Veel eigenaren van kleine bedrijven denken nog steeds dat ransomware-aanvallen alleen ziekenhuizen, wereldwijde merken of openbare infrastructuur treffen. In werkelijkheid is het ransomware-risico voor kleine bedrijven een van de duidelijkste voorbeelden van hoe aanvallers consequent organisaties viseren met waardevolle gegevens, beperkte tijd en zwakkere verdedigingen.

Recente bevindingen van de Data Breach Observatory van Proton tonen aan dat kmo’s vaak het slachtoffer zijn van schendingen. Ze zijn ook onevenredig vertegenwoordigd in de meest schadelijke incidenten, waaronder schendingen waarbij gegevens met een hoog risico en de blootstelling van grote aantallen records betrokken zijn.

Ransomware is een probleem voor de bedrijfscontinuïteit, de beveiliging van inloggegevens en de gegevensbescherming. Uit de Cyber Security Breaches Survey van de Britse overheid bleek dat 1% van de Britse bedrijven in de voorgaande 12 maanden ransomware-incidenten heeft vastgesteld, tegenover minder dan 0,5% in 2024. Op nationale schaal komt dat overeen met naar schatting 19.000 bedrijven.

Ondanks de opkomst van ransomware is phishing nog steeds het meest voorkomende type cyberaanval. Aanvallers krijgen het vaakst toegang tot bedrijfsnetwerken via mensen, inloggegevens en dagelijkse workflows in plaats van via grootschalige cyberaanvallen. Ze kunnen in feite een phishing-aanval gebruiken om vervolgens een grotere ransomware-aanval te lanceren als ze een grotere buit verwachten.

Voor een klein bedrijf kan de schade door ransomware aanzienlijke verstoringen van de bedrijfscontinuïteit veroorzaken. Teamleden verliezen de toegang tot bestanden en kunnen hun werk niet voortzetten, de activiteiten vertragen of stoppen, en klanten krijgen geen adequate diensten. Als persoonlijke gegevens in gevaar worden gebracht, volgen er rapportageverplichtingen. Een praktische ransomware-strategie voor kmo’s moet beide aspecten van een aanval dekken: preventie en herstellen.

Hoe werkt ransomware?

Ransomware is een type malware dat voorkomt dat u toegang krijgt tot apparaten of gegevens, meestal door bestanden te versleutelen, en vervolgens een betaling eist in ruil voor het ontsleutelen ervan. In veel gevallen doen aanvallers nu meer dan alleen bestanden vergrendelen. Ze stelen ook gegevens en dreigen deze te lekken als het losgeld niet wordt betaald, waardoor het incident zowel een beschikbaarheidscrisis als een mogelijke schending van gegevens wordt.

Slachtoffers krijgen vaak de instructie om te communiceren via anonieme e-mail of webpagina’s en om te betalen in cryptovaluta. Voor kleine bedrijven is dat onderscheid belangrijk omdat cryptovaluta anoniem en gedecentraliseerd zijn en niet gereguleerd worden door traditionele financiële instellingen: het is bijna onmogelijk om betalingen te traceren.

Een ransomware-afspraak is niet altijd beperkt tot het verlies van toegang tot bestanden. Het kan ook betekenen dat klantgegevens, werknemersgegevens, financiële gegevens, contracten of inloggegevens al zijn geëxfiltreerd. Ransomware kan leiden tot het verlies van tijdige toegang tot persoonlijke gegevens en, wanneer back-ups niet geschikt of beschikbaar zijn, zelfs tot permanent verlies.

De aanvalsketen is meestal gewoner dan u zou verwachten. De incidenten die gemakkelijk over het hoofd kunnen worden gezien en die tot een ransomware-aanval kunnen leiden, zijn onder meer:

  • Het klikken op phishing-koppelingen.
  • Hergebruikte wachtwoorden die worden blootgesteld bij een schending van gegevens.
  • Services voor toegang op afstand die onbeveiligd blijven.
  • Bekende kwetsbaarheden die niet worden gepatcht.

Zodra een aanvaller toegang krijgt tot een bedrijfsnetwerk, beweegt deze zich zijdelings, verhoogt hij de bevoegdheden, schakelt hij herstelpaden waar mogelijk uit en implementeert hij versleuteling of afpersing waar dat het meeste pijn doet. Geen enkel hulpmiddel of oplossing kan ransomware-aanvallen voorkomen. In plaats daarvan moeten organisaties zich concentreren op het verminderen van het aantal gemakkelijke paden naar hun netwerk.

