Kleine en middelgrote ondernemingen (kmo’s) staan opnieuw volop in de kijker bij cybercriminelen. Voor hen kan een aanval desastreuze gevolgen hebben: tijdelijke stilstand, blijvende schade of zelfs een faillissement. Daarnaast komen ook OT-omgevingen bij grote organisaties steeds vaker in het vizier, met risico’s die rechtstreeks raken aan hun bedrijfscontinuïteit.
Het is niet de eerste keer dat kleine bedrijven bij cybercriminelen in de spotlight staan. Ruim tien jaar geleden, in de beginfase van ransomware, waren hackers opportunistisch en richtten ze zich op slachtoffers die het minst in staat waren om zich te verdedigen. De geldsommen die ze eisten, waren natuurlijk niet te vergelijken met het gemiddelde prijskaartje dat vandaag aan ransomware hangt. Maar het waren gemakkelijke prooien die sneller overgingen tot betaling, omdat ze het zich niet konden veroorloven om gedurende een lange periode stil te liggen.
De opkomst van Ransomware-as-a-Service (RaaS) veranderde het landschap. Plots konden ook minder ervaren spelers zich laten gelden in de wereld van cybercrime. Ondertussen waren andere organisaties zo professioneel geworden dat ze soms zelfs een ‘klantendienst’ opzetten om vragen van hun slachtoffers te beantwoorden. Met steeds geavanceerdere tools verschoven ze hun vizier naar grotere vissen in de zee en gingen ze ook hogere geldsommen eisen.
Nieuwe focus op kmo’s
In 2025 zien we dat de slinger andermaal terugzwaait en dat kleinere organisaties plots weer vaker op de radar van cybercriminelen staan. Volgens de Security Navigator van Orange Cyberdefense zijn ruim twee op drie aanvallen gericht op kmo’s. In vergelijking met een jaar eerder zagen kleine bedrijven het aantal aanvallen met 53% toenemen. Bij middelgrote bedrijven is dat 52%. Grotere organisaties zagen het aantal cyberaanvallen dan weer met 9% afnemen. Helaas zijn de gevolgen niet te onderschatten: volgens studies zou tot 60% van de getroffen bedrijven het risico lopen om na een aanval niet langer dan zes maanden te overleven.
Waarom kmo’s vandaag terug lucratieve doelwitten zijn? Net zoals vroeger zijn ze vaak nog minder goed beveiligd, waardoor het gemakkelijker is om ransomware te verspreiden. Cybercriminelen lopen ook een minder groot risico om te worden opgemerkt in de systemen van een klein bedrijf. Dankzij nieuwe technologieën met AI kunnen ze bovendien veel meer slachtoffers viseren.
Kmo als Trojaans paard
En er is nog een reden waarom kmo’s interessant zijn voor cybercriminelen. Bedrijfsleiders van veel kmo’s werken toe naar een overname door een andere organisatie. Cyberaanvallers verschuilen zich soms jarenlang in de systemen van zo’n bedrijf, waardoor ze bij een overname plots toegang krijgen tot het netwerk van een veel grotere organisatie. In dat scenario is de kmo een Trojaans paard dat cybercriminelen binnen de muren van een veel groter doelwit brengt. Kmo’s moeten daarom dringend investeren in basisbeveiliging. Denk aan regelmatige back-ups, het opleiden van medewerkers en endpointsecurity.
Meer cyberaanvallen treffen OT-omgevingen
Tot slot lopen ook OT-systemen een steeds hoger risico om slachtoffer te worden van een cyberaanval. Ric Derbyshire, Principal Security Researcher bij Orange Cyberdefense, bracht de incidenten in dit minder bekende domein van cybercrime in kaart. Hij maakte een onderscheid tussen cyberaanvallen die vanuit IT naar de OT-omgeving doordringen, en incidenten waarbij OT het directe doelwit is.
Uit een analyse blijkt dat de meeste aanvallen op OT-omgevingen een bijproduct zijn van een aanval op IT. In liefst 81% van de gedocumenteerde incidenten was IT het doel van de hackers. Omdat OT afhankelijk is van de IT-infrastructuur, beslissen getroffen bedrijven vaak om hun OT-systemen uit voorzorg stil te leggen. Een minderheid (16%) van de cyberaanvallen is effectief gericht op OT. Hackers maken in dat geval gebruik van doelgerichte technieken. De impact kan enorm zijn: in 46% van de incidenten slaagden de criminelen erin om de fysieke processen te manipuleren.
In vergelijking met IT-systemen is het voorlopig nog moeilijk om cyberaanvallen op OT-omgevingen in geldwinst om te zetten. Als een productieomgeving al volledig lam ligt, heeft het slachtoffer geen prikkel meer om tot betaling over te gaan. OT-omgevingen zijn bovendien zo divers dat het ook niet eenvoudig is om een ransomware-aanpak zoals bij IT breed toe te passen. Daarom blijft IT voor de meeste cybercriminelen de prioriteit. Maar als we naar de potentiële impact van een OT-incident kijken, dan mogen we er zeker ook niet blind voor zijn. Soms duurt het weken tot maanden om te herstellen nadat de productie is onderbroken.
Vijf voor twaalf voor ieder bedrijf
Het is vijf voor twaalf voor iedereen. Kmo’s zijn op dit moment een te gemakkelijk doelwit. Dat vormt niet alleen een risico voor hun eigen omgeving, maar ook voor potentiële kopers bij een toekomstige overname. Kijk bij het uitvoeren van due diligence bij een overname daarom altijd goed naar cybersecurity. Het zou immers zomaar kunnen dat de OT-omgeving van een multinational gehackt wordt door RaaS die geïntroduceerd werd door de kmo. Eén ding mag duidelijk zijn: de grootte van een bedrijf doet er voor hackers niet meer toe. Iedereen, zowel grote als kleine organisaties, moeten cybersecurity meer dan ooit ernstig nemen.