Twaalf procent van Vlaamse bedrijven werd in 2021 getroffen door cyberaanval

In 2021 kreeg 11,8 procent van de Vlaamse bedrijven te maken met een cyberaanval. Tot die conclusie komt het Departement Economie Wetenschap & Innovatie van de Vlaamse overheid op basis van een eerste nulmeting.

De Vlaamse minister van Economie en Innovatie, Hilde Crevits, liet deze nulmeting uitvoeren om te kijken hoe volwassen de cybersecurity van Vlaamse bedrijven is. Volgens het departement krijgen grote bedrijven het vaakst te maken met cyberaanvallen, maar zijn de gevolgen van zo'n aanval groter bij kleinere ondernemingen, omdat die vaak minder goed beschermd zijn.

Van alle kleine en middelgrote bedrijven kreeg 40 procent in 2021 te maken met onbruikbare ict-systemen wegens bijvoorbeeld een hack of kwaadaardige software. Bij een vijfde van deze kmo's gingen bedrijfsgegevens verloren en meer dan tien procent van de kmo’s kreeg te maken met diefstal van gegevens.

De minister zegt dat vooral kleine ondernemingen zich onvoldoende wapenen tegen dit soort aanvallen. "Opdat onze bedrijven zich beter en meer zouden beschermen tegen cybercriminaliteit, hebben we beslist om enkele subsidievoorwaarden aan te passen. Ik roep iedereen op daar nuttig gebruik van te maken", zegt de minister. Het gaat hier om een subsidie voor kmo's die sterk afhankelijk zijn van it-systemen. Deze bedrijven krijgen dan advies en begeleiding van cybersecuritydienstverleners.

Uit het onderzoek blijkt dat een meerderheid van 94,2 procent van de Vlaamse bedrijven verschillende maatregelen neemt ter bescherming, maar dit blijft beperkt tot enkele basismaatregelen. Volgens de overheid zijn die onvoldoende, gelet op 'het toegenomen aantal cyberrisico's'.

Reacties (27)

svennd 9 februari 2022 10:04

De barometer & methode is openbaar beschikbaar, en duid wel een beetje het media bericht : https://www.vlaio.be/nl/media/1941

Dasprive @svennd • 9 februari 2022 10:24

Zo definieren ze cyber aanval: Een
cyberaanval is een kwaadwillige inbreuk op de veiligheidssystemen van een onderneming met
als motief operationele of computersystemen onklaar te maken, persoonlijke of confidentiële
gegevens te los te weken of een losgeldbetaling te verkrijgen. Cyberaanvallen zijn er in diverse
gradaties, gaande van phishing (frauduleuze berichten) of malware (kwaadaardige software),
tot hacking en DDoS (denial of service) waarbij netwerksystemen worden geïnfiltreerd of zelfs
vergrendeld.

Phishing zit er dus ook in, en dan kan ik die 12% al amper serieus nemen. Neem daarbij dat het hele onderzoek is gestoeld op vragenlijsten en telefonische opvolging, en je moet de exacte cijfers toch serieus met een korrel zout nemen.

svennd @Dasprive • 9 februari 2022 10:26

inderdaad, één van de betere quotes :

69% heeft een sterke paswoord authenticatie

Daoka @svennd • 9 februari 2022 10:54

Ik verwacht zeer zeker dat een gedeelte gelogen heeft omdat hij/zij zich zou schamen voor de waarheid. Maar ik denk ook wel dat bepaalde mensen niet per definitie weten wat een sterk wachtwoord is. Die zullen misschien wel denken van "mijn wachtwoord is 7 of 8 letters lang dus veilig" en dus niet denken aan hoofdletters, leestekens. Dus als de vraag verkeerd gevraagd wordt zie ik hier ook wel verkeerde antwoorden uit komen.

svennd @Daoka • 9 februari 2022 11:08

Absoluut ! Het is ook niet eenvoudig om te bepalen of een paswoord sterk is of niet, maar vragen aan de gebruiker is sowieso een foute manier. De meeste gebruikers vinden hun paswoord sterk, ondanks dat ze ééntje uit de top 100 al jaar en dag hergebruiken.

Daoka @svennd • 9 februari 2022 11:34

Maar hoe zou je het anders willen doen? Online enquête en vul hier uw wachtwoord in zodat we kunnen bepalen of dit sterk is? Ik verwacht dat je dan een nog oneerlijke antwoord krijgt. Random knoppen indrukken bijvoorbeeld.