Waarom kleine bedrijven onevenredig vaak het doelwit zijn

Kleine bedrijven zijn aantrekkelijke doelwitten voor ransomware om een eenvoudige reden: ze beschikken over waardevolle gegevens die niet zo goed beveiligd zijn als ze zouden moeten zijn. De nieuwste bevindingen van het observatorium van Proton tonen aan dat kmo’s verantwoordelijk zijn voor 63% van de schendingen die sinds januari 2025 zijn bijgehouden en voor meer dan 352 miljoen gelekte records.

Ze zijn ook verantwoordelijk voor 61% van de schendingen waarbij gegevens met een hoog risico betrokken zijn, waarbij kleine bedrijven alleen al goed zijn voor 48% van die kritieke incidenten. Van de schendingen waarbij meer dan 100.000 records worden blootgesteld, zijn kmo’s verantwoordelijk voor 60% en kleine bedrijven voor 42%.

Kleine bedrijven zijn niet onvoorzichtig. In feite bewijst het SMB Cybersecurity Report 2026 van Proton dat kleine bedrijven proberen hun cybersecurity te verbeteren. Het probleem is dat hun verdediging in de praktijk tekortschiet. Inconsistente handhaving, menselijke fouten, gewoonten rond gedeelde toegang en beperkte interne beveiligingscapaciteit maken kleine bedrijven tot verleidelijke doelwitten.

In het onderzoek van Proton onder 3.000 leidinggevenden bij bedrijven met minder dan 250 werknemers zei 39% dat incidenten voortkwamen uit menselijke fouten, en 48% zei dat ze geen wachtwoordbeheerder gebruikten.

Grotere bedrijven beschikken vaak over speciale responsteams, gesegmenteerde omgevingen, geteste back-up-abonnementen en externe ondersteuning bij incidenten. Kleinere bedrijven hebben vaak één beperkte IT-functie, uitbestede ondersteuning of geen specifieke beveiligingsexpert. Wanneer de aanval toeslaat, wordt het bedrijf gedwongen om beslissingen met grote inzet te nemen terwijl het onder operationele druk staat. Dat is precies de druk waar ransomware-exploitanten op rekenen.

De meest voorkomende toegangspunten voor ransomware bij kmo’s

Na bestudering van de onderzoeken die in het VK zijn uitgevoerd, weten we dat phishing de belangrijkste vector voor cybercriminaliteit voor bedrijven blijft. Maar waarom? Omdat phishing vaak de eerste stap is naar diefstal van inloggegevens, het in gevaar brengen van accounts, de verspreiding van malware of misbruik van toegang op afstand.

Zwakke of hergebruikte inloggegevens zijn een ander groot probleem. Kleine bedrijven hebben vaak gedeelde inloggegevens, wachtwoorden die voor meerdere services worden hergebruikt of oude accounts die actief blijven nadat iemand van functie verandert of vertrekt. Zodra aanvallers één werkende login bemachtigen, hoeven ze niet in te breken op accounts. Ze kunnen gewoon inloggen.

Van daaruit kan een slecht beveiligd beheerder-account, een onbeveiligde cloudconsole of een toegangspunt op afstand zonder tweestapsverificatie (2FA) de brug worden naar een groter ransomware-incident. Realistisch gezien moeten organisaties 2FA, toegang met de minste bevoegdheden en regelmatige controles van machtigingen implementeren om te beperken hoe gemakkelijk gestolen inloggegevens hergebruikt kunnen worden en hoe ver malware zich kan verspreiden.

Niet-gepatchte software is een ander terugkerend toegangspunt. Het NCSC merkt op dat ransomware steeds vaker wordt geïmplementeerd via blootgestelde diensten zoals RDP of niet-gepatchte apparaten voor toegang op afstand, en raadt aan om kwetsbaarheden in systemen voor toegang op afstand en internetgerichte systemen te updaten zodra er patches beschikbaar zijn. Voor mkb-bedrijven is dit het punt waar een gemist incident geruisloos verandert in een aanvalsoppervlak.

Hoe u zich kunt beschermen tegen ransomware: een gelaagde aanpak

Er is geen enkele beheermaatregel die ransomware kan voorkomen. De meest effectieve aanpak is gelaagd en praktisch.

Begin met identiteitsbeheer

De gegevens in de accounts van teamleden hebben grondige bescherming nodig om ransomware-aanvallen af te slaan. Maak tweestapsverificatie waar mogelijk verplicht voor bedrijfskritische accounts, met name voor e-mail, beheertools, cloudopslag, financiële platforms, toegangspunten op afstand en alle systemen waarin persoonlijke klantgegevens of andere gevoelige persoonlijk identificeerbare informatie (PII) worden opgeslagen.

