlijkse schade van cyberaanvallen door McAfee geschat op EUR 830 miljard.
Toenemende uitgaven voor preventie
Door de toenemende dreiging en het vaker voorkomen van relatief kostbare typen aanvallen, zoals ransomware, nemen de kosten van een geslaagde cyberaanval toe. De gemiddelde kosten van een data-inbreuk lagen in 2021 12% hoger dan in 2015 (Ponemon, 2021). De toenemende dreiging en de toename in het aantal cyberaanvallen zorgt voor een stijging in de uitgaven aan cybersecurity. Volgens Deloitte gaat ongeveer 9-11% van de IT-budgetten naar cybersecurity. Als percentage van de omzet ligt dit naar schatting tussen de 0,2%-0,5%. Volgens ING Research wordt er in Nederland jaarlijks naar schatting tussen de 5 en 7 miljard euro uitgegeven aan cybersecurity door bedrijfsleven en overheid. Deze kosten omvatten voornamelijk detectie, preventie, testen en trainen. Kosten van verzekeringspremies en schade bij een geslaagde aanval komen hier nog bovenop. Uit een enquête van het FD onder Chief Information Officers (CIO’s) komt naar voren dat Nederlandse bedrijven jaarlijks 10-25% extra uitgeven aan cybersecurity. Het geld gaat bijvoorbeeld naar het continue monitoren van bedreigingen of verbetering van beveiliging in de cloud en naar de inhuur van extra personeel.
"},"alignedImage":{"position":"bottom","transformBaseUrl":"https://assets.ing.com/transform/1631bd19-5417-4db7-a67b-b80ce21f6ea7/Kleine-bedrijven-minder-vaak-maatregelen-trade-retail_tcm162-235445","original":"https://assets.ing.com/m/2588085b2cf1f9a6/original/Kleine-bedrijven-minder-vaak-maatregelen-trade-retail_tcm162-235445.png","extension":"png"}},{"componentType":"sectionTitle","title":"Cyberrisico’s in de zakelijke dienstverlening en horeca"},{"componentType":"paragraph","richBody":{"value":"Versnelling in digitalisering
De afgelopen twee jaar heeft er een versnelling in de digitalisering plaatsgevonden. Dit als gevolg van de pandemie waarbij veel meer thuis- en op afstand gewerkt wordt en waarbij in de horeca vaker digitaal wordt besteld. Dit heeft geleid tot een toename van het aantal aan netwerken verbonden apparaten en hiermee ook een toename van het aantal mogelijke aanvalspunten. Daarnaast zorgt de professionalisering van de cybercriminelen, de geringe pakkans en een verdergaande automatisering van aanvallen voor een toename van het aantal aanvallen en de impact ervan. Dankzij de financiële mogelijkheden van hackers om technologisch voorop te (blijven) lopen zal de cyberdreiging naar verwachting in de komende jaren verder toenemen. Het is daarom belangrijk dat bedrijven goed zijn voorbereid en beschermd voor een mogelijke cyberaanval. Het gaat er helaas al niet meer om of je wordt gehackt, maar wanneer.
Beveiliging en gevoeligheden in de zakelijke dienstverlening en horeca
In de zakelijke dienstverlening gaat het vaak over vertrouwelijke informatie. Uit CBS-data van 2020 blijkt dat zakelijke dienstverleners bovengemiddeld beveiligd zijn. De horeca scoort beneden gemiddeld als het gaat om het nemen van ICT-veiligheidsmaatregelen. Dit is een kwetsbaar punt. In de horeca neemt de digitalisering verder toe en daarmee dus ook de kwetsbaarheid voor cyberaanvallen. Restaurants zijn bijvoorbeeld meer digitaal gegaan met online bestellingen en met bestellen met QR-codes aan tafel. Als je website of het systeem voor QR-bestellingen wordt gehackt heb je een groot probleem.
