Op de tweede dag van de NAVO-top in Den Haag staat digitale veiligheid hoog op de agenda. Het vormt een groeiende zorg voor iedereen. Nederlandse bedrijven worden steeds vaker geconfronteerd met de dreiging van cyberaanvallen. Uit een eerder rapport van ABN AMRO en onderzoeksbureau MWM2 bleek dat één op de vijf bedrijven in Nederland in 2024 schade heeft geleden door een cyberaanval. De analisten wezen ook op de gebrekkige paraatheid van bedrijven om te voldoen aan de nieuwe normen voor cyberweerbaarheid, zoals de Europese NIS2-richtlijn en de Cyber Resilience Act.
61 procent van bedrijven maakt gebruik van tweestapsverificatie
Volgens een nieuwe analyse van het Centraal Bureau voor de Statistiek (CBS) maakte in 2024 61 procent van de bedrijven gebruik van tweestapsverificatie (2FA), tegenover 26 procent in 2021. Bovendien had bijna drie kwart van de bedrijven een wachtwoordbeleid geïmplementeerd. Deze cijfers hebben betrekking op klant- en medewerkersaccounts.
2FA en wachtwoordbeleid zijn twee van de meest voorkomende manieren om de beveiliging van accounts te versterken. Bij 2FA moet je, naast het invoeren van je wachtwoord, ook een eenmalige code invoeren om toegang te krijgen tot het account. Wellicht heb je dit zelf al eens ingesteld bij je persoonlijke accounts. Het wachtwoordbeleid stelt eisen aan het aanmaken van wachtwoorden, zoals een minimumaantal tekens, cijfers en speciale tekens.
Kijk ook: Zorgwekkend: cyberweerbaarheid bedrijfsleven blijft achter bij dreigingsniveau
Verschillende toepassingen van tweestapverificatie
Hoewel het gebruik van zowel 2FA als een wachtwoordbeleid de afgelopen jaren sterk is toegenomen, verschilt de adoptie aanzienlijk. Grote bedrijven (door het CBS gedefinieerd als bedrijven met meer dan 250 werknemers) gebruiken vaker 2FA dan kleinere bedrijven. Volgens de analisten is dezelfde trend zichtbaar bij het doorvoeren van een wachtwoordbeleid.
Het grootste voordeel van tweestapsverificatie is dat het een extra beveiligingslaag toevoegt tegen cybercriminelen en zo voorkomt dat ze ongeautoriseerde toegang tot een account krijgen. Hierdoor wordt het voor criminelen veel moeilijker om een account over te nemen, zelfs als ze het wachtwoord in handen hebben gekregen. 2FA is daarom een van de meest gebruikte beveiligingsmaatregelen. Toch is het gebruik ervan in verschillende sectoren anders. Met name bedrijven in de informatie- en communicatiesector (ICT) maken het vaakst gebruik van tweestapsverificatie.
De dreiging van cyberaanvallen blijft aanwezig
De CBS-onderzoekers benadrukken aan het einde van hun rapport dat het aantal incidenten afneemt naarmate meer maatregelen worden genomen. Het CBS meldt dat in 2017 ongeveer 40 procent van de grootste bedrijven aangaf het afgelopen jaar het slachtoffer te zijn geweest van een aanval. De cijfers van vorig jaar laten zien dat dit is gedaald naar 16 procent.
Toch blijft de dreiging van cyberaanvallen bestaan, onder meer door geopolitieke spanningen en de opkomst van AI en deepfakes. Russische hackers staan, aldus de Militaire Inlichtingen- en Veiligheidsdienst (MIVD), bekend om hun activiteiten. De MIVD ontdekte een Russische aanval op de digitale systemen van een Nederlandse overheidsinstelling, de eerste sabotageactie van dit soort.
Daarnaast zijn deze hackers actief met het in kaart brengen van kritieke infrastructuren, zoals onderzeese kabels, en richten zij zich op websites van politieke partijen en openbaarvervoerbedrijven. De MIVD merkt op dat Nederland de komende jaren een belangrijk doelwit zal blijven.
Deze aanvallen hebben enorme economische gevolgen. Experts voorspellen dat de wereldwijde economische schade door cybercriminaliteit dit jaar zal oplopen tot 10,5 biljoen dollar per jaar – tien jaar geleden was dat nog 3 biljoen dollar. Binnen Europa is de publieke sector het grootste doelwit en is verantwoordelijk voor 20 procent van alle aanvallen, aldus het Agentschap van de Europese Unie voor Cyberbeveiliging.
Lees ook: NAVO-top en cyberveiligheid: 'Dit zou ook het bedrijfsleven aan het denken moeten zetten'
Handhaving van regelgeving
Als reactie op de toename van cyberaanvallen werkt de EU aan een reeks richtlijnen voor bedrijven en consumenten. De richtlijnen worden vervolgens door de lidstaten omgezet in nationale wetgeving. Sinds de goedkeuring van de Network and Information Security (NIS2)-richtlijn gelden er voor bedrijven nieuwe beveiligingsnormen. De NIS2 is bedoeld om de beveiliging van essentiële diensten, waaronder energie, banken en zorg, te verbeteren. De richtlijn stelt strengere beveiligingseisen en verplicht bedrijven incidenten te melden. Zo introduceert de richtlijn de zorgplicht, die organisaties verplicht risicoanalyses uit te voeren en op basis daarvan maatregelen te treffen. Het wetsvoorstel voor de implementatie van de NIS2-richtlijn is aangeboden aan de Tweede Kamer.
Daarnaast is vorig jaar de Cyber Resilience Act (CRA) van kracht geworden, die strenge eisen stelt aan de cybersecurity van producten die op de EU-markt komen. De CRA geldt voor apparaten zoals speakers, camera's, besturingssystemen en spelcomputers, en verplicht fabrikanten en verkopers om gedurende de hele levenscyclus van hun product de cyberbeveiliging te waarborgen. Zo moet bijvoorbeeld een apparaat met camera en microfoon voorzien zijn van encryptie en authenticatie, en moet het minimaal vijf jaar beveiligingsupdates ontvangen. Uiterlijk in 2027 moeten alle producten aan de CRA voldoen.
Bron: Innovation Origins
Luister ook: Hoe word ik beter beschermd tegen hackers en phishing?
Ontvang elke week het beste van BusinessWise in je mailbox. Schrijf je hier nu gratis in:
