Preventie door het mkb tegen digitale fraude

Transcriptie

1 Preventie door het mkb tegen digitale fraude

2 Colofon Door: Dian Smetsers (KvK) Jan van der Beek (KvK) September 2017 Kamer van Koophandel, Utrecht, september Bronvermelding is verplicht. Verveelvoudiging voor eigen of intern gebruik is toegestaan. Het Institute for Financial Crime (IFFC) heeft als klankbord gefungeerd bij het opstellen van de vragenlijst en het rapport. Contact: Pers: Trefwoorden: Fraude, digitale fraude, cybercrime, fraudepreventie, mkb, phishing, identiteitsfraude, faillissementsfraude, acquisitiefraude, datalekken. Smetsers, D. en Beek, J.E. van der (2017). Preventie door het mkb tegen digitale fraude. Kamer van Koophandel Preventie door het mkb tegen digitale fraude 2

3 Inhoud 1 Inleiding Resultaten Kennis van digitale fraude Informatie zoeken Preventie Gegevens controleren Risico s zien van digitale fraude Slachtoffer van digitale fraude Nadere analyse Conclusies...16 Preventie door het mkb tegen digitale fraude 3

4 Inleiding Toelichting op het onderzoek Fraude is opzettelijke misleiding om onrechtmatig voordeel te verkrijgen. Met het toenemend gebruik van het internet via allerlei apparaten wordt steeds meer duidelijk dat organisaties kwetsbaarder worden voor vormen van digitale fraude. Onder digitale fraude (of cybercrime) verstaan we alle criminele activiteiten waarbij gebruikgemaakt wordt van informatie en communicatietechnologie. Het middenen kleinbedrijf (mkb) is in zeer grote mate afhankelijk van ICT. Deze afhankelijkheid brengt risico s met zich mee en de impact van digitale fraude (of een cyberaanval) kan erg groot zijn. De afgelopen tijd werd duidelijk welke impact digitale aanvallen ook op de samenleving kunnen hebben. Zo zorgde een wereldwijde ransomaanval (juni 2017) ervoor dat een deel van de Rotterdamse haven werd platgelegd. Deze dreiging groeit doordat beroepscriminelen zich in steeds grotere mate richten op bedrijven, met als doel financieel gewin. Digitale fraude is derhalve een serieus probleem waar veel ondernemers in toenemende mate last van hebben. Dit onderzoek spitst zich toe op verschillende vormen van digitale fraude in het mkb. Op dit moment is er geen eenduidig beeld van de mate waarin bedrijven slachtoffer worden van digitale fraude. Ook is het inzicht in de maatregelen die mkb ers treffen om hun digitale weerbaarheid te vergroten beperkt. Er zijn verschillende onderzoeken gedaan naar vormen van digitale fraude maar een integraal beeld van deze digitale risico s voor het mkb ontbreekt. Doel van het onderzoek is dan ook om meer inzicht te krijgen in de digitale fraude problematiek bij mkbondernemers. In dit onderzoek is gekeken naar de meest voorkomende vormen van digitale fraude: acquisitiefraude, identiteitsfraude, faillissementsfraude, malware en ransomware. Maar ook het gebruik en misbruik van persoonsgegevens wordt een steeds belangrijker aspect van cybersecurity. Daarom is ook datalekken meegenomen bij delen van dit onderzoek. Rol van de KvK De Kamer van Koophandel (KvK) ziet het als haar taak om ondernemers voor te lichten over de risico s van fraude, de preventie en de maatregelen tegen fraude. Dit wordt gedaan door middel van actuele en betrouwbare content op alle beschikbare digitale kanalen: kvk.nl, ondernemersplein.nl, KvK Connect-app en social media. Ook is er persoonlijke voorlichting en advies via de telefoon, , chat en fysieke bijeenkomsten. Iedere onderneming is bij de KvK ingeschreven in het Handelsregister. De KvK legt dan vast wat de handelsnaam is, op welk adres het bedrijf is gevestigd en wie bijvoorbeeld tekenbevoegd en aansprakelijk is. Dit is van belang voor de rechtszekerheid in het handelsverkeer. Ondernemers kunnen in het Handelsregister controleren met wie zij zakendoen. Dit helpt fraude te voorkomen. Gezien de rol die de KvK op dit gebied vervult, is er in dit onderzoek ook gekeken naar de mate waarin mkb-ondernemers deze gegevens controleren en welke bronnen zij raadplegen. Het onderzoek Voor dit onderzoek is er een vragenlijst uitgezet in het KvK Ondernemerspanel dat bestaat uit ruim zzp ers en mkb-ondernemers. Zij worden ongeveer acht keer per jaar uitgenodigd om een vragenlijst in te vullen. Bij dit onderzoek zijn alleen midden- en kleinbedrijven (2 t/m 249 werkzame personen) meegenomen. Op 29 juni 2017 zijn alle mkb ers van het panel uitgenodigd om de vragenlijst in te vullen. Op 4 juli is er een herinnering verstuurd naar de mkb ers. In totaal vulden 525 mkb ers de vragenlijst in, een respons van 32%. De verdeling van de respondenten over de sectoren en grootteklassen is niet helemaal gelijkmatig. Toch kan met het aantal respondenten (525) met een betrouwbaarheid van 95% en een foutmarge van 5% uitspraken worden gedaan over de populatie. Dit betekent namelijk dat 95% van de hele mkb-populatie een antwoord zou geven binnen een foutmarge van 5% (bijvoorbeeld tussen de 20% en 30% bij een resultaat van 25%). Preventie door het mkb tegen digitale fraude 4

