In een gesprek dat Security officer Roy Sandbergen met Kuijs Reinder Kakes had over cyber security kwam naar voren dat veel organisaties hun online veiligheid niet op de eerste plaats zetten. In dit artikel lees je waarom iedere ondernemer dit wel zou moeten doen.

Cybercrime klinkt als een ‘ver-van-mijn-bed-show’. Een woord dat je misschien niet zo zeer associeert met het MKB. En al helemaal niet met je business. Toch, als je het vertaalt naar de Nederlandse oplossing, klinkt de term al vele malen noodzakelijker: informatiebeveiliging. Want is dat niet wat we als mens en bedrijf allemaal willen? Zodat jij en je medewerkers veilig kunnen werken in tijden dat we massaal thuiswerken en de controle minimaal is. Dat je bij je systemen kan, zonder dat je een flink bedrag hoeft te betalen omdat ze kwaadwillend zijn versleuteld. Dat al je gegevens (en die van je klanten) niet op straat komen te liggen. ‘Informatie is het nieuwe goud’, ervaart Roy Sandbergen, Security Officer en ICT Regisseur bij Hallo. En die informatie hebben ondernemers allemaal. Of je nu de slager in het winkelcentrum, de verfgroothandel op het bedrijventerrein of de lokale uitvaartondernemer bent.

Fabel: ‘Ik ben niet interessant voor hackers’

‘Als ik met MKB-ondernemers praat, is hun eerste reactie dat zij niet interessant zijn voor hackers. Want: wat moet een hacker nu met mij? Maar een hacker kijkt niet naar jou. Hij valt niet bewust de schilder of de bakker op de hoek online aan. Cybercrime omvat geautomatiseerde aanvallen die het internet scannen op kwetsbaarheden op websites en servers. En of er toegang is tot de systemen. Zo zijn er continue kwetsbaarheden op verschillende niveaus, op serverniveau en websiteniveau. Dit wordt wereldwijd georganiseerd en geautomatiseerd uitgevoerd. Het is een systeem dat continue ratelt’, verduidelijkt Roy Sandbergen.  

Phishing en spam mails

Cybercrime is taal en term die voor velen onbekend is. Toch zijn phishing en spam mail inmiddels ingeburgerde termen. Ongewild nemen deze woorden hun positie in de huidige maatschappij in. Wat betekenen de termen nu eigenlijk? Roy Sandbergen: ‘Elke organisatie heeft last van phishing mails. Phishing mails zijn mails die om een actie vragen. Dat kan een klik zijn. Maar ook het invullen van gegevens. Spam zijn de ongewenste folders. De reden van de Nee-sticker op de brievenbus. Met name phishing mail is een grote bedreiging voor het MKB. Een klik kan al toegang verlenen tot uw account en systemen. Dan zijn ze binnen.’

Top 3 cybercrime risico’s voor het MKB

Cybercrime is dus eigenlijk veel minder ver van je bed, dan je eigenlijk zou willen. Welke gevaren zijn er? Roy Sandbergen ziet deze top 3 cybercrime risico’s voor het MKB:

1: Ransomware

Versleutelde data waardoor u niet meer bij uw gegevens kan en uw medewerkers hun werk niet kunnen doen. Om weer toegang te krijgen, moet u cryptovaluta zoals bitcoins betalen. Het overkwam de Universiteit van Maastricht. Het kostte de universiteit bijna 200.000 euro losgeld.

2: Phishing mail

Valse e-mails met als doel uw inloggegevens te ontfutselen. Bijvoorbeeld door u door te laten klikken naar een website dat lijkt op de echte website van een bekend bedrijf. Of u wordt verzocht gegevens in te vullen zoals inloggegevens of creditcard gegevens, waarmee hackers uw account overnemen en misbruiken.

3: CEO-fraude

Betalingen bij de financiële afdeling lospeuteren. Pathé is hier een voorbeeld van. Een kwaadwillende deed zich voor als de CEO en vroeg de CFO van Pathé een betaling te doen. Door nepmails is Pathé voor 19 miljoen euro opgelicht.

Belangrijk is om te beseffen dat het een het ander niet uitsluit. Het kan elkaar zelfs opvolgen. Ransomware kan een gevolg van phishing zijn.

Datalek door phising mail

‘Een ander risico is een datalek. Dit kan ontstaan door een phising mail. Het kan ook zijn dat je applicatie of server niet up to date is. Of dat jij of een van je medewerkers op een kwaadwillende advertentie op een website klikt’, legt Roy Sandbergen.

