De gemiddelde schade van een cyberaanval is 300.000 euro. Deze kosten komen onder meer voort uit downtime, productieverlies, gegevensverlies en datadiefstal. En dan hebben we het nog niet over herstelkosten en reputatieschade. Toch laat de weerbaarheid van Nederlandse bedrijven te wensen over, volgens het Cybersecuritybeeld Nederland van de Nationaal Coördinator Terrorismebestrijding en Veiligheid. De afhankelijkheid van ICT is groot en storingen hebben een steeds grotere impact op bedrijven en de maatschappij. Bovendien overheerst vooral bij kleinere bedrijven het gevoel dat ze geen doelwit zijn.

Directe en indirecte aanvallen

Een misvatting, stelt Marcel van Oirschot, verantwoordelijk voor de business unit KPN Security. ‘In de securitymarkt wordt altijd gezegd dat er twee soorten bedrijven zijn: de organisaties die zijn gehackt en dat wéten, en de organisaties die zijn gehackt en het zich niet bewust zijn.’ Volgens hem is het bijna een gegeven dat een bedrijf met cybercrime te maken krijgt. ‘Het is dan ook belangrijk om te kijken naar de typen aanvallen die we onderscheiden. Zo zijn er de directe aanvallen, waarbij cybercriminelen het specifiek op jouw organisatie hebben gemunt, omdat er veel te halen valt qua geld of interessante data of technologie. Daarnaast zijn er indirecte aanvallen, die niet specifiek op een bepaald bedrijf zijn gericht, maar waarvan je wel slachtoffer wordt.’

‘Goede security gaat over mensen, processen en technologie. In díe volgorde.’

Bewustwordingscampagne

Voor organisaties die geen speciaal securityteam hebben, kan cybersecurity overweldigend zijn. Het wordt vaak gezien als complex en duur. Bedrijven weten niet goed waar te beginnen, welke securitymaatregelen écht belangrijk zijn en welke keuzes de juiste zijn. Bovendien is het lastig om de bomen te blijven zien in het drukke bos met aanbieders van security-oplossingen. Van Oirschot ziet dat vaak technische oplossingen worden gekocht waarmee bedrijven zich vervolgens veilig wanen. ‘Maar goede security gaat over mensen, processen en technologie. In díe volgorde. Als je goede technologische maatregelen implementeert, maar je mensen niet bewust maakt van mogelijke risico’s, sta je alsnog met lege handen.’

Gedragsverandering

Dat is precies waar Ton Sundermeijer, information security officer bij TBI SSC-ICT, mee bezig is. ‘Wij hebben solide technische securitymaatregelen getroffen, maar een geavanceerd phishingmailtje kan nog wel eens langs de beveiliging sluipen en wanneer een medewerker vervolgens op de link in die mail klikt, hebben we alsnog de poppen aan het dansen.’ Dat is de reden dat het shared service center (SSC) van TBI gestart is met een awarenesscampagne. ‘Voorheen probeerden we medewerkers ook te wijzen op mogelijke gevaren van cybercrime, maar we wilden dat gerichter aanpakken. Vandaar dat we met een externe partij aan de slag zijn die ervaring heeft met gedragsverandering. Zij werken met gedragsdeskundigen die verstand hebben van hoe je bewustwording bij mensen kunt bewerkstelligen.’ De campagne is gestart met een nulmeting en loopt in totaal twee jaar.

Veiligheid voorop

TBI SSC-ICT is dé ICT dienstverlener van TBI, dat de fysieke leefomgeving vernieuwt, inricht en onderhoudt. TBI is een groep van 19 ondernemingen met bijna zesduizend medewerkers verspreid over heel Nederland. Met hun brede en multidisciplinaire kennis van de bouw, installatie- en ICT-branche is TBI SSC-ICT op het gebied van informatisering de gespreks- en business partner voor TBI. Sundermeijer is bij het SSC verantwoordelijk voor de generieke beveiliging van de ICT-systemen. Bij alles wat de groep onderneemt staat veiligheid voorop. ‘Van oudsher had die veiligheid natuurlijk vooral betrekking op fysieke veiligheid. We werken in een branche waarin landelijk een groot aantal ongevallen te betreuren zijn. Maar het wordt steeds belangrijker dat we ook begrijpen welke risico’s er schuilen in de digitale wereld. De sectoren techniek, bouw en infra worden, net zoals de rest van de maatschappij, steeds meer afhankelijk van technologie. Bovendien zit er ook steeds meer technologie ín de zaken die we maken. Denk bijvoorbeeld aan sensoren in tunnels of domotica in gebouwen.’ Daarom vindt Sundermeijer het zo belangrijk dat zijn collega’s van TBI zich realiseren welke belangrijke rol zij zelf spelen in het veilig houden van gegevens.

