Dat geldt met name voor werknemers die bij middelgrote (tot 199 medewerkers) en grote bedrijven (200+ medewerkers) werken. Slechts een kwart van hen maakt zich zorgen over hun digitale veiligheid. De middelgrote bedrijven ondernemen weinig actie om hun online veiligheid te waarborgen. Het gebruik van antivirussoftware ligt bij deze groep een stuk lager in vergelijking met kleine en grote bedrijven uit het MKB. Ook maken ze minder vaak back-ups van hun gegevens en voeren ze slechts af en toe software-updates uit.

Veilig Online 2020

Dat blijkt uit het rapport 'Veilig Online 2020: medewerkers bedrijfsleven'. Dit deelrapport maakt onderdeel uit van het Veilig Online 2020 onderzoek, dat in augustus is uitgevoerd door Motivaction International in opdracht van het ministerie van Economische Zaken en Klimaat. Dit onderzoek wordt jaarlijks uitgevoerd om zo een beeld te krijgen over de ontwikkeling van het bewustzijn en kennisniveau van Nederlanders rondom cybersecurity en digitale weerbaarheid.

Het eerste rapport ging over kennis, houding en gedrag van burgers op het gebied van online veiligheid. Het tweede deelrapport staat uitvoerig stil bij het bewustzijn van digitale dreigingen bij werknemers en ICT-medewerkers uit het midden- en kleinbedrijf (MKB). In totaal namen 470 medewerkers deel aan het onderzoek, dat bestond uit een online vragenlijst.

Uit het onderzoek blijkt dat medewerkers van grotere bedrijven (meer dan 10 werknemers) het meest positief zijn over hun kennis over digitale gevaren. Vier van de tien respondenten beoordeelt dat zijn kennis op dit vlak goed is. Bij kleine bedrijven is dat slechts een kwart (27 procent). Vrijwel iedereen is bekend met identiteitsfraude, phishing en hacking. Ongeveer de helft van de ondervraagden zegt nog nooit gehoord te hebben van digitale dreigingen als spoofing, botnets of cryptojacking.

Medewerkers die werkzaam zijn bij kleine bedrijven uit het MKB, denken dat ze weinig kans lopen om de dupe te worden van cybercriminelen en hackers. Minder dan 10 procent van hen denkt dat deze kans reëel is. Mensen die in de zogeheten vitale infrastructuur werken zijn eveneens niet bang dat ze het slachtoffer worden van digitale dreigingen: 15 procent vreest hiervoor. Als hun organisatie getroffen wordt, dan is dat waarschijnlijk door een DDoS-aanval, zo denkt 17 procent.

Phishing herkennen

Om phishing te herkennen, kijken de meeste medewerkers naar het e-mailadres van de afzender. Opvallend is dat iets meer dan de helft van de medewerkers binnen de vitale infrastructuur (55 procent) dit doet. Medewerkers van kleinere bedrijven zijn daar veel alerter op: twee derde van de ondervraagden (66 procent) zegt dat te doen.

Maatregelen

Medewerkers van kleinere ondernemingen nemen allerlei maatregelen om het bedrijf te beschermen tegen digitale dreigingen. Twee derde (65 procent) zegt antivirussoftware te gebruiken. Het regelmatig maken van back-ups (58 procent), uitvoeren van beveiligingsupdates (58 procent) en controleren van URL’s voordat ze erop klikken (56 procent) zijn de belangrijkste veiligheidsmaatregelen die ze treffen. Bij grote (internationale) organisaties ligt dat aandeel hoger, wat gezien de grotere aanvalsoppervlak van deze bedrijven logisch is. Werknemers uit middelgrote bedrijven en de vitale infrastructuur zijn minder vaak bereid om dergelijke stappen te nemen om hun veiligheid te verbeteren.

Zorgen om digitale veiligheid

Medewerkers maken zich relatief weinig zorgen als het om hun digitale veiligheid gaat. Dat is vooral goed te zien bij middelgrote ondernemingen: daar zegt drie kwart (76 procent) niet bezorgd te zijn. Ruim één op de drie medewerkers van kleine organisatie (36 procent) maakt zich hierover wel zorgen. Bij werknemers in de vitale sector is dat slechts één op de tien. Toch schat deze groep de kans dat ze geconfronteerd worden met een cyberaanval het grootst in (11 procent). Dat komt waarschijnlijk omdat de meeste medewerkers uit deze sector het afgelopen jaar in aanraking is geweest met digitale risico’s. Bij kleine MKB-bedrijven is dat slechts 3 procent.

Volgens het ministerie van Economische Zaken en Klimaat is het opvallend dat medewerkers zich weinig zorgen maken over de cyberdreigingen. Volgens het ministerie krijgt één op de vijf bedrijven in Nederland jaarlijks te maken met een cyberaanval. Dan gaat het bijvoorbeeld om pogingen tot phishing, acquisitie fraude en DDoS-aanvallen.

Uit het onderzoek van Motivaction International blijkt verder dat kleine ondernemers minder vaak werkafspraken maken over veilig online gedrag. Dat gebeurt in minder dan de helft van de gevallen (45 procent). Van de ondervraagden die bij grote, middelgrote of bedrijven uit de vitale infrastructuur werken, zegt drie kwart (77 procent) dat ze duidelijke werkafspraken hebben. Het draagvlak voor deze afspraken bij hen is dan ook groot.

Stappen ondernemen

Hoewel medewerkers in het klein-MKB vaak sneller zelf stappen ondernemen op het gebied van online veiligheid, vinden ze minder vaak dat afspraken hierover binnen de organisatie duidelijk zijn (68 procent). Twee derde (65 procent) meent dat de afspraken voldoende worden toegepast in hun bedrijf. Doordat ze een kleiner budget hebben dan grotere ondernemingen, beschikken ze minder vaak over de juiste tools en instrumenten om online veilig gedrag te bevorderen.

Er is behoorlijk wat steun voor het opleggen van straffen aan medewerkers die zich niet houden aan de werkafspraken. Ongeveer twee derde van de respondenten vindt dat er in dat geval sancties opgelegd moeten kunnen worden. Het belonen van goed gedrag kan op minder steun rekenen. Werknemers van grote organisaties en van bedrijven uit de vitale sector vinden dit een goed idee. Dat geldt doorgaans niet voor medewerkers van kleine en middelgrote bedrijven.

Kennis digitale risico’s en online veiligheid

ICT-medewerkers van grote bedrijven geven volmondig aan dat hun kennis over digitale risico’s en online veiligheid up-to-date is. Zij maken zich dan ook weinig zorgen over de digitale veiligheid van hun werkgever. Zij geven zichzelf gemiddeld een 7,6 als rapportcijfer. Tegelijkertijd zijn ze bang dat hun baas een grotere kans loopt om het slachtoffer te worden van een cyberaanval dan een ander.

In vergelijking met ICT-medewerkers bij middelgrote en grote ondernemingen, maken ICT’ers bij kleine ondernemingen zich meer zorgen over de algemene digitale veiligheid in hun werksituatie. Hoewel zij hun kennisniveau hoog inschatten, geven zij zichzelf een lager rapportcijfer dan hun collega’s die voor grotere bedrijven werken: gemiddeld een 7,2.