Cyberaanvallen komen steeds vaker in het nieuws. Toch is het nog maar een klein topje van een hele grote ijsberg. Cybergangs zijn geoliede machines die met een beetje pech je hele bedrijfsvoering platleggen. Gelukkig komt er steeds meer aandacht voor cybersecurity, maar het gaat volgens de experts veel te langzaam. Veel bedrijven hebben het gevoel dat cybercriminaliteit hen niet raakt. Om dit misverstand uit de wereld te helpen, hebben we een Digital Meeting georganiseerd rond het thema cybersecurity.
In hoeverre herkennen ondernemingen het risico van cybercriminaliteit?
Als het gaat om risico bewustzijn zien we een enorm verschil tussen grote en kleinere bedrijven. De grote(re) bedrijven hebben cybersecurity veelal in hun DNA opgenomen, begint Reijer van Woudenbergh van Perfect Day. “Ze zien het als een continu bedrijfsrisico omdat ze een duidelijk beeld hebben van welke gevaren ze lopen en wat hen dat kost. Het micro-, klein- en middenbedrijf daarentegen moet nog overtuigd worden, ondanks alle (actuele) voorbeelden die er zijn.”
John de Kroon van CyberAnt herkent eveneens dat beeld. “Bij grote bedrijven is vaak ook iemand ‘hoofdelijk’ verantwoordelijk voor het inrichten van alle aspecten rondom cybersecurity. De kleinere bedrijven gaan er veelal vanuit dat de webbouwer dit voor ze regelt, dus maken ze zich geen zorgen. Dat is een misverstand. Een webbouwer is geen securityspecialist.” Azem Somer van Asomis IT vult aan: “Bij veel webbouwers heeft security totaal geen prioriteit. Je mag er niet ‘blindelings’ vanuit gaan dat het wel goed zit.”
Reijer van Woudenbergh “Het gaat erom dat je een totaalbeeld van je risico’s en kwetsbaarheden hebt. En dat er goed is afgekaart waar ieders verantwoordelijkheid ligt. Daarom is het zo belangrijk dat een securitypartner echt met IT- en eventueel OT-leveranciers samenwerkt, zodat er geen onnodige hiaten otnstaan of erger: met vingertjes naar elkaar wordt gewezen als het fout gaat.”
Pim Pastoors van SIDN merkt op dat veel MKB’s het gevoel hebben dat cybercriminaliteit hen niet raakt. “Steeds meer berichten in de media die het tegendeel bewijzen.” Dat wat de media haalt, is slechts het topje van de ijsberg, weet Reijer van Woudenbergh. “Lang niet alles wordt gemeld. Mensen schamen zich nog steeds. Of zijn bang dat het slechte PR voor hun bedrijf is. Maar je kunt het ook omdraaien: de bedrijven die een wake-up call krijgen gaan er doorgaans als de wiedeweerga mee aan de slag en zijn vaak veiliger dan diegenen waar het nog nooit goed mis is gegaan.” Pim Pastoors: “Men is van mening dat aangifte doen zinloos is. Min of meer vergelijkbaar met aangifte doen van een gesloten fiets, terwijl het eigenlijk wel verplicht is omdat je een datalek hebt.” Reijer van Woudenbergh: “Het komt inderdaad maar sporadisch voor dat ze de dader pakken, maar aangifte doen is wel belangrijk voor de awareness en de cijfers, zodat we een beeld krijgen van het aantal incidenten, de impact en gevolgschade.”
Cybercriminaliteit neemt steeds grotere vormen aan. Hoe gaan zij te werk?
Ten eerste is de pakkans heel laag, dus het is een vrij lucratieve business, begint Azem Somer. De pakkans is inderdaad heel laag, maar de gelegenheid is er ook, vult Reijer van Woudenbergh aan. “De deur staat op veel plekken wagenwijd open.” En vergeet niet dat de hele wereld steeds digitaler wordt, zegt John de Kroon. “Ook de opkomende markten krijgen meer en meer een netaansluiting wat maakt dat het percentage internetcriminelen ook toeneemt. Een goede programmeur kan in de westerse wereld een aardige boterham verdienen, in genoeg andere landen zijn zij werkeloos en is de verleiding het verkeerde pad op te gaan heel groot.”
