Mei 2020: loonbedrijf Van Diepen uit het West-Friese Spanbroek wordt uit het niets platgelegd. Een ‘worm’ komt via een beveiligingslek binnen en vreet zich een weg door alle systemen. In de vroege ochtend krijgt eigenaar Jack van Diepen het automatische toegangshek niet open; een paar kilometer verderop kunnen op het land geen gewasbeschermingsmiddelen worden uitgestrooid door de data-gestuurde spuitkoppen op uitrijdmachines, die normaliter reageren op gps-signalen. Eenmaal op kantoor, blijkt zelfs alle software onbruikbaar. De verbouwereerde ondernemer vraagt zich af: ‘Hoezo bij ons? Wat valt hier nou te halen?’ Het geëiste losgeld van 3.500 euro weigert hij te betalen. De totale, directe bedrijfsschade van dit cyberincident loopt uiteindelijk op tot ruim een halve ton.
Mkb vol in het vizier
Nu, drie jaar later, krijgt het mkb vaker te maken met cybercrime dan het grootbedrijf, zo maakte ABN AMRO in mei op basis van eigen onderzoek bekend. Erwin Sprengers is niet verbaasd: ,,In het mkb ontbreekt de kennis om jezelf goed te beschermen tegen cyberaanvallen. Logisch, want een mkb'er is volledig met zijn corebusiness bezig. Maar grote bedrijven hebben hun digitale veiligheid inmiddels redelijk op orde. Dat zorgt voor een waterbedeffect. Vooral de gelegenheidsdieven richten zich nu op het mkb. Op het dark web of apps als Telegram koopt een hacker een phishingpanel of een email phishing template, waarmee hij zich via een techniek als ‘Spray and Pray’ richt op meerdere kleinere bedrijven tegelijk. Altijd drukt wel ergens een argeloze of ongetrainde medewerker op een link, daarmee malware activerend. De crimineel verdient per slachtoffer wel minder, maar het mkb omvat talloze potentiële slachtoffers.”
Onveilig thuiswerken
Sprengers verwacht een verdere toename van die cyberdreiging: ,,In de overal-kun-je-werken-infrastructuur waarin de cloud een voorname rol speelt, moet de ondernemer zich afvragen: waar staat mijn data, op welke omgeving moet ik focussen, en wat moet ik dan beveiligen? Zo blijkt de thuiswerkplek vaak onveilig. Ik zie een groot risico in kleinere bedrijven die werknemers ook thuis laten werken, maar daar geen controle op laten plaatsvinden. Iedereen heeft dan vaak dezelfde, onbeperkte toegang en rechten tot de bedrijfsdata en IT-omgeving. Ook is bij organisaties tot pakweg twintig werkplekken de tweefactor authenticatie - het inloggen waarbij je naast een wachtwoord een code op een tweede apparaat nodig hebt - nog bijna niet doorgevoerd.”
Naar een laag afbreukrisico
KPN helpt ook de kleine tot middelgrote ondernemingen aan meer weerbaarheid tegen cybercrime. Voor de gemiddelde mkb'er is het onduidelijk óf en wat hij moet doen om de onderneming veilig te maken en te houden: is een antiviruspakket voldoende? Moeten er back-ups worden gemaakt? En hoe regel ik dat iedereen bij de juiste data kan? Sprengers: ,,Cybersecurity kun je vergelijken met de beveiliging van je huis. Om de kans op inbraak te minimaliseren moet je werken met meerdere goedgekeurde sloten en misschien wel een alarminstallatie of automatisch blussysteem. KPN heeft hiervoor een compleet aanbod van producten en diensten, geschikt voor organisaties van klein tot groot, zoals:
Passwordmanager, het begint met een goed password management en bij voorkeur tweefactor authenticatie
Extra Veilig Internet op je internetlijn naar kantoor om je bedrijf te beschermen tegen allerlei schadelijke websites, phishing en spam. Deze dienst is standaard geïntegreerd in ons netwerk. Hij is eenvoudig aan te zetten; inzichten zijn te verkrijgen in de MijnKPN Zakelijk app
Endpoint protection (werkplekbeveiliging): virusscanner om je laptop, tablet, telefoon te beveiligen
Back-up, om als er toch iets gebeurt zaken te kunnen herstellen. Test de back-up regelmatig op correctheid!
E-mailbeveiliging, want een groot deel van de bedreigingen komt nog steeds via de mail binnen
Hierbij geldt altijd: meerdere, goed met elkaar samenwerkende oplossingen verhogen het niveau van cybersecurity. Een virusscanner alleen is bijvoorbeeld niet voldoende.”
Maatregelen voor nog meer digitale veiligheid
Daarnaast biedt KPN vele andere zaken om je bedrijf nog beter te beschermen. Sprengers geeft voorbeelden:
Een oplossing die checkt hoe veilig jouw IT-omgeving is ingericht: deze kan bijvoorbeeld bekende kwetsbaarheden in jouw software ontdekken, die een gemiddelde hacker door de inzet van automatische programma’s kan achterhalen en misbruiken. KPN adviseert vervolgens over oplossingen om die kwetsbaarheden weg te nemen
Een VPN die thuiswerken veiliger maakt
Met MDR (ook wel Managed Detection & Response) kan KPN zaken 24*7 proactief monitoren, zodat je sneller weet of er iets aan de hand is
Awareness-trainingen om je personeel bewuster van de gevaren te maken
Cloud Security, want zonder dat je het beseft maak je meer en meer gebruik van clouddiensten
Voor grotere organisaties levert KPN firewalls waarmee je de verbinding naar je kantooromgeving extra goed beveiligt tegen cyberaanvallen. Ook biedt KPN een oplossing waarmee je de IT-omgeving eenvoudig op één standaard kan houden
Als er onverhoopt een crimineel is binnengedrongen, dan kan KPN met een eigen Incident Response-dienst – een soort digitale brandweer bij cyberincidenten - ondersteunen. Direct na de ontdekking van een veiligheidsinbreuk komen gecertificeerde forensische opsporingsspecialisten naar de klant om herstelwerkzaamheden uit te voeren en om alle informatie veilig te stellen als bewijsstuk richting justitie
KPN ontwikkelt doorlopend haar veiligheidsportfolio, samen met haar partners
Voor een gestructureerde inrichting van de cybersecurity onderscheidt KPN de volgende vijf pijlers die zijn gebaseerd op een internationale standaard, waarin bovengenoemde producten en diensten vallen: Identify - Protect - Detect - Respond - Recover.
Duur? Niks doen is pas duur
Investeringen in cybersecurity zijn weinig populair in het mkb. Maar Sprengers vindt voorkomen slimmer dan genezen: ,,Helaas is vaak een incident nodig voordat ondernemers serieus in cybersecurity investeren. Maar alleen al de kosten van een dag niet werken door een cyberaanval vallen in het niet bij de kosten voor een betere digitale beveiliging van je onderneming. Belangrijk is dat je niet alles zelf moet willen doen. Een gespecialiseerde partij zoals KPN kan daar goed bij ondersteunen, en heeft producten en diensten die ‘Secure by Design’ zijn.”
Extra veilig ondernemen van A tot Z? Met Zakelijk Internet van KPN ben jij extra beschermd tegen cyberaanvallen.