Verbeter de wachtwoordhygiëne

Aanvallers breken niet altijd in bij accounts. Vaak melden zij zich aan met gestolen of hergebruikte inloggegevens. Elk zakelijk account moet een uniek, sterk wachtwoord hebben en gedeelde toegang moet worden vervangen door beheerd, veilig delen van inloggegevens via een zakelijke wachtwoordbeheerder in plaats van via spreadsheets, chats of e-mail.

Het eigen mkb-rapport van Proton benadrukt dat zelfs bedrijven met de juiste tools nog vaak terugvallen op onveilige gewoonten voor het delen van wachtwoorden. Dit is precies waar een veilige zakelijke wachtwoordbeheerder zoals Proton Pass for Business het risico kan verkleinen: het helpt teams sterke en unieke inloggegevens aan te maken, deze veilig op te slaan en op een gecontroleerde, veilige manier toegang te delen.

Patchbeheer moet gedisciplineerd zijn

Beveiligingsupdates voor besturingssystemen, apps, VPN’s, tools voor toegang op afstand en randapparatuur moeten worden behandeld als operationele noodzaak, niet als optioneel onderhoud. Installeer beveiligingsupdates zo snel mogelijk en schakel automatische updates in waar dit haalbaar is.

Robuuste e-mail- en webbescherming

E-mailfiltering, controle op bijlagen, het blokkeren van bekende schadelijke sites en beveiliging voor veilig browsen verminderen allemaal de kans dat ransomware überhaupt wordt afgeleverd. Omdat phishing zo vaak voorkomt, zijn deze maatregelen essentieel.

Menselijke fouten aanpakken

Zelfs wanneer u beveiligingsmaatregelen en een wachtwoordbeleid hebt geïmplementeerd, blijft training in beveiligingsbewustzijn noodzakelijk. Training helpt personeel verdachte e-mails en social engineering-pogingen te herkennen, maar mensen zullen nog steeds fouten maken.

Sterkere tools of functies en toegangsbeheer moeten daarvan uitgaan. Het NCSC adviseert uitdrukkelijk bewustmakingstraining, maar het onderzoek van Proton wijst er ook op dat training alleen niet elke misslag voorkomt. Een goed beveiligingsontwerp beperkt de schade wanneer iemand toch klikt door de kans te verkleinen dat één fout uitgroeit tot een grootschalig incident, of dat nu is via 2FA, toegang met de minste privileges, sterkere e-mailbeveiliging, gesegmenteerde toegang of geteste back-ups die herstel ondersteunen.

Bescherm herstel voordat u het nodig hebt

Back-ups moeten regelmatig, geïsoleerd en getest zijn. De ICO adviseert de 3-2-1-aanpak: drie kopieën, op twee verschillende apparaten, waarvan één extern opgeslagen. Het NCSC voegt daar een belangrijke operationele waarschuwing aan toe: ransomware kan al in uw omgeving zijn geïnfiltreerd voordat het wordt ontdekt, dus back-ups moeten worden gescand voordat ze worden teruggezet en back-upsystemen zelf moeten worden beschermd.

De verbinding met inloggegevens: waarom wachtwoorden nog steeds belangrijk zijn bij de verdediging tegen ransomware

Het is makkelijk om ransomware alleen als malware te beschouwen en te vergeten dat wachtwoorden een rol spelen bij een geslaagde aanval. Veel ransomware-incidenten beginnen echter met diefstal, hergebruik of misbruik van inloggegevens.

Dat kan betekenen dat een personeelslid een wachtwoord van een andere dienst hergebruikt, het account van een voormalige externe medewerker actief blijft, beheerdersgegevens door meerdere mensen worden gedeeld of een blootgesteld toegangspunt op afstand alleen door een wachtwoord wordt beschermd. Elk van deze sluiproutes vergroot het aanvalsoppervlak.

Dit is een van de redenen waarom sterk beheer van inloggegevens thuishoort in elk herstelplan bij ransomware en preventiekader. Unieke wachtwoorden per dienst verkleinen de impact van één gestolen inlognaam. MFA maakt dat gestolen wachtwoord op zichzelf minder nuttig, terwijl gecentraliseerde opslag van inloggegevens de noodzaak voor onveilige workarounds wegneemt.

Veilig delen betekent dat werknemers de toegang krijgen die ze nodig hebben via gecontroleerde, traceerbare methoden in plaats van via informeel delen van wachtwoorden. Regelmatige controle van wie toegang heeft tot wat ondersteunt ook het principe van de minste privileges, wat het NCSC aanbeveelt als onderdeel van het beperken van zijwaartse verplaatsing en verspreiding.