"},"alignedImage":{"position":"bottom","transformBaseUrl":"https://assets.ing.com/transform/f023ea31-a04e-4ca0-acc4-313cff63440f/Zakelijke-dienstverleners-bovengemiddeld-beveiligd_tcm162-235627","original":"https://assets.ing.com/m/2c7db0b57daea219/original/Zakelijke-dienstverleners-bovengemiddeld-beveiligd_tcm162-235627.png","extension":"jpg"}},{"componentType":"paragraph","richBody":{"value":"De horeca scoort beneden gemiddeld als het gaat om het nemen van ICT-veiligheidsmaatregelen. Dit is een kwetsbaar punt. In de horeca neemt de digitalisering verder toe en daarmee dus ook de kwetsbaarheid voor cyberaanvallen. Restaurants zijn bijvoorbeeld meer digitaal gegaan met online bestellingen en met bestellen met QR-codes aan tafel. Als je website of het systeem voor QR-bestellingen wordt gehackt heb je een groot probleem.
"},"alignedImage":{"position":"bottom","transformBaseUrl":"https://assets.ing.com/transform/a792e025-8006-426d-953a-119ed433a88b/Horeca-scoort-ondergemiddeld-op-ICT-veiligheid_tcm162-235628","original":"https://assets.ing.com/m/55693822d7870935/original/Horeca-scoort-ondergemiddeld-op-ICT-veiligheid_tcm162-235628.png","extension":"jpg"}},{"componentType":"paragraph","richBody":{"value":"Onderstaande heatmap geeft een overzicht van de gevoeligheden in de verschillende sectoren op het gebied van cybercrime. Voor de zakelijke dienstverlening zijn de financieel gerichte gevoeligheden vooral: M&A activiteiten en afhankelijkheid van ICT. Als het gaat om het stelen van informatie gaat het met name om gevoelige persoonsgegevens. Bij de horeca gaat het bij de financieel gerichte gevoeligheden vooral over het gebruik van IOT en bij het stelen van informatie met name om gevoelige persoonsgegevens.
"},"alignedImage":{"position":"bottom","transformBaseUrl":"https://assets.ing.com/transform/7fb4c906-5a07-4867-b6a1-481042ebe3af/Tabel-sector-thema-update-cybersecurity_tcm162-235625","original":"https://assets.ing.com/m/6673e72f933b0bfd/original/Tabel-sector-thema-update-cybersecurity_tcm162-235625.png","extension":"png"}},{"componentType":"sectionTitle","title":"Enkele voorbeelden"},{"componentType":"paragraph","richBody":{"value":"Net als in andere sectoren hebben ook in de Services & Leisure-sector de afgelopen tijd hacks plaatsgevonden. Onder andere bij uitzendbureaus, advocatenkantoren en in de hotelbranche.
Uitzendbranche
Eind 2020 vond er een hack plaats bij Randstad, waarop het bedrijf een onderzoek startte met ondersteuning van externe cyber- en forensische specialisten. Daaruit bleek dat een beperkt aantal servers waren getroffen door de inbraak en dat bepaalde gegevens onrechtmatig waren benaderd door een hackersgroep genaamd Egregor. Die groep heeft een deel van de buitgemaakte gegevens gepubliceerd. De hackers hebben toegang gehad tot bestanden van Randstad-vestigingen in Polen, Frankrijk, Italië en de VS. Volgens Randstad is een beperkt aantal servers geraakt door de inbraak en heeft de hack geen invloed gehad op de dagelijkse bedrijfsvoering. Naast het identificeren tot welke gegevens toegang is verkregen en het op de hoogte stellen van de regelgevende instanties, heeft Randstad cyberbeveiligingsexperts en andere specialisten ingeschakeld ter ondersteuning bij herstel van de hack en het implementeren van aanvullende beveiligingsmaatregelen.
