Voor de meeste kleine en middelgrote bedrijven (mkb) is het “kantoor” nu een verzameling wifi-netwerken thuis, hotspots in cafés, gedeelde werkruimtes en cloudgebaseerde SaaS-tools.
Toch hebben veel bedrijven, zelfs nu werk steeds meer verspreid raakt, nagelaten netwerkcontroles in te voeren. Volgens nieuw onderzoek van Proton gebruikt minder dan de helft van de mkb-bedrijven een VPN om de toegang tot hun netwerk te beschermen.
Tegelijkertijd neemt het aantal beveiligingsincidenten toe. Eén op de vier mkb-bedrijven heeft in het afgelopen jaar een cyberaanval of schending meegemaakt.
Waarom is de invoering van VPN’s dan, ondanks een ogenschijnlijk permanente verschuiving naar hybride werken, zo inconsistent? En is dat de oorzaak van zoveel recente beveiligingsincidenten?
Ons SMB Cybersecurity Report 2026 werpt licht op deze vraag. Voor ons exclusieve onderzoek stelden we duizenden bedrijfsleiders over de hele wereld tientallen vragen over hun beveiligingspraktijken. U kunt het gratis cybersecurityrapport downloaden om vier belangrijke inzichten en vijf aanbevelingen voor uw bedrijf te krijgen.
Waarom aanvallers mkb-bedrijven aanvallen
Jarenlang richtten cybercriminelen zich vooral op grote ondernemingen. Maar naarmate de verdediging van ondernemingen is verbeterd, hebben aanvallers zich steeds vaker op mkb-bedrijven gericht(nieuw venster) vanwege:
Beperkte middelen: Kleine teams beschikken vaak niet over toegewijd beveiligingspersoneel en formeel beveiligingsbeleid.
Verspreide netwerken: Werknemers maken verbinding vanuit wifi thuis, gedeelde werkruimtes en openbare hotspots, waardoor meer toegangspunten voor aanvallers ontstaan.
Waardevolle gegevens: Mkb-bedrijven slaan mogelijk dezelfde gevoelige gegevens op als grote ondernemingen(nieuw venster) — waaronder klantinformatie, financiële dossiers en intellectueel eigendom — maar met minder beschermingsmaatregelen.
De adoptiekloof: mkb-bedrijven verwaarlozen VPN’s
Het Proton SMB Cybersecurity Report 2026 bracht twee kloven aan het licht onder kleine en middelgrote bedrijven:
- Adoptiekloof: Minder dan de helft van de mkb-bedrijven gebruikt een VPN om hun endpoints te beveiligen(nieuw venster).
- Uitvoeringskloof: Zelfs onder bedrijven die een VPN gebruiken, zijn de beveiligingspraktijken inconsistent.
Laten we beginnen met de adoptiekloof.
De opkomst van software-as-a-service heeft onder kleine bedrijven een vals gevoel van veiligheid gecreëerd. Hoewel de meeste SaaS-platforms sterke versleuteling gebruiken (d.w.z. TLS(nieuw venster)) om verkeer tijdens transport te beschermen, en sommige zoals Proton Mail of Proton Drive ook end-to-end versleuteling(nieuw venster) in rust gebruiken, beveiligen ze niet het pad dat uw werknemers nemen om zich aan te melden.
Uw organisatie gebruikt bijvoorbeeld mogelijk een versleutelde e-maildienst(nieuw venster) om de inhoud van uw berichten te beschermen, maar zonder een VPN kunt u geen op IP gebaseerde beperkingen afdwingen om te bepalen wie zich bij het platform kan aanmelden. Een aanvaller met een set gelekte inloggegevens kan zich dus aanmelden en uw netwerk schenden.
Hoewel de verschuiving naar hybride werken wereldwijd plaatsvindt, zijn de bijbehorende beveiligingsaanpassingen ongelijkmatig geweest. De Verenigde Staten zijn het enige land in ons onderzoek waar een meerderheid van de mkb-bedrijven een VPN gebruikt. In elke andere markt ligt de adoptie onder 50 %. Deze kloof is nog duidelijker buiten de technologiesector, waar beveiliging geen gelijke tred heeft gehouden met de verschuiving naar hybride werken.