Bij elke bedrijf/medewerker langs gaan om te vragen of ze mogen meekijken/invullen van de wachtwoord? Ik zie genoeg mensen al de middelvinger opsteken.

Tenzij jij iets beters weet lijkt mij gewoon vragen het beste. Hooguit zou je het kunnen uitleggen wat een sterk wachtwoord is. Maar verder is het hopen op het beste. Net als bij de meeste enquêtes kan men gewoon liegen uit schaamte, kunnen bepaalde vragen zou dom klinken dat men het niet serieus neemt en dus maar de grappige antwoord kiest, of gewoon stoer wil doen.

Verwijderd @Daoka • 9 februari 2022 15:57

Maar hoe zou je het anders willen doen? Online enquête en vul hier uw wachtwoord in zodat we kunnen bepalen of dit sterk is? Ik verwacht dat je dan een nog oneerlijke antwoord krijgt. Random knoppen indrukken bijvoorbeeld.

Verplichten van MFA mitigeert al grotendeels het risico van zwakke wachtwoorden.

Daoka @Verwijderd • 9 februari 2022 16:32

Dat is het oplossen van de wachtwoord probleem. Dit is geen betere manier om de enquête te doen. En daar ging de reactie over. Hoe zou je deze informatie (of iemand een veilige wachtwoord gebruikt) kunnen verkrijgen zonder het direct te vragen aan de gebruiker. Ja soms zou je het aan de systeembeheerder kunnen vragen welke eisen er zijn voor wachtwoorden maar niet alle bedrijven zijn groot genoeg om een domaincontroller te hebben of wanneer dit te laag is ingesteld hoeft dit nog steeds niet te betekenen dat de gebruiker dus een echt zwak wachtwoord heeft. De gebruiker heeft dus de enigste die dit echt kan beantwoorden. En dan maar hopen dat er goed uitgelegd is wat een sterk wachtwoord is en hopen dat de gebruiker niet liegt uit bijvoorbeeld schaamte.

svennd @Daoka • 9 februari 2022 16:49

De vraagstelling is gewoon slecht. Je vraagt niet of het wachtwoord veilig is, je vraagt of ze 2FA gebruiken, welke verplichtingen er staan op wachtwoorden ect.... Mogelijks denken bedrijven dat windows het wel beter weet, en dus "complex paswoorden" = veilige paswoorden zijn. Want wees nu eerlijk : 1 hoofdletter speciaal teken en getal, dat is toch wel een complex wachtwoord ?
Passwoord1!

Daoka @svennd • 9 februari 2022 17:27

Ik ben alleen bang dat voor veel mensen de verplichtingen niet bekend zijn als dit door andere beheerd worden. Ook zijn er eenmansbedrijven / kleine bedrijven die geen domain controller hebben en dus geen eisen hebben. Maar zoals je zelf al zegt. Eisen van een hoofdletter, cijfer en leesteken hoeft nog geen veilig wachtwoord te zijn. Maar het omgekeerde kan ook waar zijn. Geen/lage eisen zal ook niet altijd een onveilig wachtwoord zijn. Maar veiligheid kan dus ook verschillen per situatie. Iemand die alleen voorvzijn eigen bedrijf een voorraad bij houdt hoeft natuurlijk niet direct 2fa te hebben.

blackbaby @Daoka • 9 februari 2022 16:44

Ze gaan in het artikel helaas niet in detail op over de meetmethode, plus, denk ik dat ze de tekst wat gevulgariseerd hebben voor de leesbaarheid. 'Sterke authenticatie' heeft bijvoorbeeld wel vaste spelregels die kunnen worden gechecked.

Indien ze letterlijk 'sterke paswoord authenticatie' bedoelen, dan wil ik wel eens weten hoe zij die definitie hebben uitgewerkt.. want de sterkte van een wachtwoord is altijd een afweging van cardinaliteit van het paswoord in relatie met de snelheid waarmee de huidige technologie zulk paswoord kan raden.

[Reactie gewijzigd door blackbaby op 1 augustus 2024 20:59]

mjtdevries @Daoka • 9 februari 2022 18:46

Maar ik denk ook wel dat bepaalde mensen niet per definitie weten wat een sterk wachtwoord is. Die zullen misschien wel denken van "mijn wachtwoord is 7 of 8 letters lang dus veilig" en dus niet denken aan hoofdletters, leestekens.

Jij weet het klaarblijkelijk ook niet, want de gedachte dat je hoofdletters en leestekens etc moet gebruiken is ontzettend achterhaald.
Lengte en MFA zijn veel belangrijker.

