Nieuws Cybersecurity

Niet beveiligd tegen cyberinbraken? Dan riskeer je een megaboete

Europa moet de komende maanden een flinke inhaalslag maken met zijn beveiliging tegen cybercriminaliteit. Banken, ziekenhuizen, nutsbedrijven en ook ‘gewone’ bedrijven van een bepaalde omvang moeten zich straks in heel Europa verplicht beveiligen tegen cyberinbraken. Zo niet, dan riskeren ze een boete van 2 procent van hun jaaromzet.

Frans Boogaard (AD) 12 november 2021

Cyberinbraken ransomware cybercriminaliteit bart groothuis

Cyberspecialist en VVD-Europarlementariër Bart Groothuis: ,,Met een paar simpele ingrepen kun je jezelf al stukken beter beveiligen dan nu vaak het geval is. Je moet het hackers zo moeilijk mogelijk maken.” Foto: Shutterstock

Brussel hoopt op die manier de hand over hand toenemende cybercriminaliteit de pas af te snijden, schrijft AD. En dat is hoog nodig, zegt VVD-Europarlementariër en cyberspecialist Bart Groothuis, want het loopt politie en veiligheidsdiensten compleet over de schoenen. In Nederland is de cybercriminaliteit in 2019 verdubbeld, het gebruik van gijzelsoftware is vorig jaar wereldwijd verdrievoudigd en voor dit jaar is een nieuwe piek in de maak.

MediaMarkt als jongste slachtoffer

Hackers draaien overuren om te speuren naar digitaal openstaande kelderraampjes, IT-systemen over te nemen en een flink bedrag aan losgeld te vragen om hun geknoei weer ongedaan te maken. Het jongste slachtoffer: MediaMarkt, dat vlak voor de Sinterklaas- en Kerstdagen de keus moet maken tussen een gebrekkige dienstverlening of een vermeend losgeld van 43 miljoen.

Europese wetgeving moet daartegen nu een dam opwerpen. Vitale bedrijven en instellingen zoals banken, ziekenhuizen, zorginstellingen, nutsbedrijven maar ook alle andere bedrijven met een jaaromzet van 10 miljoen en 50 werknemers zijn straks verplicht om hun IT-systemen na te lopen op kwetsbaarheden, risicoanalyses uit te voeren, hun beveiliging te verbeteren en liefst dagelijks back-ups te maken. Ook worden ze verplicht incidenten te melden. Groothuis: ,,Het gaat er niet langer om of een bedrijf vitaal is voor de samenleving, maar of het vitaal is voor het businessmodel van de bendes die ransomware (gijzelsoftware) installeren. Als je weet dat hun gemiddelde opbrengst 140.000 euro is, dan mag de grens voor verplichte beveiliging niet te hoog liggen.”

"De verantwoordelijkheid voor de digitale veiligheid van een bedrijf komt nu bij de baas zelf te liggen"

Bart Groothuis, cyberspecialist en VVD-Europarlementariër

Cybersecurity kost de helft van de ondernemers straks meer dan 46.000 euro

VVD-Europarlementariër Bart Groothuis kreeg deze week ongewoon snel een mandaat om namens het parlement te onderhandelen met de 27 EU-lidstaten over verplichte cyberbeveiliging voor naar schatting 160.000 Europese bedrijven en instellingen (zoals zorg- en ziekenhuizen). In Europa spendeert een bedrijf gemiddeld nu al 41 procent minder aan cyberbeveiliging dan in Amerika, en daar komt de Amerikaanse spoedwetgeving nog overheen. De helft van de ondernemers zal door de nieuwe Europese regels meer dan 46.000 euro kwijt zijn aan cybersecurity, de andere helft is minder kwijt.

Maar die kosten zijn tegen die achtergrond verwaarloosbaar. ,,Het gaat ook minder om de kosten dan om de mindset”, zegt Groothuis. ,,Met een paar simpele ingrepen kun je jezelf al stukken beter beveiligen dan nu vaak het geval is. Je moet het hackers zo moeilijk mogelijk maken.”

Europa mag achterstand op Amerika niet verder laten oplopen

En zeker mag Europa de achterstand op Amerika niet verder laten oplopen. ,,Je zit niet op een eiland”, zegt Groothuis. Nederland noteerde al eerder dat cyberboeven hun werkterrein razendsnel verleggen als het hen in een bepaalde regio te heet onder de voeten wordt. Toen Nederlandse banken jaren geleden in één klap collectief hun beveiliging fors opvoerden, betaalden Duitse en Belgische banken het gelag: zij kregen de extra inbraken die Nederland uitspaarde.