5 Hoofdstuk 2 Resultaten De resultaten van de enquête Meer dan de helft van de ondernemers zoekt informatie op over het risico van digitale fraude. Zij vinden dat de verantwoordelijkheid voor de digitale veiligheid van hun bedrijf voornamelijk bij henzelf ligt. 2.1 Kennis van digitale fraude Ondernemers hebben de meeste kennis over hoe zij kunnen voorkomen slachtoffer te worden van spookfacturen en acquisitiefraude. Meer dan de helft van de mkb ers geeft aan hier (heel) veel kennis te over te hebben. Gemiddeld geeft één derde van de mkb ers aan weinig of helemaal geen kennis te hebben over het voorkomen van identiteitsfraude, faillissementsfraude, ransomware en malware. Spookfacturen: facturen betalen die niet echt zijn Acquisitiefraude: betalen voor een advertentie die niet wordt geplaatst Malware: een virus op een computer (bijvoorbeeld een Trojaans paard) Faillissementsfraude: iemand maakt bewust afspraken die hij niet kan nakomen door een faillissement Ransomware: computer(s) worden geblokkeerd door een hacker voor losgeld Identiteitsfraude: fraudeur die handelt in naam van een ander bedrijf Identiteitsfraude: fraudeur die handelt in naam van uw bedrijf In welke mate beschikt u over voldoende kennis om te voorkomen dat u slachtoffer wordt van deze vormen van fraude? 18% 44% 32% 3%2% 13% 37% 34% 11% 5% 6% 27% 40% 20% 7% 5% 20% 44% 22% 9% 5% 19% 37% 29% 10% 5% 19% 47% 21% 9% 3% % 14% 39% 32% 12% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% n=525 Heel veel kennis Veel kennis Enigszins kennis Weinig kennis Helemaal geen kennis Preventie door het mkb tegen digitale fraude 5

