MKB-kopers zijn zich scherp bewust van de dreiging die cyberaanvallen vormen voor hun bedrijven. Uit het Techaisle SMB and Midmarket Security Adoption Trends onderzoek onder 2.035 IT- en zakelijke besluitvormers blijkt dat bijna 30% van Amerikaanse MKB’ers (1-999 werknemers) cyberaanvallen beschouwt als een van de top drie problemen waar hun bedrijf mee te maken heeft, waarbij nog eens 26% aangeeft dat het het meest urgente/kritieke IT-probleem is waar hun bedrijf mee te maken heeft. Minder dan de helft van de respondenten was echter optimistischer en koos een van de drie antwoorden: “het is een kritiek probleem, maar we hebben best practices om cyberaanvallen te beheersen”, “het is een van de vele verschillende problemen en we zijn tevreden met onze status” of “cyberaanvallen zijn geen belangrijk probleem”.
Als we verder naar beneden kijken, zien we dat kleine bedrijven (1-99 werknemers) minder geneigd zijn om cyberdreigingen te zien als een top-één IT-kwestie of een top-drie bedrijfskwestie; dit komt waarschijnlijk door het feit dat MKB-bedrijven minder volwassen IT-activiteiten hebben (wat betekent dat veel factoren die in grotere bedrijven worden beheerst, top-IT-kwesties kunnen zijn) en dat ze te maken hebben met een breed scala aan dagelijkse zakelijke uitdagingen. De gegevens die aantonen dat kleine bedrijven waarschijnlijk eerder best practices hebben om cyberaanvallen onder controle te houden, zijn waarschijnlijk niet gebaseerd op de realiteit van de markt: kleine bedrijven die beveiliging intern afhandelen, hebben niet de middelen die nodig zijn om optimale verdedigingsmechanismen in te zetten.
Maar bedrijven die vertrouwen op een bekwame derde partij kunnen redelijkerwijs beweren dat ze best practices gebruiken. Het meest verontrustend in deze gegevens zijn echter de bovenste twee balken, die aangeven dat 22% cyberbeveiliging ziet als “een van de vele problemen en we zijn tevreden met onze status”, terwijl nog eens 12% beweert dat “cyberaanvallen geen belangrijk probleem zijn”. Er zijn kleine bedrijven – bijvoorbeeld particulieren die grotere bedrijven factureren voor arbeid op uurbasis – voor wie cyberaanvallen geen kritiek probleem zijn. Uit de gegevens blijkt echter dat een derde van de kleine bedrijven zich geen zorgen maakt over cyberbeveiliging. Onafhankelijke onderzoeken tonen daarentegen aan dat de meeste kleine bedrijven binnen zes maanden na een inbraak failliet gaan. De onderzoekers denken dat deze bedrijven waarschijnlijk moeite hebben om financiële rechtvaardiging te vinden voor investeringen in zinvolle cyberdefensie en in plaats daarvan zichzelf ervan overtuigen dat dit voor hen geen echt bedrijfsprobleem is. Men vermoedt dat veel van deze bedrijven zich bewust zijn van de kwetsbaarhedenKlik op het woord voor de betekenis die gepaard gaan met digitale bedrijfspraktijken en wellicht overtuigd kunnen worden van de waarde van cyberbeveiliging als de problemen en oplossingen duidelijk en overtuigend aan hen worden gepresenteerd.
Bedrijven in het middensegment (100-999 werknemers) en het hogere middensegment (1000-4999 werknemers) hebben een meer proactieve kijk op deze kwesties. Ongeveer twee derde van de respondenten in elke groep beschouwt cyberaanvallen als hun meest kritieke IT-kwestie of als een top drie bedrijfskwestie, waarbij de kerngroep in het middensegment gelijk verdeeld is tussen deze standpunten en de hogere middensegmenten cyber vaker als een topprioriteit op IT-gebied zien. Meer dan 80% van deze organisaties richt zich op het opzetten van effectieve cyberverdediging en moet worden gezien als de voornaamste kandidaten voor effectieve oplossingen.
Zouden MKB-bedrijven zich zorgen moeten maken over cyberaanvallen?
De bovenstaande gegevens roepen een gerelateerde vraag op: Is het gebrek aan bezorgdheid bij kleine bedrijven geworteld in de realiteit – is het zo dat een derde van de respondenten niet veel te vrezen heeft van cyberaanvallen?
Het antwoord is waarschijnlijk enigszins complex. Uit de gegevens van het onderzoek blijkt dat minder dan de helft (46%) van de kleine bedrijven het afgelopen jaar een cyberaanval heeft meegemaakt. Dezelfde gegevens illustreren waarom middelgrote en grote bedrijven gevoeliger zijn voor dit probleem: respectievelijk 68% en 88% heeft in de afgelopen twaalf maanden een of meer aanvallen meegemaakt.
De “glas half leeg”-kant van ditzelfde debat zou echter kunnen opmerken dat de kans dat een klein bedrijf wordt aangevallen op een cyberaanval neerkomt op een muntje opgooien, met de mogelijkheid dat sommige aanvallen plaatsvinden maar niet worden ontdekt door het bedrijf waar de aanval heeft plaatsgevonden en dat een aanval fataal kan zijn voor het bedrijf. Een derde perspectief wordt gevonden in enkele gerelateerde gegevens over ransomwareKlik op het woord voor de betekenis, dat een directe, negatieve financiële impact heeft op bedrijven van elke omvang: meer dan een derde van de kleine bedrijven meldt dat ze in 2022 te maken hebben gehad met een of meer ransomware-incidenten.