Oneerlijke concurrentie

Een van de grote gevaren van cybercrime voor de sectoren waarin TBI werkzaam is, is dat concurrenten inbreken in de systemen van één van de aangesloten organisaties. Snoep: ‘Dit soort bedrijven werkt vaak met tenders. Kenmerkend daaraan is dat die op een specifiek moment moeten worden ingezonden. Wat nou als jouw concurrent juist op dát moment jouw systemen plat weet te leggen en jij de documenten – waar een team zes weken op heeft zitten zweten – niet op tijd kan inleveren?’ Een andere mogelijkheid, waarbij je als ondernemer niet eens doorhebt dat er iets aan de hand is, is dat onbedoeld andere partijen de mogelijkheid hebben om (eerder) inzage te hebben in jouw documenten van de aanbesteding en de andere partijen daar hun voordeel uit kunnen halen. “Dan kunnen zij in hun aanbesteding nét onder jouw prijs gaan zitten, zonder dat ze daar een hele afdeling een paar weken op hebben laten zitten rekenen’, vult Sundermeijer aan. ‘Dat zijn heel reële scenario’s.’

Ton Sundermeijer is information security officer bij TBI shared service center ICT-diensten. TBI is een groep van ondernemingen die de leefomgeving op een duurzame manier vernieuwt, inricht en onderhoudt. Het SCC biedt ICT-diensten aan de negentien leden van de groep. Sundermeijer is bij het SSC verantwoordelijk voor de generieke beveiliging van de ICT-systemen.

Start met analyse

Volgens Van Oirschot is het cruciaal voor ondernemers om te starten met een analyse van het bedrijf. Wie ben ik, wat heb ik en wat wil ik beveiligen? Beschikt een organisatie over zeer waardevolle data, over veel geld of over innovatieve nieuwe technologie, dan is de kans groter dat er gerichte aanvallen worden uitgevoerd. ‘Uiteindelijk zijn cybercrime-organisaties ook ondernemingen waarbij de criminelen met zo weinig mogelijk mensen en zo min mogelijk moeite zoveel mogelijk winst willen maken.’

Betaling van losgeld

Vandaar dat er ook nog vaak met hagel wordt geschoten, zoals indirecte aanvallen ook wel worden genoemd. Zeker wanneer het kleinere bedrijven betreft, is de ervaring dat zij na een ransomware-aanval relatief vaak tot betaling van het losgeld overgaan, om hun ‘gegijzelde’ – versleutelde, red. – bestanden weer terug te krijgen. ‘Met een analyse breng je voor jezelf in kaart met welke aanvallen je rekening moet houden en welke assets in jouw organisatie het meest belangrijk zijn’, zegt Van Oirschot. Hij trekt de vergelijking met een flinke brand in een boerenschuur. ‘Je ziet vaak dat de brandweer die schuur dan gecontroleerd laat uitbranden, en zich concentreert op het redden en beschermen van het woonhuis.’

Iedereen aan de basisbeveiliging

Die analyse maakt deel uit van de basisbeveiliging die iedere organisatie zou moeten hebben, stelt Van Oirschot. ‘Dat zijn helemaal geen moeilijke en dure maatregelen, maar ze kunnen een hele hoop ellende schelen.’ Hij grijpt terug op de drie pijlers mensen, processen en technologie. ‘Zorg dat je medewerkers bewust zijn van de gevaren van cybercrime en weten waar de risico’s zitten. Een goede back-upstrategie is eveneens onmisbaar, net als het uitvoeren van updates op je systemen en een goed password-beleid. Dat zijn dingen die je als ondernemer prima zelf kunt regelen.’

Podcast: Cybersecurity: Veiligheidsissues raken iedereen, welke impact kan dit hebben in de bedrijfsvoering?

Installateurs met iPads. Projectleiders die vanaf de bouwplaats inloggen op het bedrijfsnetwerk. Ton Sundermeijer is Chief Information Officer bij TBI, één van de grotere bouwbedrijven van ons land. Het bedrijf is volop aan het digitaliseren en stuit daarbij ook op nieuwe veiligheidsuitdagingen.

Host John van Schagen en directeur zakelijke markt Marieke Snoep gaan in gesprek met deze digitale koploper.