6 2.2 Informatie zoeken 64% van de mkb ers zoekt indien nodig informatie op over het risico van digitale fraude voor het bedrijf en het voorkomen hiervan. Voor 14% geldt dat dit vast onderdeel is van het bedrijfsproces. 22% van de ondernemers zoekt hier geen informatie over op. Zoekt u weleens informatie op over het risico van digitale fraude en het voorkomen hiervan? Nee Ja, indien nodig Ja, maakt vast onderdeel uit van het bedrijfsproces 14% n=525 22% Ondernemers gebruiken veelal Google en andere informatieve websites (62%) om informatie te verkrijgen over digitale risico s en het voorkomen hiervan. Ook worden collega-ondernemers (45%) als informatiebron benut over dit onderwerp. 40% van de mkb ers raadpleegt de KvK of een belangen- of brancheorganisatie voor informatie over fraude(preventie). Ongeveer één derde van de ondernemers raadpleegt een financieel adviseur/accountant/boekhouder, internetserviceprovider of de Fraudehelpdesk. De politie en gemeenten worden het minst geraadpleegd door ondernemers (resp. 9% en 4%). 64% 10% 20% 30% 40% 50% 60% 70% Google en informatiewebsites Collega-ondernemers/concurrenten Kamer van Koophandel Belangen-/brancheorganisaties Financieel adviseur/ accountant/boekhouder Internetserviceproviders De Fraudehelpdesk Online fora De bank Vrienden en familie Belastingdienst Politie Gemeente Welke informatiebronnen raadpleegt u dan? Meerdere antwoorden mogelijk. 4% 9% 8% 22% 18% 18% 16% n=411 30% 35% 34% 40% 40% 45% 62% 10% 20% 30% 40% 50% 60% 70% Preventie door het mkb tegen digitale fraude 6

7 Mkb ers geven hoofdzakelijk aan het liefst informatie te willen ontvangen over het voorkomen van digitale fraude door middel van informatieve websites (67%). 21% zou hiervoor een kleinschalige bijeenkomst willen bijwonen en 17% een online webinar. 10% van de mkb ers heeft geen behoefte aan informatie over fraude. Via welke kanalen zou u informatie willen opdoen over het voorkomen van (digitale) fraude? Meerdere antwoorden mogelijk. Informatieve websites Het bijwonen van een kleinschalige bijeenkomst Online webinar 1 op 1 advies Online fora Ik wil geen informatie over fraude Het bijwonen van een event/congres 21% 17% 15% 14% 10% 5% 7% 67% 10% 20% 30% 40% 50% 60% 70% 80% n=525 Bij wie vindt u dat de verantwoordelijkheid voor de veiligheid in de digitale omgeving in uw bedrijf voornamelijk ligt? 2.3 Preventie Ondernemers vinden dat de verantwoordelijkheid voor de veiligheid in de digitale omgeving van het bedrijf voornamelijk bij henzelf ligt (62%). De gebruikers/werknemers (8%), de ICTafdeling (6%) en het management (5%) worden aanzienlijk minder aangemerkt als verantwoordelijk. Weinig ondernemers zien externe partijen zoals internetserviceproviders (10%) en leveranciers van hard- en software (6%) als verantwoordelijk. Micro-mkb ers (2 t/m 9 medewerkers) zien zichzelf vaker als verantwoordelijke voor de digitale veiligheid en mkb ers met meer dan negen medewerkers zien de ICT-afdeling vaker als verantwoordelijke. Bij mij als eigenaar van het bedrijf Internetserviceproviders De gebruiker/werknemers Leverancier hard- en software De ICT-afdeling Management van mijn bedrijf Website eigenaren 1 8% 6% 6% 5% 3% n=525 10% 62% 10% 20% 30% 40% 50% 60% 70% Preventie door het mkb tegen digitale fraude 7

8 Meer dan driekwart van de ondernemers heeft een virusscanner op alle bedrijfscomputers (88%), controleert facturen altijd goed (86%) en maakt regelmatig back-ups (86%). Ook hebben zij over het algemeen een firewall geïnstalleerd (79%) en staan de automatische updates van software aan (75%). Er blijft echter een deel van het mkb dat onvoldoende beschermd is tegen digitale fraude wegens gebrek aan basale maatregelen zoals bijvoorbeeld een virusscanner, firewall of het regelmatig updaten van software. Een virusscanner op alle bedrijfscomputers Facturen altijd goed controleren, ook de kleine lettertjes Regelmatig back-ups maken Een firewall op alle bedrijfscomputers Welke van de onderstaande maatregelen heeft u getroffen om digitale fraude te voorkomen? Meerdere antwoorden mogelijk. 79% 88% 86% 86% Een maatregel die minder vaak wordt getroffen, is controleren of bedrijven bestaan voordat er zaken mee wordt gedaan. Slechts 62% geeft aan dit te doen. In de volgende paragraaf vragen we dit specifieker aan ondernemers en geven aan dat het om klanten, leveranciers of samenwerkingspartners kan gaan. Dan zien we dat 79% wel eens gegevens controleert van de persoon of het bedrijf waarmee zij zakendoen. Automatische updates van software Wachtwoorden op alle bedrijfsapparaten Controleren of bedrijven bestaan voordat we zakendoen Instructies voor medewerkers De online reputatie van bedrijven controleren voordat we zakendoen Instellingen om cookies te blokkeren/uit te zetten Geen kopie van paspoort/rijbewijs op bedrijfscomputers 46% 45% 35% 29% 64% 62% 75% Instellingen om online advertenties te blokkeren/uit te zetten 28% Bestanden met vertrouwelijke gegevens worden versleuteld (encryptie) 23% VPN-verbindingen 23% Digitaal wachtwoordenkluisje 19% Tweestapsverificatie 18% 6% n=525 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Preventie door het mkb tegen digitale fraude 8