Lees ook: Gijzelsoftware aanpakken? Train je mensen

Investeren in cyberveiligheid heeft met de mindset te maken

De Europese anti-inbraakwetgeving is niet helemaal nieuw. Al sinds 2016 ligt er een richtlijn, de Network and Information Security Directive of NIS, die zegt wat bedrijven en instellingen zouden moeten doen om inbrekers buiten de deur te houden. Maar die richtlijn kende geen enkele verplichting. Het gevolg was dat bedrijven in het beste geval wel iemand of een afdeling aanwezen voor beveiliging, maar het in de hogere bedrijfsechelons te weinig aandacht kreeg. Onder de nieuwe richtlijn, NIS2, wordt het Chefsache, zegt Groothuis. ,,De verantwoordelijkheid voor de digitale veiligheid van een bedrijf komt nu bij de baas zelf te liggen, en dat betekent ook dat er makkelijker in cyberveiligheid wordt geïnvesteerd.” De ‘mindset’ dus.

Een artikel in de nieuwe conceptwet dat op dit vlak miskleunende managers zelfs van hun taak wilde ontheffen, is geschrapt. Groothuis: ,,Dat ging mij te ver. Een manager die nalatig is en daardoor zijn bedrijf een boete bezorgt, zal vanzelf al minder goed in de markt liggen.” De taak om bedrijven te controleren op hun veiligheidsinzet, gaat naar bestaande toezichthouders. Zij stellen vast of een bedrijf of instelling aantoonbaar nalatig is, een inbraak niet meldt of eenvoudige voorzorgen niet neemt.

Nederland heeft de absolute wereldtop in huis qua opsporingsdiensten

Maar de wet wordt er niet één van alleen maar straffen, zegt Groothuis. Omgekeerd zullen nationale opsporingsdiensten de extra informatie die ze hopen te krijgen snel met elkaar delen, zodat bendes sneller kunnen worden ingerekend. Ze adviseren en assisteren gehackte bedrijven en verlenen hun technische bijstand om lamgelegde it-systemen weer aan de praat te krijgen. ,,Wat Nederland op dat vlak in huis heeft is absolute wereldtop”, jureert Groothuis, in een eerder leven zelf cyberbeveiliger bij Defensie in Den Haag. ,,Af en toe wordt er een bende opgerold die in haar eentje miljoenen slachtoffers heeft gemaakt.”

Negen van de tien keer is dat trouwens een Russische bende, weet hij, en president Poetin moedigt dat eerder aan dan dat hij ertegen optreedt. ,,Een van de doelen is de westerse economische structuren te verzwakken. Het is geen toeval dat Joe Biden bij zijn eerste bezoek als president aan Moskou niet over kernwapens sprak, maar over cybercrime. Europa mag daar een voorbeeld aan nemen.”

Lees ook: INretail luidt noodklok: 'Cyberveiligheid in retail moet omhoog'

Lidstaten hopen volgende maand op één lijn te komen

Het Europese Parlement is vastbesloten tempo te maken. Zo'n twee weken geleden zette de industriecommissie het licht op groen, afgelopen week – zonder plenaire stemming – wees het Groothuis aan als onderhandelaar. De lidstaten hopen volgende maand op één lijn te komen, waarna Groothuis de boel met de Fransen – na de jaarwisseling Europees voorzitter – mag aftikken. Normaal staan er daarna nog anderhalf tot twee jaar voor de richtlijn in nationale wetgeving is omgezet, maar Groothuis gaat ervan uit dat iedereen zo snel wil gaan dat die tijd kan worden bespaard.

,,Het is minder zichtbaar, maar we hebben naast de coronapandemie een ransomware-pandemie. En het is voor het goed functioneren van onze samenleving van groot belang dat we ons daar net zo goed tegen beschermen als tegen corona.” Eigenlijk had NIS2 er dan ook allang moeten zijn, vindt hij. ,,Om een Chinese uitdrukking te gebruiken: de beste dag om een boom te planten was dertig jaar geleden. Maar de op één na beste dag is vandaag.”

Wettelijk verbod op losgeldbetalingen?

Slotvraag, juist ook gezien het gegeven dat cybercrime als een Deltavariant om zich heen grijpt: moet er niet gewoon een wettelijk verbod komen op losgeldbetaling, zodat die hele misdaadtak in één dag wordt drooggelegd? Want nu legt elke betaling de basis voor een nieuwe inbraak. Groothuis: ,,Het uitdrukkelijke advies is om niet te betalen, en zeker in de nieuwe situatie mag een gehackt bedrijf rekenen op alle steun om zijn systemen zo snel mogelijk weer werkbaar te krijgen. Maar iemand die zijn hele ziel en zaligheid in een bedrijf heeft gelegd en onder grote druk staat om te betalen, betaling verbieden? Of een ziekenhuis dat weet dat het dan coronapatiënten het leven gaat kosten? Er is over gesproken, maar dat gaat mij te ver.”

Vanaf vandaag altijd op de hoogte met het laatste nieuws voor ondernemers.

Meld je voor 1 januari a.s. aan en maak kans op een van de vier Amac Giftcard t.w.v. 250 euro!

Ontvang iedere ochtend onze nieuwsbrief en blijf op de hoogte van het laatste ondernemersnieuws