Dat veel ondernemers enigszins laconiek omgaan met cybersecurity komt volgens Reijer van Woudenbergh omdat er nog heel achterhaalde beelden over het concept cybercrime bestaan. “Over een eenzame nerd die op zijn zolderkamertje dag en nacht probeert om bij een bepaald bedrijf binnen te komen, bijvoorbeeld. Dat is niet meer de realiteit. Cybergangs zijn tegenwoordig corporate organisaties, geoliede machines met managementlagen en soldaten die het verspreiden en rondschieten. Ze hebben zelfs klantenservices en helpdesks die je keurig te woord staan als je vragen hebt over bijvoorbeeld de manier waarop je ze moet betalen. En je wordt niet bewust getarget, maar automatisch gevonden. Het argument dat er bij jou niets te halen valt gaat daarom niet op. Vrijwel iedere ondernemer is bereid te betalen om zijn bedrijf weer aan de gang te krijgen als het is platgelegd door ransomware, om maar een voorbeeld te geven. Daar zit het verdienmodel in.”
De meeste criminelen hebben het niet zozeer gemunt op een individueel bedrijf, maar gaan geautomatiseerd op zoek naar kwetsbaarheden in software, legt John de Kroon uit. “Dan maakt het niet uit of je de bakker om de hoek bent of een grote multinational, als je een dergelijk lek hebt in je software, ben je het haasje.”
Hoe blijf je cybercriminelen voor?
Het begint volgens Reijer van Woudenbergh bij het erkennen dat cybersecurity een vak apart is. Veel ondernemers zien hun IT-leveranciers ook als securitybedrijf. Tot een paar jaar geleden was dat misschien nog het geval, maar je kan anno 2021 niet meer van je IT-leveranciers verwachten dat zij naast het onderhoud van de IT-infrastructuur, ook alle securityaspecten op zich nemen. De techniek hoort bij je IT-leverancier, maar hoe je omgaat met data en privacy, de AVG wetgeving, het trainen van je medewerkers niet. De digitale veiligheid van jouw bedrijf gaat allang niet meer alleen over techniek. Ruim 90% van de cyber incidenten is te herleiden naar een fout of gebrek aan kennis bij medewerkers. Daar kun je je IT-leverancier onmogelijk voor verantwoordelijk voor houden. Daar zijn echt andere maatregelen voor nodig.”
Tegelijkertijd mag je volgens John de Kroon wel van je IT-leveranciers verwachten dat alle firewalls goed geconfigureerd zijn, alle back-ups op orde zijn, enz. “Voor de kleine ondernemer is dat vaak ook voldoende, zeker als hij niet volledig afhankelijk is van online. Een multichannel ondernemer, zoals een bakker of fietsenmaker, kan prima een tijdje functioneren zonder online vertegenwoordiging. Maar ben je met je hele inkomen afhankelijk van een webshop, wordt het een ander verhaal.”
De heren hanteren de stelregel dat een bedrijf tot maximaal vier medewerkers op kantoor relatief eenvoudig is te beveiligen. “Cybersecurity is in die zin geen rocketscience,” zegt Reijer van Woudenbergh. “Maar naarmate een onderneming groter groeit en van meerdere externe platformen gebruikmaakt, sluipen er steeds meer gevaren in en wordt het steeds moeilijker om alles onder controle te krijgen.” Juist dan is het goed om een expert in te schakelen, adviseert Azem Somer.
Neem cyberveiligheid dus serieus en begin bij de basis, zegt John de Kroon. “Zorg ervoor dat je systemen up to date zijn, zorg voor een goede antivirus, een goede firewall en maak goede back-ups.” En gebruik zoveel mogelijk een 2-factor authenticatie als je inlogt in je webshop, CRM, in de cloud of in je boekhoudprogramma, adviseert Reijer van Woudenbergh. “Dat scheelt zoveel ellende.” Of een wachtwoordmanager, zegt Azem Somer. “Het heeft geen zin om medewerkers telkens nieuwe wachtwoorden te laten aanmaken.”
Het is bovendien het overwegen waard om periodiek een pentest of scan te laten uitvoeren, vervolgt John de Kroon. “Zo’n scan speurt naar kritische plekken in je software die vervolgens veelal simpel zijn dicht te zetten.” Azem Somer: “En vergeet ook niet een check te doen bij je leveranciers. Ga open het gesprek aan en vraag of ze veilig werken en aan bepaalde protocollen voldoen. Als er een transparant antwoord komt, kun je ervan uitgaan dat het goed geregeld is. Zodra er ontwijkingen komen, moet je je afvragen of je met die partij zaken wilt doen.”