9 2.4 Gegevens controleren Het controleren van de bedrijfsgegevens kan een manier zijn om digitale fraude te voorkomen en veilig zaken te doen. Bedrijven kunnen namelijk worden opgelicht door mensen die niet bevoegd zijn voor het bedrijf waarmee men denkt zaken te doen. Aan mkb ers is daarom gevraagd of zij wel eens de gegevens controleren van personen of bedrijven waarmee zij zakendoen. Hieruit blijkt dat 79% deze gegevens controleert. Controleert u wel eens gegevens van de persoon of bedrijven waarmee u zakendoet? Dit kunnen bijvoorbeeld uw klanten, leveranciers of samenwerkingspartners zijn. Ondernemers die deze gegevens wel controleren doen dat met name bij nieuwe klanten (82%), nieuwe leveranciers (56%) en bij nieuwe samenwerkingspartners (47%). Ongeveer een kwart van de mkb ers controleert deze gegevens bij iedere overeenkomst die zij afsluiten. Ondernemers controleren in mindere mate periodiek de gegevens van bestaande klanten (20%) of bestaande leveranciers (13%). Ik ken ze al heel lang, ik weet daarom precies hoe het zit Het zijn bekenden uit mijn netwerk 18% Ik werk op basis van vertrouwen Ik weet niet waar/hoe ik dat moet doen Ik ken deze bedrijven via via Ik heb er een goed gevoel bij Waarom controleert u de gegevens van andere bedrijven niet? 3% 2 7% 16% 15% n=109 39% 10% 20% 30% 40% 50% Ja 79% Nee 21% n=525 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Wanneer controleert u deze bedrijfsgegevens? Meerdere antwoorden mogelijk. De 21% die deze gegevens niet controleren doen dat met name omdat zij de bedrijven waarmee zij zakendoen al lang kennen (39%) of omdat het bekenden zijn uit het netwerk (18%). Daarnaast geeft 16% aan deze gegevens niet te controleren omdat ze werken op basis van vertrouwen. Voor 15% komt dat doordat dat zij niet goed weten waar of hoe ze dat moeten doen. Nieuwe klanten Nieuwe leveranciers Nieuwe samenwerkingspartners Bij elke overeenkomst die ik afsluit Periodiek bij bestaande klanten Periodiek bij bestaande leveranciers Alleen bij een overeenkomst boven een bepaald bedrag Periodiek bij bestaande samenwerkingspartners 26% 20% 13% 12% 12% 47% 56% 82% 4% n=416 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Preventie door het mkb tegen digitale fraude 9