Daoka @mjtdevries • 9 februari 2022 20:35

Het was meer even neerzetten waar mensen de fout in zouden kunnen gaan en geen complete uitleg hoe het wel moet. Al had ik inderdaad lengte had ik er bij kunnen zetten. Maar de commentaar ging over een sterk wachtwoord. MFA is geen wachtwoord maar account beveiliging.

Yoshi @Dasprive • 9 februari 2022 10:42

bwoa, ik zie ook ddos'en staan, die gebeuren quasi maandelijks bij ons. Gezien het feit dat je dat ook gewoon kan kopen ook niet zo vreemd. Nu anderzijds, ik kan me voorstellen dat een KMO met een oververwerkte IT"er en een te klein ICT budget de verbindingsproblemen mss ook snel op een DDoS steekt

.

Phissing is wel degelijk dagelijkse realiteit in een bedrijf met tientallen werknemers, dat is nu eenmaal gemakkelijk.

Eigenlijk, als DDoS er Phising meegetelt worden vind ik 12% niet eens veel.

En ook, telt een DDoS op bv Belnet mee? is dat dan alleen op Belnet of ook op de organisaties die daarvan gebruik maken? enz enz.

svennd @Yoshi • 9 februari 2022 11:12

Het enige wat we kunnen opmaken is dat 88% niet weet wat phishing is, of geen e-mail adres hebben

Overigens denk ik dat DDoS bij kleinere bedrijven best wel meevalt, ik denk dat het gevaar voor malware een pak groter ligt.

litebyte @Dasprive • 9 februari 2022 11:11

Ervan uitgaande dat een groot deel van de (kleinere) ondernemers een wordpress website runt zal het percentage met deze definitie vele malen hoger zijn.

Gebruiker76 9 februari 2022 09:17

Wat verstaan we precies onder een cyberaanval? Als portscans, bruteforce login pogingen en ddos attacks onder de noemer ‘cyberaanval’ vallen, gok ik meer op 95% van de bedrijven ipv 11,8%

CAPSLOCK2000

Beveiliging en antivirus
Cybercrime
België

@Gebruiker76 • 9 februari 2022 10:26

Wat verstaan we precies onder een cyberaanval? Als portscans, bruteforce login pogingen en ddos attacks onder de noemer ‘cyberaanval’ vallen, gok ik meer op 95% van de bedrijven ipv 11,8%

Ik heb het oorspronkelijke rapport er maar eens bij gepakt en daar het volgende stuk uit gehaald. Heel kort door de bocht: het telt als er iets kapot of verloren gaat zoals een systeem, applicatie of document.

Excuses voor het lange citaat:

Van de geviseerde bedrijven geeft 41,9% aan dat ze als gevolg van een cyberaanval het afgelopen
jaar geconfronteerd werden met de onbruikbaarheid van ICT-systemen, bijvoorbeeld door
hacking, kwaadwillige vergrendeling of DDoS-aanval. Dit is in bijzondere mate het geval voor
kleine (60,0%) en microbedrijven (38,3%), voor bedrijven actief in accommodatie en maaltijden
(76,9%), informatie en communicatie (57,1%), nutsector (55,6%) en bouwnijverheid (53,4%).
25Minder prevalent is de onbruikbaarheid van OT-systemen, zoals machines, gebouwen of
andere infrastructuur (10,0%). Vooral bedrijven actief in onroerend goed, vrije beroepen en
wetenschappelijke en technische activiteiten (18,3%) blijken hier kwetsbaar, net zoals bedrijven
in administratieve en ondersteunende diensten (16,5%) en groot- en detailhandel (14,8%). De
maakindustrie (8,7%) scoort hier relatief goed.
Ongeveer een kwart (23,5%) van de bedrijven kreeg te maken met de vernietiging of het
onbruikbaar maken van bedrijfsgegevens, bijvoorbeeld door infectie van kwaadaardige software
of ongeoorloofde toegang. Ook hier ervoeren kleine en microbedrijven de grootste impact van
een cyberaanval. In verhouding tot andere sectoren kregen de nutsector (71,3%), bedrijven
actief in accommodatie en maaltijden (56,7%) en de bouwnijverheid (48,9%) opmerkelijk vaker
met vernietiging van bedrijfsgegevens te maken.
Tot slot kreeg 13,3% van de bedrijven te kampen met diefstal van (confidentiële) bedrijfsgegevens,
bijvoorbeeld door infectie van kwaadaardige software of phishingberichten. Vooral bedrijven
actief in informatie en communicatie (30,4%), accommodatie en maaltijden (20,2%) en de
bouwnijverheid (19,9%) werden het meeste getroffen.

uit CS Barometer.