Zijn cybercriminelen alleen maar uit op data?
Neen, klinkt het unaniem. Het gaat ze vooral om op een zo efficiënt mogelijke manier geld te verdienen. En dat lukt ze ook nog eens vrij aardig. Vooral ransomware is momenteel populair onder cybercriminelen. “En naarmate bedrijven zich steeds beter beveiligen tegen ransomware, verleggen cybercriminelen gewoon hun werkveld,” zegt Reijer van Woudenbergh.
Een paar jaar geleden is er een schatting gemaakt dat de te verwachte cyberschade in 2025 maar liefst 98 biljoen dollar zal bedragen. Dat is gelijk aan het Bruto Nationaal Product van heel Frankrijk en Groot-Brittannië bij elkaar opgeteld. Azem Somer: “In cybercriminaliteit gaat meer geld om dan in de hele globale drugshandel.” Pim Pastoors benadrukt: “En bedenk dat het een schatting blijft. Zoals gezegd, wordt veel cyberschade niet eens gemeld. Het is een druppel op een gloeiende plaat.”
De heren zijn van mening dat er vanuit de overheid ook meer aandacht zou moeten uitgaan naar het wijzen op de gevaren van cybercriminaliteit. “Kom met campagnes waardoor ook de kleinere ondernemer het gevoel heeft dat het over hem of haar gaat en er moet veel meer aan voorlichting worden gedaan.”
Hoe kan je beveiliging op een structurele manier in je onderneming integreren?
Begin bij een stevig fundament en zorg ervoor dat je de basis goed op orde hebt. Werk aan kennis en bewustzijn bij je medewerkers. “Neem meldingen serieus en straf mensen niet af als ze per ongeluk toch in een phishing mail zijn getrapt,” zegt Azem Somer. “Dat laatste is inderdaad belangrijk,” vult Reijer van Woudenbergh aan. “Zorg voor een open cultuur waarin mensen het durven melden als ze denken dat er iets mis is gegaan. Alleen op die manier kun je snel handelen. En zorg voor een noodplan, daarmee beperk je altijd schade.”
Volgens John de Kroon is hierin ook een belangrijke taak weggelegd voor brancheorganisaties. “Brancheorganisaties hebben over het algemeen veel invloed. Zeker voor een (kleine) retailer is het onmogelijk om al die kennis zelf in huis te halen. Het is en blijft immers specialistisch werk en hopelijk heb je het nooit nodig. Overigens vereisen verschillende webshopkeurmerken intussen al dat je periodiek een scan moet laten uitvoeren.”
Ook verzekeringsmaatschappijen zijn bezig met het finetunen van acceptatievoorwaarden en dekkingsnormen als het gaat om cybersecurity, weet Reijer van Woudenbergh. “Ransomware vormt een serieuze en bovendien zeer reële bedreiging voor de bedrijfscontinuïteit. De impact is zo groot dat bedrijven en ook bestuurders steeds gedetailleerder gevraagd zal worden naar de maatregelen die ze nemen om hun bedrijf te beschermen. Dat is onvermijdelijk.”
Reijer van Woudenbergh gaat nog een stap verder en zegt: “Een bedrijfspand staat op je balans, IT en infra ook. Dat geldt niet voor je data. Ik geef je op een briefje dat dat gaat veranderen, want op het moment dat een bedrijf geen toegang meer heeft tot haar data ligt het stil. Je zal dus als ondernemer moeten aantonen dat je in controle bent over je cyberveiligheid en daarmee je bedrijfscontinuïteit kan waarborgen.”
Je zou data dus op de een of andere manier op je balans moeten kunnen activeren, resumeert Pim Pastoors. “Net als je je wagenpark moet onderhouden en je je pand om de zoveel jaar moet laten schilderen, zal je ook moeten investeren in cybersecuritymaatregelen om inderdaad je bedrijfscontinuïteit te waarborgen. Cybersecurity moet onderdeel zijn van je bedrijfscultuur.”
Deelnemers:
Geef als eerste een reactie