10 Over het algemeen controleren mkb ers deze gegevens bij de KvK in het Handelsregister (75%). Ook wordt er veel gebruikgemaakt van Google en andere informatiewebsites (69%). De helft van alle mkb ers controleert de gegevens bij collegaondernemers en een kwart doet dit bij commerciële informatiebrokers. Zij controleren dan met name wie de eigenaar is (80%), de adresgegevens (74%) of de historie van een bedrijf (66%). Ongeveer de helft van de mkb ers controleert ook de kredietwaardigheid van het bedrijf en wie er tekeningsbevoegd is. De algemene leverings- en betalingsvoorwaarden worden slechts door 35% van de ondernemers gecontroleerd. Kamer van Koophandel (Handelsregister) Google/informatiewebsite Collega-ondernemers Commerciële informatiebrokers (zoals bv. Company.info of Graydon) Wie de eigenaar is Adresgegevens Waar controleert u dat? Meerdere antwoorden mogelijk. 24% 10% 50% Wat zoekt u dan? 69% 75% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% n=416 Meerdere antwoorden mogelijk. 74% 80% Historie van een bedrijf 66% Kredietwaardigheid/financiële gegevens van het bedrijf Wie tekeningsbevoegd is 53% 50% Algemene leverings- en betalingsvoorwaarden 35% 6% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% n= Risico s zien van digitale fraude Ondernemers zien als mogelijk gevolg van digitale fraude met name de financiële schade voor het bedrijf (95%). Ook reputatieschade voor het bedrijf (59%) en privacy-schade voor het bedrijf en medewerkers (49%) worden vrij vaak genoemd. Privacy-schade of financiële schade voor derden wordt minder vaak als mogelijk gevolg van digitale fraude aangegeven (resp. 44% en 34%). 18% ziet faillissement van het bedrijf ook als mogelijk gevolg. Financiële schade voor bedrijf Reputatieschade voor bedrijf Privacyschade voor bedrijf en medewerkers Privacy-schade voor derden Financiële schade voor derden Faillissement van bedrijf Welke mogelijke gevolgen ziet u in het geval van digitale fraude? Meerdere antwoorden mogelijk. 3% n=525 18% 34% 44% 49% 59% 95% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Preventie door het mkb tegen digitale fraude 10

11 2.6 Slachtoffer van digitale fraude 39% van de respondenten heeft in het afgelopen jaar te maken gehad met vormen van digitale fraude. Hierbij hebben zij niet altijd schade opgelopen. De meest voorkomende digitale gevaren zijn: malware (15%), ransomware (8%), phishingmail (8%) en acquisitiefraude (7%). Datalekken en identiteitsfraude komen het minst vaak voor. Heeft uw bedrijf in het afgelopen jaar met een of meer van de onderstaande vormen van digitale fraude te maken gehad? U hoeft daarbij niet per se schade opgelopen te hebben. Nee 61% Er stond een virus op een bedrijfscomputer (malware, bijvoorbeeld een Trojaans paard) Een bedrijfscomputer is door een hacker geblokkeerd totdat er losgeld betaald zou worden (ransomware) Binnen mijn bedrijf is iemand via een gelokt naar een valse website waar om vertrouwelijke gegevens zijn achtergelaten (phishingmail) Er is betaald voor een advertentie die niet is geplaatst of nauwelijks werd verspreid (acquisitiefraude) Een bedrijf heeft goederen of diensten bij mij besteld met het bewuste doel deze niet te betalen in de wetenschap dat het bedrijf failliet is of zal gaan (faillissementsfraude) Er is een factuur betaald die niet echt was (spookfactuur) Fraudeur die handelt in naam van uw bedrijf (identiteitsfraude) Fraudeur die handelt in naam van een ander bedrijf (identiteitsfraude) 15% 8% 8% 7% 5% 5% 3% 2 Er zijn persoonsgegevens in handen van derden gevallen die geen toegang tot die gegevens zouden mogen hebben (datalekken) 1 5% n=525 10% 20% 30% 40% 50% 60% 70% Preventie door het mkb tegen digitale fraude 11

