CENTRAAL BEHEER ZAKELIJK IS VERANTWOORDELIJK VOOR DE INHOUD VAN DIT ARTIKEL
De redactie van Het Financieele Dagblad draagt voor deze inhoud geen verantwoordelijkheid.
Het zal je maar gebeuren dat gevoelige bedrijfsinformatie in handen komt van cybercriminelen die daardoor bijvoorbeeld ongemerkt geld kunnen wegsluizen. Of dat data van jouw klanten of patiënten in verkeerde handen vallen. En wat te denken van ransomware waarbij de cybercrimineel de computer gijzelt door deze te blokkeren en de blokkade alleen maar opheft na ontvangst van geld. ‘Ondernemers onderschatten de risico’s van cybercrime voor hun bedrijf en denken vaak dat het hen niet overkomt.’ Dat is, samengevat, wat de cybercrime-adviseurs van Centraal Beheer - Erik de Jong en Edgar Versteeg - benadrukken.
‘Ondernemers onderschatten de risico’s van cybercrime en denken dat het hen niet overkomt’
Onwetende ondernemers
Maar die gedachte is onjuist. Ook kleine, relatief onzichtbare bedrijven kunnen in handen vallen van cybercriminelen. ‘Zie het als zakkenrollen’, zegt Erik de Jong, chief research officer bij computerbeveiligingsbedrijf Fox-IT. ‘De criminelen gaan voor de makkelijke buit. Het interesseert ze niet van wie die is.’ Sinds de komst van de coronacrisis is cybercrime geëxplodeerd. In mei 2020 werden er voor het eerst meer cybercrime-delicten geregistreerd bij de politie dan woninginbraken. Vergeleken met mei vorig jaar was het aantal cybercrime-incidenten in mei 2020 met 1869 gevallen bijna 400% keer zo hoog. Veel bedrijven weten bovendien niet eens dat ze gehackt zijn. Daar komt bij dat mkb’ers minder vaak cyberveiligheidsmaatregelen treffen dan grootzakelijke bedrijven dat doen, waardoor ze onnodige risico’s lopen, blijkt uit de Risicorapportage Cyberveiligheid Economie 2018 van het Centraal Planbureau. Gelukkig is er veel dat ondernemers eenvoudig zelf kunnen doen om cybercriminaliteit buiten de deur te houden.
1. Voer tweestapsverificatie door
Wil je de cyberrisico’s terugdringen? Met stip op één staat volgens De Jong het invoeren van tweestapsverificatie voor bijvoorbeeld e-mail en andere administratieve applicaties. De Jong: ‘Daarmee voorkom je dat partijen vanaf een andere computer dan de jouwe, zomaar kunnen inloggen op je systeem als ze de combinatie van je wachtwoord en gebruikersnaam kennen. En veel van deze combinaties zijn in handen van criminelen gekomen doordat dit soort gegevens via hack bij organisaties naar buiten zijn gelekt.’
‘Bij tweestapsverificatie ontvang je een bericht dat je moet aantonen wie je bent als je vanaf een ander apparaat inlogt. Bijvoorbeeld door een verificatiecode in te voeren die je via je telefoon ontvangt. Heb je de juiste code niet, dan kom je er niet in.’ Het is een vrij simpele en goedkope manier om de digitale deuren dicht te houden voor ongenode gasten. In de meeste programma’s kun je deze optie eenvoudigweg aanvinken. De Jong benadrukt nog het feit dat ondernemers tweestapsverificatie ook moeten eisen van hun ICT-providers. ‘Ook zij moeten bij beheer op afstand niet kunnen inloggen met slechts een wachtwoord en gebruikersnaam. Dat is niet meer van deze tijd.’
2. Maak back-ups en weet ze te vinden
Veel ondernemers hebben back-ups van hun bestanden uitbesteed aan een cloudprovider of IT-bedrijfje om de hoek. Vervolgens kijken de meeste ondernemers er niet meer naar om en gaan ervanuit dat de back-ups er wel zijn. Maar in de praktijk blijkt dat het lang altijd duidelijk is van welke gegevens wanneer een back-up wordt gemaakt en waar en hoe snel deze kan worden teruggezet, mocht dat nodig zijn. Is dat binnen een uur? Een halve dag? Of een hele dag? En lukt het ook om de gegevens daadwerkelijk terug te zetten?
Het is raadzaam dit laatste vooral te testen en geregeld een back-up te maken op een harde schijf die een ondernemer op een andere locatie – bij voorkeur op een veilige externe locatie – bewaart. Mocht het bedrijf afbranden en de back-up toch niet kan worden hersteld, dan is er altijd nog de harde schijf met redelijke up-to-date bedrijfsgegevens.