Advocatuur
Ook in de advocatuur hebben hacks plaatsgevonden, zoals bij Rein Advocaten & Adviseurs, een kantoor met 13 medewerkers in Assen. Het advocatenkantoor gaf criminelen via een link in een e-mail onbedoeld toegang tot belangrijke bestanden. Net zoals bij veel andere zakelijke dienstverleners heeft Rein Advocaten & Adviseurs haar bedrijfsvoering voor een groot deel gedigitaliseerd. Voor het debiteurenbeheer werken ze samen met een externe partij die ze regelmatig links mailt om vorderingen in te zien en bij te werken. Op een doordeweekse ochtend kreeg het advocatenkantoor een op het oog zakelijke e-mail. Maar deze was deze keer niet afkomstig van een leverancier, maar van cybercriminelen. Als een kantoormedewerker op de link klikt worden verschillende bestanden van het kantoor gegijzeld. Er wordt een bedrag van EUR 5.750 in bitcoins geëist om weer toegang te krijgen tot de bestanden. Het kantoor wordt slachtoffer van ransomware. Ze besloten om niet te betalen omdat je toch geen garantie hebt dat je je bestanden weer terugkrijgt. Ze hadden een goed back-up systeem en met hulp van hun IT-leverancier hadden ze een en ander weer snel op de rit.
Hotelbranche
Eind 2018 maakte Mariott Hotel Group bekend een datalek te hebben ontdekt in de reserveringsdatabase van dochteronderneming Starwood. Vier jaar voorafgaand aan deze ontdekking hebben hackers persoonsgegevens van gasten kunnen stelen. Hackers hebben toegang gehad tot namen, e-mailadressen, telefoon- en paspoortnummers, geboortedata en reserveringsdata van ongeveer 500 miljoen gasten van Starwood-hotels. Voor dit datalek heeft de Britse privacytoezichthouder ICO de hotelketen Marriott in 2020 een boete opgelegd van omgerekend 20,4 miljoen euro. Volgens ICO had Marriott onvoldoende maatregelen getroffen om de gegevens van gasten te beschermen.
"}},{"componentType":"sectionTitle","title":"Voorbereiding en preventie"},{"componentType":"paragraph","richBody":{"value":"Als organisatie moet je ervan uitgaan dat je op enig moment in aanraking komt met een cyberaanval. Dat betekent dat je voorbereid moet zijn en plannen klaar moet hebben liggen voor een mogelijke hack. De volgende afwegingen zijn belangrijk in die voorbereiding en zijn bepalend voor de invulling van het cybersecurity beleid.
Het aantal incident response cybersecurity bedrijven is beperkt in Nederland, houd hier rekening mee bij het opstellen van actieplannen. Verzeker je dit vooraf of wacht je het hackmoment af met het risico nul op je verzoek te krijgen bij een verzoek tot incident response?
"}},{"componentType":"sectionTitle","title":"Tips voor ondernemers"},{"componentType":"paragraph","richBody":{"value":"Ik stel het op prijs als je de survey wilt invullen. Het gaat om maximaal drie vragen.
"}},{"componentType":"linkList","iconTitle":{"title":"Kennis over de economie"},"textLinks":[{"url":"/zakelijk/economie","text":"Onze economie"},{"url":"/zakelijk/sector/all-sectors","text":"Jouw sector"}]}]},"complementaryZone":{"flexComponents":[{"componentType":"cards","cards":[{"componentType":"productCard","cardType":"product","cardSize":"small","title":"Sjuk Akkerman","intro":"Sector Banker Services & Leisure","image":{"transformBaseUrl":"https://assets.ing.com/transform/7ff35e80-df0f-4330-9a1b-b5335ddbbe70/Sjuk-Akkerman","type":"image","width":350,"original":"https://assets.ing.com/m/675d24d8fee3d4fb/original/Sjuk-Akkerman.png","extension":"png"},"link":{"url":"/zakelijk/sector/services/sjuk-akkerman"}}]}]}}}