12 Hoe groot was uw financiële en materiële schade door deze fraudegevallen? Totaal Aantal zonder Gemiddelde Minimale Maximale schade schade schade schade Fraudeur die handelt in naam van uw bedrijf (identiteitsfraude) Er is betaald voor een advertentie die niet is geplaatst of nauwelijks werd verspreid (acquisitiefraude) Er is een factuur betaald die niet echt was (spookfactuur) Een bedrijfscomputer is door een hacker geblokkeerd tot dat er losgeld betaald zou worden (ransomware) Er stond een virus op een bedrijfscomputer (malware, bijvoorbeeld een Trojaans paard) Binnen mijn bedrijf is iemand via een gelokt naar een valse website waar om vertrouwelijke gegevens zijn achtergelaten (phishingmail) Er zijn persoonsgegevens in handen van derden gevallen die geen toegang tot die gegevens zouden mogen hebben (datalekken) Een bedrijf heeft goederen of diensten bij mij besteld met het bewuste doel deze niet te betalen in de wetenschap dat het bedrijf failliet is of zal gaan (faillissementsfraude) Fraudeur die handelt in naam van een ander bedrijf (identiteitsfraude) respondenten zijn slachtoffer geworden van digitale fraude, maar ze lopen niet altijd financiële schade op. In totaal is er in 57% van alle gevallen financiële schade geweest. Deze schade loopt uiteen van 40 tot in twee extreme gevallen. Zes ondernemers zijn financieel gedupeerd door identiteitsfraude waarbij een fraudeur onder de naam van het gedupeerde bedrijf handelde (gemiddeld schade). Daarnaast zijn zeven ondernemers slachtoffer geworden van een andere vorm van identiteitsfraude waarbij een fraudeur handelt in naam van een ander bedrijf (gemiddeld schade). 24 ondernemers kregen te maken met faillissementsfraude met gemiddeld schade. Slechts één ondernemer die hiermee te maken had heeft er geen schade aan over gehouden. In ongeveer de helft van alle gevallen hebben ondernemers schade overgehouden aan malware op de bedrijfscomputer(s). Ook heeft twee derde van de ondernemers die slachtoffer zijn geworden van ransomware daar schade aan over gehouden. De schade loopt uiteen van 50 tot (gemiddeld schade). Gemiddeld houden ondernemers de meeste schade over aan datalekken maar dat komt door twee ondernemers met een erg hoge schadepost. Van de zes ondernemers die hier mee te maken hebben gehad, hebben er twee schade aan over gehouden; en Preventie door het mkb tegen digitale fraude 12

13 Hoofdstuk 3 Nadere Analyse Inzoomen op sector en bedrijfsgrootte Digitale fraude komt voor in alle sectoren van het mkb. Een aantal sectoren springt er echter tussenuit. Dit hangt vaak samen met onder meer het kennisniveau. Sectoren In de meeste sectoren heeft ongeveer 40% van de mkb ers te maken gehad met vormen van digitale fraude. In verhouding krijgen de sectoren industrie (71%), financiële instellingen (50%), gezondheid (48%) en logistiek (47%) hier vaker mee te maken. Terwijl de sectoren ICT en media (28%) en cultuur, sport en recreatie (21%) hier aanzienlijk minder mee te maken krijgen. De meeste maatregelen tegen digitale fraude worden genomen in de sectoren ICT en media, industrie, financiële instellingen en zakelijke diensten. De sector ICT en media treft de meeste maatregelen en krijgt relatief gezien ook weinig te maken met digitale fraude. Opvallend zijn de sectoren gezondheid en logistiek die in verhouding vaker met digitale fraude te maken krijgen maar onder het gemiddelde zitten met het aantal maatregelen die zij treffen. De sectoren landen tuinbouw en de bouw nemen in verhouding de minste maatregelen. Zie matrix hiernaast. Matrix slachtoffer geworden en maatregelen getroffen Land-en tuinbouw 80% 70% 60% 5 6 7Horeca Bouw Overig 30% 10% Slachtoffer geworden Industrie Financiële Logistiek instelling Gezondheid Groothandel Zakelijke diensten Cultuur, sporten, recreactie ICT en media Preventie door het mkb tegen digitale fraude 13