Een back-up is overigens niet hetzelfde als synchronisatie van bestanden. Een back-up is veiliger omdat het alle bestanden veilig stelt en bestanden niet – zoals bij synchronisatie – verloren kunnen gaan omdat ze per ongeluk in de bron verwijderd zijn. Hoeveel je ook doet aan preventieve maatregelen tegen ransomware, de kans dat je er een keer mee te maken krijgt is groot. De beste beveiliging is nog altijd een actuele en werkbare back-up. Hiermee beperk je het dataverlies en ben je niet vatbaar voor chantage door cybercriminelen.
Hoe een hack het faillissement van Xander Koppelmans inluidde
Het bedrijf van ondernemer Xander Koppelmans werd vier jaar geleden gehackt. Schade: 750.000 euro. Uiteindelijk, twee jaar later, ging hij failliet. Zijn emotionele verhaal en zijn tips vertelde hij in de uitzending van BNR In Bedrijf. “Ik dacht dat ik alles goed op orde had.”
3. Voer altijd updates uit
Veel kleine bedrijven zijn laks als het gaat om het uitvoeren van updates, meent Edgar Versteeg, cybersecurity expert en eigenaar van Dizzrupt. ‘Het bijwerken, ofwel patchen van software kost moeite en veel ondernemers wachten op de volgende patch om deze pas dan door te voeren. Maar verouderde software brengt veiligheidsrisico’s met zich mee. Hackers hebben hier een neus voor.’
‘Verouderde software brengt veiligheidsrisico's met zich mee. Hackers hebben hier een neus voor’
Versteeg heeft als tip voor bedrijven om een medewerker daadwerkelijk verantwoordelijk te maken voor de informatiebeveiliging en daarmee ook voor het uitvoeren van updates. ‘Veel incidenten zijn te voorkomen door snel software-updates te installeren. Anders grijpen cybercriminelen eenvoudigweg hun kans.’
4. Sluit openstaande ‘achterdeuren’
Vrijwel iedere organisatie heeft wel applicaties in huis die verouderd en niet meer in gebruik zijn. ‘Het risico van verouderde software is dat de beveiliging ervan vaak zo lek als een mandje is’, zegt Versteeg. ‘Voor hackers vormt verouderde software dan ook een mooie kans om het bedrijfsnetwerk binnen te dringen. Hackers zijn slim en inventief en zoeken altijd naar “achterdeurtjes” in de systemen.’
Overigens kunnen die achterdeuren ook openstaan in nieuwe software, benadrukt hij. ‘Daarom is patchen zo belangrijk.’ Maar ook fysieke werkplekken bieden cybercriminelen soms eenvoudig toegang tot laptops en computers van medewerkers. Versteeg: ‘Medewerkers moeten geen laptops open laten staan of documenten laten slingeren op bureaus wanneer ze niet zelf ter plekke zijn. Het vergrendelen van laptops en een “clean desk” beleid kunnen dit vrij eenvoudig voorkomen.’
Ook printers bieden kansen aan cybercriminelen omdat deze vaak in verbinding staan met het bedrijfsnetwerk. Wanneer een printer onvoldoende beveiligd is, kan een hacker zich via deze weg eenvoudig toegang verschaffen tot het bedrijfsnetwerk. Alles wat met het internet of bedrijfsnetwerk verbonden is, vormt een kwetsbaarheid en vraagt om de nodige voorzorgsmaatregelen.
5. Gebruik een wachtwoordmanager en versleutel de data
Een goede wachtwoordmanager is een vereiste voor ondernemers. Gebruik daarbij nooit hetzelfde wachtwoord twee keer en zorg er in ieder geval voor dat een wachtwoord een hoofdletter heeft, een getal en een ander teken. De reden daarvoor is dat een cybercrimineel met vrij eenvoudige software heel veel wachtwoorden kan genereren en makkelijke wachtwoorden hierdoor simpel kan kraken. Zodra een nieuwe site wordt gelanceerd, beukt dit soort programma’s erop los. Een digitale wachtwoordmanager helpt om steeds weer sterke wachtwoorden te genereren en deze voor je op te slaan zodat je ze niet vergeet.
Ook het versleutelen van gevoelige te verzenden data (data encryption) is aan te raden, meent Versteeg. ‘Versleutelde data zijn zonder de juiste sleutel – denk aan een wachtwoord - onleesbaar.’ In sommige mailprogramma’s is het vrij eenvoudig om de inhoud van berichten af te schermen voor derden. Soms is daar aparte software voor nodig. Het begint echter met bewuster om te gaan met gevoelige informatie en na te denken hoe deze het beste kan worden verstuurd. Een e-mail kan worden onderschept, tegenwoordig zijn er vele software-oplossingen beschikbaar die het mogelijk maken veilig bestanden te delen.