Bij een datalek gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens. Maar ook om het ongewenst vernietigen, verliezen, wijzigen en verstrekken van persoonsgegevens. Ook hierdoor kunnen de betrokken personen schade ondervinden. Deze dient dan conform de AVG gemeld te worden bij de autoriteit persoonsgegevens.

Dit kan je als MKB’er doen

Cybercrime is dichterbij dan je mogelijk voor het lezen van dit artikel dacht. Toch kun je genoeg dingen zelf doen om de risico’s beperken. Cybersecurity noemt Roy Sandbergen dat. Preventie, noemen ze dat bij Kuijs Reinder Kakes. Welke term je ook kiest, het valt of staat volgens Roy met een goede basishygiëne. Of, zoals hij zelf zegt: ‘Je moet weten wat je hebt, voordat je kan weten waarvoor je kwetsbaar bent.’

In 3 stappen naar internetveiligheid

Een goede basishygiëne voor uw informatieveiligheid neerzetten, doe je in deze drie stappen:

Stap 1

Weet wat je hebt: welke servers en applicatie heb je? Maak een risico-inventarisatie van je IT-landschap.

Stap 2

Als je weet wat je hebt, kijk dan op basis van prioriteit welke kwetsbaarheden daarbij horen. Stel je zich voor dat je werkt met systemen als Citrix en Mailchimp. Als Citrix plat ligt, kunnen je medewerkers niet werken en loop je omzet mis. Als Mailchip stilligt, kan je wekelijkse mailing niet worden verzonden. De prioriteit zal dan liggen op Citrix en de eventuele kwetsbaarheden hierin te beheersen.

Stap 3

Als je weet wat je hebt en welke systemen voor jou belangrijk zijn,  benoem je de maatregelen. Denk aan technische maatregelen, zoals het voorkomen van virussen door een antivirusprogramma. Maar ook organisatorische maatregelen. Wat kun je doen om je mensen bewust te maken van de bedreigingen? Naast bewustwording is het opstellen en meegeven van een beleid ook raadzaam. Wat versta je onder het goed beveiligen van een wachtwoord? Is dat een post-it in de laptoptas of versleuteld opslaan in de cloud?

Een goede basishygiëne gaat over het benoemen en prioriteren van de maatregelen en daar beleid op voeren, om te zorgen dat je in control bent. 

Thuiswerken & cybercrime

Het grootste risico bij thuiswerken, is volgens Roy Sandbergen dat je geen controle hebt over de systemen waarop je medewerkers werken, zijn deze bijvoorbeeld verouderd en kwetsbaar? ‘Informatie van je bedrijf downloaden en lokaal opslaan, is zo gebeurd. En wat voor internetverbindingen hebben je medewerkers? Kunnen hackers daarop meekijken? Doordat mensen thuiswerken, ontstaat ongewild toch minder binding met het bedrijf. Er groeit een afstand. Hoe zorg je dat je medewerkers ondanks de groeiende afstand toch melden dat zij onbedoeld op die link hebben geklikt? Snel melden is noodzakelijk. Toch heerst er schaamte voor cybercrime. Mijn advies is daarom: beloon het melden. Straf het niet af.

Laatste tip

Tot slot, een laatste tip van Roy: ‘Stel een plan op voor als het misgaat. 100% veiligheid krijg je nooit. Wat ga je doen als je een ransomware uitbraak hebt? Wie ga je bellen? Wie is in de lead? Welke externen heb je nodig? Welke systemen ga je als eerst herstellen? Ben voorbereid, denk erover na. Want, je controleert toch ook niet de brandblussers als je huis in de fik staat? Maak een noodplan en deel die met de betrokkenen.’

Conclusie

Vanuit preventie (of cyber security) kun je al veel ondervangen. Toch, 100% zekerheid heb je nooit. Voor die situaties is er een verzekering. Daarom zijn wij er voor je. Om je vooraf preventief te behoeden en je te helpen als je onverhoopt toch anders loopt.

Roy Sandbergen  is security consultant bij Hallo. Zowel binnen de organisatie als extern bij klanten adviseert hij over informatiebeveiliging. Ook is hij ICT-regisseur. In deze rol is hij de schakel tussen de verschillende IT-bedrijven van de klant. Roy Sandbergen adviseert ook KRK over hun ICT-security. Hallo is ICT-leverancier bij KRK. Dit artikel is geschreven door KRK.

Bron: KRK.nl