De uitvoeringskloof: echte beveiliging gaat verder dan een VPN
Tweeënvijftig procent van de mkb-bedrijven die een VPN gebruiken, zegt zeer of volledig vertrouwen te hebben in hun vermogen om aanvallen te weerstaan. Maar onze gegevens laten zien dat zelfs binnen deze groep 26 % in de afgelopen 12 maanden een schending heeft meegemaakt. Als een bedrijf zijn netwerk al beveiligt, hoe kan dit dan nog steeds gebeuren?
Het probleem is niet de VPN zelf, maar de omringende controles en het veel voorkomen van menselijke fouten. Slechts 56 % van de VPN-gebruikers in ons onderzoek dwingt tweestapsverificatie(nieuw venster) (2FA) af. Wanneer bijna de helft van de bedrijven alleen op wachtwoorden vertrouwt, wordt het risico verergerd door slechte discipline rond inloggegevens. In plaats van consequent een zakelijke wachtwoordbeheerder(nieuw venster) te gebruiken:
- 31,5 % deelt nog steeds inloggegevens via e-mail
- 33,4 % via gedeelde documenten
- 28 % vertrouwt op berichtenapps om inloggegevens te delen
- 24,6 % schrijft wachtwoorden nog steeds op
Onze gegevens suggereren dat veel bedrijven beveiliging behandelen als een gefragmenteerde investering in afzonderlijke producten in plaats van als een samenhangend systeem, zonder consequent uitgevoerd beveiligingsbeleid.
Beveiliging als infrastructuur, niet als bijzaak
De studie bracht nog een waardevol inzicht aan het licht: beveiliging is een omzetdriver.
In ons rapport zegt 66 % van de bedrijven dat het aantonen van veilige gegevensverwerking “zeer” of “kritiek” belangrijk is voor het winnen van nieuwe klanten. Een VPN voor endpointbeveiliging geeft u de infrastructuur en zichtbaarheid om dat aan potentiële klanten aan te tonen.
Zonder een gedefinieerde netwerkperimeter nemen de toegangspunten toe, neemt de zichtbaarheid af en is toegangscontrole verspreid over platforms van derden. Dit alles vergroot het aanvalsoppervlak en maakt het moeilijker om verdacht gedrag te detecteren, incidenten in te dammen of controle aan klanten en partners aan te tonen. Een VPN herstelt die grens en creëert een beheersbare perimeter rond werknemers, waar zij ook werken.
Zo kunt u deze les toepassen in uw bedrijf:
- Beperk toegang op basis van IP of locatie: Sta alleen toegang tot interne tools toe vanaf goedgekeurde apparaten of netwerken.
- Zorg voor volledige netwerkzichtbaarheid: Wanneer aanmeldingen alleen via uw VPN zijn toegestaan, kunt u verkeer naar uw middelen monitoren en potentiële aanvallen opsporen.
- Dwing consistent beleid af: Pas beveiligingsregels toe op uw netwerk, in plaats van te vertrouwen op beloften van derden.
Zonder een VPN verplaatst extern verkeer zich via openbare netwerken zonder centrale controle, waardoor de blootstelling toeneemt. Echte beveiliging vereist dat de netwerklaag en de identiteitslaag functioneren als één enkel, versterkt systeem.
Download het volledige SMB Cybersecurity Report 2026
Proton’s SMB Cybersecurity Report 2026 onderzoekt waar het vertrouwen in beveiliging afbrokkelt, waarom fundamentele controles ontbreken en hoe hybride werken het aanvalsoppervlak voor groeiende bedrijven heeft veranderd.
In het rapport vindt u:
- Wereldwijde patronen van schendingen en trends in menselijke fouten
- De financiële impact van moderne datalekken
- Vertrouwenskloof rond cloud en AI onder bedrijfsleiders
- Praktische stappen voor het opbouwen van gelaagde beveiligingssystemen