Edgar Versteeg: “Met een Responsible Disclosure nodig je op je site ethisch hackers uit om ICT-kwetsbaarheden te melden.”
6. Nodig ethische hackers uit op je website
Veel bedrijven en ook overheden werken vandaag de dag met zogenaamde Coordinated Vulnerability Disclosure, voorheen ook wel Responsible Disclosure genoemd. ‘In feite nodig je met zo’n disclosure op je site ethisch hackers uit om ICT-kwetsbaarheden te melden’, legt Versteeg uit. ‘Bedrijven kunnen ethische hackers hiervoor belonen in de vorm van geld, maar het kan ook op andere manieren. Normaal gesproken mag iemand dat niet zomaar doen, maar met een Responsible Disclosure-beleid geef je aan cybersecurity serieus te nemen en wordt je feitelijk geholpen door de “hackers community”. Vind een ethische hacker iets, dan kun je doelgerichte maatregelen treffen om die kwetsbaarheden op te heffen.’ Op de site van het National Cyber Security Centrum van het ministerie van Justitie en Veiligheid staat beschreven hoe zo’n Coordinated Vulnerability Disclosure eruit ziet. En in deze pdf lees je hoe je zo'n CVD effectief inzet.
7. Maak medewerkers bewust van de risico’s
De mens is vrijwel altijd de zwakste schakel. Ook als het gaat om cybercrime. Nu veel medewerkers thuiswerken, is het extra belangrijk om medewerkers bewust te maken van de risico’s en ze te trainen om zorgvuldig om te gaan met (inlog)gegevens, rondslingerende laptops en het niet openen van verdachte e-mails. Negen van de tien keer is het het eigen personeel dat klikt op phishing mails. Of dat nu op kantoor is, of thuis op de bedrijfscomputer. Train ze om hier alert op te zijn en wijs ze erop nooit een document te openen dat verdacht overkomt. Een hacker die ziet dat er een vacature is in het bedrijf, kan eenvoudig een besmet worddocument sturen naar het bedrijf met een zogenaamde sollicitatiebrief. Zodra deze wordt geopend, zit de hacker in het bedrijfssysteem. Beter is om voor sollicitatiebrieven een speciale mailbox te openen. Ook de directie moet op de hoogte zijn van de mogelijke risico’s. ‘Laat je informeren’, benadrukt De Jong. ‘Bijvoorbeeld op digitaltrustcenter.nl, een portal van de overheid dat mkb-ondernemers helpt om veilig digitaal te ondernemen. En maak regels. Bijvoorbeeld: ‘Neem altijd telefonisch contact op met de afzender van een betalingsverzoek per mail dat hoger is dan 1.000 euro. Daarmee voorkom je dat grote bedragen ongewild worden overgemaakt aan internetcriminelen die zich bijvoorbeeld via e-mail voordoen als een medewerker of bestuurder van een bedrijf.’
Meld een datalek bij de Autoriteit Persoonsgegevens
Volgens de wet moeten ondernemers een ‘ernstig’ datalek binnen 72 uur na de ontdekking melden aan de Autoriteit Persoonsgegevens. Een datalek is een informatiebeveiligingsincident waardoor persoonsgegevens in verkeerde handen terecht kunnen komen. Alleen als er sprake is van een beveiligingsincident, is er sprake van een datalek.
Over deze advertorial
Dit artikel is tot stand gekomen in samenwerking met de commerciële afdeling FD Mediagroep Effect. De redactie van Het Financieele Dagblad draagt voor de inhoud van deze pagina geen verantwoordelijkheid.
Over Centraal Beheer
Centraal Beheer is de persoonlijke businesspartner van zakelijk Nederland. Wij helpen ondernemers al meer dan 100 jaar. Met verzekeringen, maar ook steeds vaker met vernieuwende diensten en oplossingen.
Met ons ondernemersprogramma Groeiversneller helpen we ondernemers bijvoorbeeld met het bepalen en realiseren van hun strategische visie. En met Lekker Bezig, de praktische totaalaanpak voor duurzame inzetbaarheid, helpen we werkgevers op weg naar een duurzaam inzetbare organisatie. Ook werken we actief aan oplossingen voor maatschappelijke ontwikkelingen als de verduurzaming van vastgoed en de veranderende behoefte op het gebied van zakelijke mobiliteit.
Door actief samen te werken met ondernemers, partners en netwerken komen we tot interessante en inspirerende inzichten. En zetten we uitdagingen gezamenlijk om in kansen.