Security is geen exacte wetenschap

Afhankelijk van de hoeveelheid security-kennis in een bedrijf kan een ondernemer een partner in de hand nemen. ‘Security is geen exacte wetenschap en volledige veiligheid is een utopie’, vult Snoep aan. ‘Een goede basisbeveiliging is een balansoefening tussen de risico’s die een organisatie loopt, het besteedbare budget en de mate waarin securityoplossingen en processen de productiviteit van medewerkers mogen hinderen. Bij KPN begrijpen we die balansoefening als geen ander.’

Samenwerken met strategische partners

Om met alle kennis en expertise die het bedrijf inmiddels heeft opgebouwd op het gebied van security, andere organisaties te kunnen helpen, heeft KPN een security operations center (SOC) ingericht dat als managed service kan worden afgenomen. Een SOC is een afdeling die op zowel technisch als organisatorisch gebied cyberdreigingen in de gaten houdt. ‘Het opzetten van een goed SOC is slechts weinig bedrijven gegeven, omdat het een zeer complexe en dure aangelegenheid is. Slechts een handvol Nederlandse bedrijven heeft daarvoor de skills en middelen’, zegt Van Oirschot. Ook hier trekt hij weer de vergelijking met de brandweer. ‘Hoeveel Nederlandse bedrijven hebben een eigen brandweerkorps? Slechts een handjevol. De rest van Nederland vertrouwt op de diensten van de regionale brandweerkorpsen.’

Flexibele schil

De basisbeveiliging kan binnen een organisatie heel goed zelf worden geregeld, stelt Snoep. ‘Maar daarboven moet je vertrouwen op partners.’ Sundermeijer beaamt dat en stelt dat het raadzaam is om samen te werken met betrouwbare en stabiele partijen in de markt. ‘Het vaste team bij TBI SSC-ICT bestaat uit twee mensen, en die werken samen met de information security officers, privacy officers en informatiemanagers bij de aangesloten ondernemingen om het beleid te bepalen. Daaromheen hebben we een flexibele schil die bestaat uit de supportteams van onze strategische leveranciers. Wanneer zich onverhoopt een incident voordoet, wordt er direct een team samengesteld dat het incident moet oplossen. We kunnen daarin tamelijk groot opschalen.’

Uit de taboesfeer

Zowel Sundermeijer als Snoep hopen in de toekomst op meer openheid van zaken. ‘Er hangt een grote taboesfeer rondom security-incidenten’, zegt de KPN-directeur. ‘Wanneer er bij mijn buurman wordt ingebroken, schiet ik niet in de lach en vind ik hem niet dom. Het opvallende is, dat die sfeer wel rond cyberaanvallen hangt. Dat is niet alleen onnodig, het zorgt er ook voor dat we niet kunnen leren van elkaar, omdat iedereen zijn mond erover houdt uit een soort, in mijn ogen, misplaatste schaamte. Ik hoop dat bedrijven en ondernemers in Nederland steeds vaker eerlijk durven zijn over wat hen is gebeurd, zodat we kunnen leren van elkaar en zo met z’n allen sterker staan in de strijd tegen cybercrime.’

Kennisdeling

Ook Sundermeijer zou graag meer kennisdeling zien. ‘Natuurlijk hoeven we niet te weten hoe de beveiliging van De Nederlandsche Bank of een ministerie in elkaar zit, maar wanneer we meer kennis kunnen delen binnen het mkb over generieke security, kunnen we van elkaar leren. Als daar niet meer op geconcurreerd wordt, kom je tot een groter platform waarbij je in gesprek bent hoe je als ondernemer bepaalde zaken aanpakt, zonder dat je daarmee zoveel openheid van zaken geeft dat het je kwetsbaar maakt.’

Digital Heroes

Een van de grote uitdagingen voor ondernemers is de digitale transformatie. De wetenschap dat processen en business modellen slimmer en beter kunnen, maar het gebrek aan tijd, geld en overzicht in het woud aan informatie, maakt dat het niet helder is hoe en waar te beginnen. KPN biedt met de serie Digital Heroes relevante informatie op verschillende gebieden van digitalisering, zodat u als ondernemer kunt profiteren van de mogelijkheden terwijl de zaak gewoon door draait.

De meest voorkomende dreigingen op een rij

• (Spear)phishing

• Ransomware

• Netwerkaanvallen

• CEO-fraude

• Spam

• Cryptojacking

• DDoS-aanvallen

Vijf stappen om een basisbeveiliging op te zetten