14 ICT en media geven ook aan over de meeste kennis te beschikken als het gaat over digitale fraude. Ook industrie en financiële instellingen scoren hier bovengemiddeld. In de sectoren land- en tuinbouw, gezondheid, bouw en cultuur, sport en recreatie geven ondernemers aan de minste kennis te hebben over de verschillende vormen van fraude. In de matrix op de vorige pagina geeft de grootte van het rondje het gemiddelde kennisniveau van de sector aan. De sector ICT en media scoort het beste op kennis en preventieve maatregelen, en wordt relatief weinig slachtoffer van digitale fraude. De sector gezondheid scoort het laagst op kennis en onder het gemiddelde op preventie en wordt veel vaker slachtoffer. Bij het slachtofferschap springen ook de sectoren industrie en financiële instellingen er in negatieve zin uit, terwijl ze wel relatief veel kennis hebben en veel maatregelen nemen. De sector cultuur, sport en recreatie wordt het minst slachtoffer van digitale fraude, scoort vrijwel gemiddeld op preventie en beschikt over een relatief lage kennis. Sector Kennis Informatie zoeken Maatregelen getroffen Gegevens controleren Slachtoffer geworden ICT en media 26,2 100% 10,8 78% 28% Financiële instellingen 23,5 88% 8,8 94% 50% Industrie 22,7 87% 9,2 90% 71% Zakelijke diensten 21,9 79% 8,7 82% 31% Groothandel 21,5 74% 7,9 76% 42% Logistiek 21,4 90% 8 90% 47% Horeca 21,2 83% 7,5 91% 39% Bouw 20,6 65% 6,6 74% 37% Cultuur, sport en recreatie 20,4 71% 8,2 57% 21% Overig 20 78% 7,2 76% 32% Land- en tuinbouw 19,5 78% 6,2 67% 39% Gezondheid 19 81% 7,8 71% 48% Gemiddeld totaal 21,5 78% 8,1 79% 39% In bovenstaande tabel zijn de resultaten weergeven per sector. Kennis (over digitale fraude) staat voor de gemiddelde score van ondernemers op de kennisvragen met een schaal van 5 tot 35. Maatregelen getroffen is het gemiddeld aantal maatregelen die de ondernemers in die sector hebben getroffen (voor een overzicht van de maatregelen zie de grafiek op pagina 8). Fraude komt voor in alle sectoren van het mkb. Echter zien we dat een aantal sectoren er toch tussenuit springen als we kijken naar het risico op digitale fraude. Veelal is dit risico gelinieerd aan het kennisniveau en de maatregelen die zijn getroffen. Zoals bijvoorbeeld de sector gezondheid die laag scoort op kennis en preventie en vaker slachtoffer wordt. In mindere mate geldt dat ook voor de sector logistiek. De sectoren industrie en financiële instellingen worden ook vaak slachtoffer van digitale fraude, maar zij scoren wel bovengemiddeld op kennis en preventie. Mogelijk zijn deze sectoren extra interessant voor criminelen. Preventie door het mkb tegen digitale fraude 14

15 Bedrijfsgrootte Gekeken naar het onderscheid tussen micro-mkb (2 t/m 9 werkzame personen) en het grotere mkb (10 t/m 250 werkzame personen) dan zien we dat het micro-mkb minder vaak te maken heeft gehad met digitale fraude dan het grotere mkb: 34% van het micro-mkb heeft hier mee te maken gehad en bij de rest van het mkb is dat 54%. Relatief gezien nemen zij ook meer maatregelen dan het micro-mkb en geven aan meer kennis te hebben over verschillende digitale risico s. De verklaring hiervoor kan zijn dat het grotere mkb interessanter is voor criminelen omdat er gemiddeld meer geld omgaat dan in het het micro-mkb. Google en informatiewebsites Collega-ondernemers/concurrenten Kamer van Koophandel Belangen-/brancheorganisaties Financieel adviseur/accountant/boekhouder Internetserviceproviders De Fraudehelpdesk Online fora Welke informatiebronnen raadpleegt u dan? Meerdere antwoorden mogelijk. 27% 36% 33% 31% 31% 27% 20% 28% 44% 47% 44% 38% 45% 46% 62% 60% Het micro-mkb zoekt minder vaak naar informatie over digitale fraude dan het grotere mkb. Respectievelijk 24% en 15% zoekt nooit naar informatie. Gekeken naar welke informatiebronnen het mkb raadpleegt als zij wel naar informatie zoeken, zien we enkele verschillen tussen het micro-mkb en de rest van het mkb. Het micro-mkb raadpleegt namelijk vaker de KvK, de Fraudehelpdesk, de bank, de Belastingdienst en vrienden en familie. Het overige mkb raadpleegt daarentegen vaker bronnen zoals belangen- en brancheorganisaties, internetserviceproviders en online fora. Beide groepen gebruiken Google en andere informatieve websites het meest. De bank Vrienden en familie Belastingdienst Politie Gemeente 21% 10% 19% 19% 9% 8% 5% 1 7% 9% 10% 20% Micro-mkb (n=311) 61% 61% 30% 40% 50% 60% 70% Overig mkb (n=100) Preventie door het mkb tegen digitale fraude 15

