WODC wil meer voorlichting over ransomware voor MKB

Slechts 30% van de bedrijfsbestuurders ziet cybercriminaliteit als een groot risico voor de organisatie, zo blijkt onder meer uit het rapport. Volgens WODC zijn de organisaties vaak niet goed genoeg op de hoogte waardoor ze risico’s niet goed inschatten. Een voorlichtingscampagne moet ze meer bekendmaken met het probleem.

Het WODC onderzocht de bestaande risico’s voor cybersecurity met literatuur, risico-taxatietools en cybersecurityverzekeringen. Ook interviewden de onderzoekers 34 personen van allerlei organisaties ter verificatie. Zo werd duidelijk dat veel organisaties geen goede back-up hebben, medewerkers onvoldoende trainen, software niet up-to-date houden, geen incident response plan hebben en (e-mail)-accounts niet goed genoeg beveiligen.

“Op dit moment worden zowel het risico als de impact van deze aanvallen onderschat door bestuurders van organisaties. De ICT’ers zijn zich veel beter bewust hiervan, maar blijkbaar wordt dit onvoldoende overgebracht op de bestuurders van deze organisaties. Omdat grote organisaties hun zaken op dit gebied vaak beter op orde hebben (en omdat ze vaak in een heel specifieke context opereren) is het logisch om de focus op middelgrote en kleine organisaties te leggen”, zo schrijven de onderzoekers.

Bestuurders prikkelen

De campagne die WODC voor ogen heeft moet confronterende feiten bevatten zoals de gemiddelde schade die slachtoffers ervaren. “Bestuurders moeten worden geprikkeld om stil te staan bij hun eigen situatie. Dat kan door ze te vragen wat het effect op hun organisatie is als alle gegevens openbaar worden of IT drie weken niet gebruikt kunnen worden of losgeld betaald moet worden ter grootte van bijvoorbeeld 5% van de omzet.”

WODC wil inzetten op een persoonlijk gerichte boodschap tijdens de campagne. “Bestuurders moeten het gevoel krijgen dat vergelijkbare organisaties ook stappen nemen om zich te beschermen tegen ransomware. Er zijn uiteraard ook andere mogelijkheden om gedragsverandering en bewustwording te bereiken. Zo zou een bepaald niveau van cybersecurity kunnen worden afgedwongen door klanten, leveranciers, verzekeraars of zelfs de overheid.”