We hebben uitgebreid geschreven over de ransomware-dreigingen waarmee mkb-bedrijven te maken krijgen. Keer op keer zien we hetzelfde: aanvallers zoeken steeds vaker naar bedrijven die makkelijker te kraken zijn, niet alleen naar de bedrijven met de grootste namen.

Wat u moet doen als uw kleine bedrijf wordt getroffen

1. Beheers het incident

Als uw bedrijf wordt getroffen, is indammen uw eerste prioriteit. Koppel geïnfecteerde apparaten los van het netwerk, schakel accounts uit waarvan u denkt dat ze in gevaar zijn gebracht, isoleer paden voor toegang op afstand, bewaar bewijsmateriaal en voorkom dat u systemen te snel wist als u later forensische ondersteuning nodig heeft.

2. Meld het incident

Het NCSC adviseert Britse organisaties om incidenten te melden en biedt specifieke ransomware-begeleiding voor respons en herstel. De gids van Proton voor incidentrespons is ook een nuttige referentie voor het structureren van het bredere besluitvormingsproces rond indamming, onderzoek, communicatie en herstel.

3. Betaal het losgeld niet

Het NCSC en de Britse wetshandhaving moedigen het betalen van losgeldeisen niet aan, onderschrijven het niet en tolereren het niet. Ze merken op dat er geen garantie is dat u weer toegang krijgt, dat uw systemen mogelijk nog steeds geïnfecteerd zijn, dat u criminele groepen financiert en dat de kans groter is dat u opnieuw het doelwit wordt.

De ICO is er eveneens duidelijk over dat het betalen van losgeld het risico voor mensen niet vermindert en de informatie niet veiligstelt. Zelfs als er een sleutel voor het ontsleutelen wordt aangeboden, is er geen garantie dat deze werkt of dat gestolen gegevens niet alsnog worden gelekt.

4. Start het herstellen

Herstel moet gericht zijn op langzaam en veilig herstellen. Dat betekent opnieuw opbouwen vanaf schone back-ups, valideren of het aanvalspad is gesloten, getroffen inloggegevens roteren, toegang zorgvuldig opnieuw inschakelen en documenteren wat er is gebeurd. Als back-ups zijn verbonden met live systemen of niet zijn getest, is dit vaak het punt waarop bedrijven na de eerste fout een tweede ontdekken. Een goed plan voor ransomware-herstel begint eigenlijk al lang voordat een incident zich voordoet.

Britse meldingsplichten: wanneer de ICO mogelijk betrokken moet worden

Als een ransomware-incident invloed heeft op persoonlijke gegevens, kan dit een persoonlijk datalek zijn onder de Britse GDPR. De ICO legt uit dat verlies van toegang tot persoonlijke gegevens op zichzelf een inbreuk kan zijn wanneer dit een risico vormt voor individuen, en dat u de ICO zonder onnodige vertraging en, waar mogelijk, binnen 72 uur op de hoogte moet stellen als de inbreuk waarschijnlijk een risico inhoudt voor de rechten en vrijheden van mensen. Als het risico hoog is, moeten de betrokken personen mogelijk ook onnodige vertraging worden geïnformeerd.

Sommige organisaties gaan er nog steeds van uit dat melding onnodig is als ze systemen snel herstellen of als er geen sprake is van een overduidelijk openbaar lek. Dat is geen veilige aanname. De ransomware-richtlijnen van de ICO gaan expliciet in op scenario’s voor de melding van schendingen en maken duidelijk dat de beoordeling afhangt van het risico voor individuen, en niet alleen van de vraag of gestolen bestanden al online zijn verschenen.

Ransomware is nu ook een probleem voor het mkb

Kleine bedrijven worden steeds vaker getroffen door ransomware-aanvallen en wanneer ze worden getroffen, kan de impact ernstig zijn omdat aanvallers hun zwakke punten misbruiken. De nieuwste gegevens van Proton over schendingen maken dat zichtbaar: de dreiging is meetbaar, groeiend en operationeel ontwrichtend.

Het goede nieuws is dat de basisbeginselen veel van het zware werk voor elk mkb-bedrijf kunnen doen. Maatregelen zoals het gebruik van een zakelijke wachtwoordbeheerder om 2FA te implementeren en unieke inloggegevens te creëren, het patchen van software, e-mailfiltering, bewustwording van het personeel, beoordeling van machtigingen, geteste back-ups en planning van incidentrespons lijken op zichzelf misschien niet flitsend, maar samen maken ze een wezenlijk verschil. Ze verkleinen de kans dat één gestolen wachtwoord, één phishing-e-mail of één blootgestelde externe dienst escaleert tot een bedrijfsbrede uitval.