16 Hoofdstuk 4 Over Conclusies Wat hebben we geleerd? 39% van de mkb ers heeft in het afgelopen jaar te maken gehad met vormen van digitale fraude. Op het gebied van preventieve maatregelen valt er nog wat te winnen bij het mkb. Eén derde van het mbk geeft aan weinig of helemaal geen kennis te hebben over het voorkomen van identiteitsfraude, faillissementsfraude, ransomware of malware. Ondernemers geven aan de meeste kennis te hebben over spookfacturen en acquisitiefraude. Over de overige vormen van digitale fraude geeft men aanzienlijk vaker aan weinig of helemaal geen kennis te hebben. 39% van de mkb ers heeft in het afgelopen jaar te maken gehad met vormen van digitale fraude. Malware komt het vaakst voor, gevolgd door ransomware, phishingmails en acquisitiefraude. Ondernemers geven aan de minste kennis te hebben over identiteitsfraude waarbij een fraudeur handelt in naam van jouw bedrijf. Deze vorm van digitale fraude komt relatief gezien ook weinig voor, maar levert gemiddeld wel meer schade op. Daarnaast geeft 27% van de mkb ers aan weinig of geen kennis te hebben over malware terwijl deze vorm van digitale fraude het vaakst voorkomt. 39% geeft aan weinig of geen kennis te hebben over ransomware terwijl dit relatief vaak voorkomt en men er vaak schade door lijdt. de risico s van digitale fraude en het voorkomen hiervan zoekt ongeveer driekwart van de ondernemers informatie op. Het grootste deel doet dat alleen als het nodig is. Dit doen zij vooral online via informatieve websites, de KvK en belangen- en brancheorganisaties. Over het algemeen vinden de mkb ers dat zij zelf verantwoordelijk zijn voor de digitale veiligheid van hun bedrijf. De meest voorkomende maatregelen die zij treffen zijn een virusscanner op alle bedrijfscomputers, facturen altijd goed controleren en regelmatig back-ups maken. Er blijft echter een deel van het mkb dat onvoldoende beschermd is tegen digitale fraude. Zo heeft 12% van het mkb geen virusscanner op alle bedrijfscomputers, 21% heeft geen firewall geïnstalleerd en een kwart van de ondernemers heeft automatische updates niet aan staan. Deze mkb ers hebben gaten in de digitale beveiliging. Bedrijven kunnen worden opgelicht door mensen die niet bevoegd zijn voor het bedrijf waarmee men denkt zaken te doen. Driekwart van de mkb ers controleert daarom weleens gegevens van personen of bedrijven waarmee zij zakendoen, met name bij nieuwe klanten, leveranciers of samenwerkingspartners. Dit gebeurt dan via de KvK of het internet. De ondernemers die dit niet doen, geven daarvoor als reden dat ze zakendoen met bekenden uit hun netwerk of dat ze werken op basis van vertrouwen. Preventie door het mkb tegen digitale fraude 16

17 Op het gebied van preventieve maatregelen valt er nog wat te winnen bij het mkb. De sectoren industrie, financiële instellingen, gezondheid en logistiek krijgen in verhouding vaker te maken met vormen van digitale fraude. De industrie en financiële instellingen nemen meer maatregelen dan andere sectoren, maar worden desondanks toch relatief vaak slachtoffer. De sectoren gezondheid en logistiek nemen minder dan gemiddeld maatregelen, terwijl uit het onderzoek blijkt dat ze meer risico lopen, omdat zij vaker dan andere sectoren te maken krijgen met vormen van digitale fraude. De KvK gebruikt de uitkomsten van het onderzoek om haar dienstverlening aan het mkb verder te verbeteren. Preventie door het mkb tegen digitale fraude 17

18