Waarschuwing voor mkb: ‘Zeven op de tien hacks had voorkomen kunnen worden’

Ooit vergeten via de cloud een back-up te maken van je smartphone? Dan weet je wat er gebeurt wanneer het ding ooit crasht of verloren of gestolen raakt. Al je foto’s, nummers en data ben je in een klap kwijt. Kortom, een drama. Maar vooral: een persoonlijk drama.

Anders is het wanneer een bedrijf ineens zijn hele bedrijfsvoering kwijtraakt. Bijvoorbeeld wanneer hackers bedrijfsinformatie stelen of gijzelen. Dan kun je ineens niets meer en zit er vaak niets anders op dan losgeld betalen en maar hopen dat je je bedrijfsdata terugkrijgt, zo valt te lezen in het AD.

Chris Stuij van het Rotterdamse Oranje IT, die net voor de coronacrisis ‘een laagdrempelige helpdesk voor lokale mkb-bedrijven’ oprichtte, kent de verhalen. ,,Eenmaal gehackt, worden bedrijven digitaal teruggeworpen naar de steentijd. Wie niet betaalt - en nergens een externe back-ups heeft liggen - moet zijn hele toko weer van de grond af opbouwen.’’

Enorme schade door hacks in het mkb

,,Anders dan multinationals of andere grote bedrijven heeft het midden- en kleinbedrijf meestal geen eigen IT-afdeling’’, vervolgt de man met meer dan twintig jaar ervaring in de IT. ,,Dat maakt hen extra kwetsbaar voor cyberaanvallen, die helaas schering en inslag zijn. De schade voor bedrijven is dan ook enorm. Verzekeraar Hiscox raamde de kosten door cybercrime vorig jaar op zo’n 1,8 miljard dollar.’’

Voor een deel is dat volgens Stuij aan de ondernemers zelf te wijten. ,,Veel bedrijven gebruiken dezelfde wachtwoorden voor meerdere accounts. Ook worden verzoeken om beveiligingspatches en upgrades te downloaden nog altijd massaal weg geklikt. Gemiddeld doen Nederlandse bedrijven 11,7 dagen - ruim twee werkweken - over het toepassen van zo'n patch.’’

Zijn Chief Technology Officer Bastiaan Bakker: ,,Ruim twee derde van de mkb-bedrijven is onvoldoende voorbereid op een cyberaanval. Daarnaast onderschatten velen de risico’s. Iedere winkelier neemt maatregelen tegen winkeldiefstal, maar bij cybercriminaliteit denken ondernemers al gauw dat hun bedrijf daarvoor niet interessant genoeg is.’’

Schieten met hagel op groot aantal bedrijven

Voor een deel hebben ze daar gelijk in, stelt Bakker. ,,Soms is een specifiek bedrijf het doelwit van een aanval, maar veel vaker schieten hackers massaal met hagel op een groot aantal bedrijven tot ze ergens raak schieten. Meestal beseffen ze pas met welk bedrijf ze van doen hebben, zodra ze toegang hebben gekregen tot de server.’’

Stuij: ,,Blijkt dat een groot bedrijf met veel gevoelige informatie te zijn, dan vragen criminelen zonder gêne de hoofdprijs. Maar voor de loodgieter om de hoek-bedrijven gelden aangepaste losgeldtarieven. Dan moet je denken aan enkele tienduizenden versus honderdduizenden euro’s. Natuurlijk te betalen via bitcoin, of andere moeilijk te traceren cryptomunten.’’

Kat-en-muisspel tussen hackers en ondernemers

Hoe deze ellende te voorkomen? Tja, dat is een voortdurend kat-en-muisspel, aldus Stuij. ,,Hackers worden steeds slimmer, dus moeten bedrijven steeds alerter zijn. Voorlopen in IT-vraagstukken is echter niet de corebusiness van doe-bedrijven in bijvoorbeeld de bouw, industrie of automotive. Zij investeren hun tijd liever in klantcontact.’’

Om Rotterdamse bedrijven desondanks wat weerbaarder tegen te maken - en zichzelf wat meer in de kijker te spelen - organiseert Oranje IT daarom gratis kennissessies over het tegengaan van hackers. Bakker: ,,In 20 minuten ben je up-to-date over de belangrijkste maatregelen.’’