Dit geeft volgens mij een goede indruk van wat voor activiteit het om gaat. Verschillen een interpretatie tussen organisaties en personen zal wel flink verschillen. 100 virusmails waar niemand intrapt worden heel anders ervaren dan eentje die een systeem wel weet te besmetten. IT is sowieso een vakgebied van veel onverklaarde problemen die nooit worden opgelost of uitgezocht of die met een herinstallatie verdwijnen. Achteraf moet je maar geloven dat het wel of geen aanval was.

ColdRain @Gebruiker76 • 9 februari 2022 09:23

Hier, KMO met 175 werknemers, worden we 24x7 aangevallen. Dat zal elders niet anders zijn.
Is het dan zo dat 11.8% van dergelijke aanvallen op bedrijven succesvol zijn? Dat lijkt me erg veel.

Flupkees @ColdRain • 9 februari 2022 09:48

Dat is niet de manier om dat percentage te interpreteren. De juiste interpretatie lijkt me:
Bij 11.8% van de bedrijven in België is er in 2021 minstens 1 succesvolle aanval geweest op hun systemen, waarbij één of meerdere ict-systemen onbruikbaar werden als gevolg.

Bij deze statistieken lijkt het niet relevant hoe vaak een bedrijf/organisatie is aangevallen, al zal er vast een correlatie zijn.

kodak

Cybercrime
Beveiliging en antivirus

@Flupkees • 9 februari 2022 10:24

Het niet beschikbaar zijn, diefstal enz hebben percentages binnen die 11,8%. Die percentages kunnen overlap hebben, bijvoorbeeld een aanval met eerst diefstal, dan onbruikbaar maken gegevens, dan uitval van bedrijfsprocessen.
De 11,8% geeft niet aan of het allemaal succesvolle aanvallen waren. Het belangrijkste staat helaas niet in het bericht, wat precies een cyberaanval is en hoeveel bedrijven in staat zijn dat te herkennen. Poging tot phishing of brute force aanvallen niet meetellen kan al een enorm verschil geven in de statistieken.

svennd @ColdRain • 9 februari 2022 09:59

Grote bedrijven (26,8%) zijn het vaakst slachtoffer hiervan, ook middelgrote
bedrijven (19,2%) worden bovengemiddeld getroffen. Dit in tegenstelling tot kleine (12,3%) en
microbedrijven (8,8%) die in iets minder mate worden geviseerd door cybercriminelen.

Met andere woorden het getal ligt veel hoger, kleine en microbedrijven gaan het vaak gewoon niet melden. (of zelfs detecteren)

gorgi_19 @svennd • 9 februari 2022 10:36

Alle bedrijven minder dan 5 werknemers waren al uitgesloten. Het onderzoek is niet gedaan op basis van melding, maar op basis van vrijwillige deelname aan een vragenlijst.

In totaal zijn 14.274 bedrijven aangeschreven, ze hebben in totaal 1.532 bruikbare antwoorden gekregen.
278 in de categorie micro (5-9 werknemers) en 571 klein (tot 50 werknemers).

Aristo @Gebruiker76 • 9 februari 2022 09:20

Staat in het artikel:

Van alle kleine en middelgrote bedrijven kreeg 40 procent in 2021 te maken met onbruikbare ict-systemen wegens bijvoorbeeld een hack of kwaadaardige software.

kodak

Cybercrime
Beveiliging en antivirus

@Aristo • 9 februari 2022 10:08

Dat gaat om de 40% met onbruikbare systemen. Dat wil zeggen dat een cyberaanval in het onderzoek dus een hack of kwaadaardige software kan zijn, maar maakt nog niet duidelijk of ze er meer onder verstaan.

DefaultError 9 februari 2022 09:32

@Aristo Ik zeg 100% zo gauw je verbinding maakt met het internet. Een nieuw apparaat wordt bekend bij de snode plannenmakers en op de openstaande poorten gaan de aanval pogingen omhoog. Toch goed van de overheid in België om de gevaren te willen beperken middels subsidie en kunde. We zijn er met z’n allen van afhankelijk.

Snowfall 9 februari 2022 14:52

Ik vind 12 procent best hoog eerlijk gezegd.

Ik bedoel stel België heeft 1 miljoen bedrijven dan zijn er dus 120.000 bedrijven die z’n cyber aanval te verduren hebben gehad .

Had eigenlijk niet verwacht dat dit zo hoog zou zijn.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (27)

Sorteer op:

Weergave: