Je bedrijf is veilig voor een cyberaanval? Die gedachte maakt je juist kwetsbaar

,,Het lijkt alsof er een soort weerstand tegen cybersecurity-gerelateerde producten bestaat”, begint Van Wijhe. ,,Veel mensen geven aan dat het vooral geld kost en niets oplevert. Ik kan me daar ook wel iets bij voorstellen, omdat je er doorgaans alleen iets over hoort als grote bedrijven slachtoffer zijn geworden van cybercriminaliteit. Denk aan De Universiteit van Maastricht (die eind vorig jaar bijna twee ton losgeld betaalde aan de hackers die de universitaire computersystemen plat legden red.)”

Ook haalt Van Wijhe het recente voorbeeld van Garmin aan. Dit bedrijf werd volledig platgelegd door een ransomware infectie waardoor geen enkel Garmin-product nog goed werkte. ,,De schatting is dat Garmin minimaal 10 miljoen dollar heeft betaald om weer toegang te krijgen tot haar systemen.”

In de praktijk ziet SIDN dat cybercriminelen zich meer en meer richten op het mkb-segment. ,,Met de mogelijkheid om ransomware als een bouwpakket in elkaar te zetten is het makkelijker geworden om steeds nieuwe varianten te verspreiden en zo een soort sleepnet uit te gooien. Een paar kleinere ondernemers met ransomware platleggen en daar vervolgens 30.000 tot 40.000 euro voor vragen is best een goede businesscase voor de cybercriminelen.”

Uit cijfers van SIDN blijkt dat tweederde van alle cyberaanvallen is gericht op ondernemers in het mkb. Dat had vorig jaar als gevolg dat één op de vier ondernemers met een dergelijke aanval te maken kreeg. Maar liefst 80 tot 90 procent wordt in zijn of haar zakelijke bestaan eens slachtoffer van een hacker. ,,Men denkt vaak dat een virusscanner en een firewall voldoende zijn om dit tegen te gaan. Niet dus. Het probleem is dat ondernemers die vandaag voldoen aan alle security standaarden, morgen toch gehackt kunnen worden. Je hebt als onderneming echt inzicht nodig in wat er op je af komt.”

SIDN heeft met CyberSterk zo’n alarm ontwikkeld. De dienst is speciaal voor het mkb ontwikkeld en uniek in die zin. Daarbij is er ook geen winstoogmerk, waardoor de ondernemer een eerlijke prijs betaalt. “Wij hebben als missie om ondernemend Nederland een stuk veiliger te maken, om het mkb cyberweerbaar te maken, dat is waar we ons voor inzetten”, aldus Van Wijhe.

Met CyberSterk wordt er in het netwerk van het betreffende bedrijf een fysieke box geplaatst die al het dataverkeer in de gaten houdt en ook continu zoekt naar beveiligingslekken. De box wordt geïnstalleerd door een van de IT-partners van CyberSterk. Met deze box heeft een ondernemer inzicht in alles wat er speelt en kan men dit ook doorgeven aan de mensen die verantwoordelijk zijn voor het beheer van de IT-omgeving. Zijn de problemen te complex om zelf op te lossen, dan kunnen de IT-partners van CyberSterk ingezet worden. Via een dashboard dat ook geschikt is voor smartphones heeft de ondernemer realtime inzicht in de staat van de beveiliging. Hij krijgt meldingen als er iets aan de hand is, bijvoorbeeld als er een ransomware infectie plaatsvindt, maar ook als medewerkers ongewenst gedrag vertonen zoals het downloaden van films.

Goed inzicht voorkomt cyberproblemen

,,Eén van onze klanten ontving na het aansluiten van de CyberSterk-box duizenden meldingen op zijn dashboard over issues in zijn netwerk. Het voorkomen van problemen begint allemaal met een goed inzicht in wat er speelt binnen je bedrijfsnetwerk. Deze klant is aan de slag gegaan met zijn IT-partner om de geconstateerde kwetsbaarheden op volgorde van importantie weg te werken. Het voordeel van CyberSterk is dat alle meldingen in begrijpelijke taal, in het Nederlands, bij de klant terechtkomen. Zo snapt de ondernemer ook écht waar het over gaat en daardoor verloopt de communicatie tussen hem en de IT-partner volledig helder.”

Van Wijhe benadrukt dat cybersecurity onderdeel is van de basishygiëne van je bedrijf. Denken dat je veilig bent zodra alle in de cloud staat is een misverstand. Medewerkers hebben een laptop en werken regelmatig lokaal. En op kantoor staan vast ook printers, bestandsservers en een telefoonsysteem. Iemand zou via die route binnen kunnen komen en zo toegang kunnen krijgen tot je bedrijfsgegevens.

Bewustzijn van cyberveiligheid is niet voldoende

Wat je ook ziet is dat mensen vaak wel weten hoe het moet maar in de praktijk toch ander gedrag vertonen. Vergelijk het met autorijden. Iedereen weet dat je niet te hard mag rijden en niet onderweg op je telefoon mag kijken. En toch maakt bijna iedereen zich daar schuldig aan. En dat is vaak ook geen kwade opzet, niemand is 24/7 ‘scherp’. Daarom is alleen bewustzijn op het gebied van cybersecurity niet voldoende. Je zult ook iets moeten hebben dat als vangnet functioneert als mensen zich niet aan de regels houden of foutjes maken.

,,Je moet je voorstellen dat hackers als het ware met hagel schieten en daarna kijken waar er een beveiligingslek zit”, besluit Van Wijhe. ,,Op die plekken gaan ze naar binnen en dan zien ze pas wat er buitgemaakt kan worden. Het argument dat er binnen jouw bedrijf niets van waarde te halen valt, gaat dus helemaal niet op. Denk daarbij ook eens aan je klanten en leveranciers. Hackers kunnen via jouw omgeving bij hun terechtkomen, facturen onder jouw naam verzenden en waardevolle informatie in handen krijgen.”

,,En daar komt natuurlijk nog bovenop dat bij dergelijke hacks ook privacy gevoelige data buitgemaakt kan worden. Dat is niet alleen pijnlijk voor het bedrijf dat al haar klanten moet informeren over het datalek, maar ook voor klanten en leveranciers wiens privé data op straat ligt. Daar komt nog bovenop dat bij dergelijke datalekken ook boetes uitgedeeld kunnen worden als blijkt dat een bedrijf onvoldoende maatregelen heeft getroffen om dit te voorkomen. De vraag is niet langer óf je gehackt wordt, maar wanneer. Probeer dat te voorkomen.”