Cyber security: ‘U controleert toch ook niet de brandblussers als uw huis in de fik staat?’
Cybercrime klinkt als een ‘ver-van-mijn-bed-show’. Een woord dat u misschien niet zo zeer associeert met het MKB. En al helemaal niet met uw business. Toch, als u het vertaalt naar de Nederlandse oplossing, klinkt de term al vele malen noodzakelijker: informatiebeveiliging. Want is dat niet wat we als mens en bedrijf allemaal willen? Zodat u en uw medewerkers veilig kunnen werken in tijden dat we massaal thuiswerken en de controle minimaal is. Dat u bij uw systemen kan, zonder dat u een flink bedrag hoeft te betalen omdat ze kwaadwillend zijn versleuteld. Dat al uw gegevens (en die van uw klanten) niet op straat komen te liggen. ‘Informatie is het nieuwe goud’, ervaart Roy Sandbergen, Security Officer en ICT Regisseur bij Successfully. En die informatie hebben ondernemers allemaal. Of u nu de slager in het winkelcentrum, de verfgroothandel op het bedrijventerrein of de lokale uitvaartondernemer bent.
Fabel: ‘Ik ben niet interessant voor hackers’
‘Als ik met MKB-ondernemers praat, is hun eerste reactie dat zij niet interessant zijn voor hackers. Want: wat moet een hacker nu met mij? Maar een hacker kijkt niet naar u. Hij valt niet bewust de schilder of de bakker op de hoek online aan. Cybercrime omvat geautomatiseerde aanvallen die het internet scannen op kwetsbaarheden op websites en servers. En of er toegang is tot de systemen. Zo zijn er continue kwetsbaarheden op verschillende niveaus, op serverniveau en websiteniveau. Dit wordt wereldwijd georganiseerd en geautomatiseerd uitgevoerd. Het is een systeem dat continue ratelt’, verduidelijkt Roy Sandbergen.
Phishing en spam mails
Cybercrime is taal en term die voor velen onbekend is. Toch zijn phishing en spam mail inmiddels ingeburgerde termen. Ongewild nemen deze woorden hun positie in de huidige maatschappij in. Wat betekenen de termen nu eigenlijk? Roy Sandbergen: ‘Elke organisatie heeft last van phishing mails. Phishing mails zijn mails die om een actie vragen. Dat kan een klik zijn. Maar ook het invullen van gegevens. Spam zijn de ongewenste folders. De reden van de Nee-sticker op de brievenbus. Met name phishing mail is een grote bedreiging voor het MKB. Een klik kan al toegang verlenen tot uw account en systemen. Dan zijn ze binnen.’
Top 3 cybercrime risico’s voor het MKB
Cybercrime is dus eigenlijk veel minder ver van uw bed, dan u eigenlijk zou willen. Welke gevaren zijn er? Roy Sandbergen ziet deze top 3 cybercrime risico’s voor het MKB:
- Ransomware. Versleutelde data waardoor u niet meer bij uw gegevens kan en uw medewerkers hun werk niet kunnen doen. Om weer toegang te krijgen, moet u cryptovaluta zoals bitcoins betalen. Het overkwam de Universiteit van Maastricht. Het kostte de universiteit bijna 200.000 euro losgeld.
- Phishing mail. Valse e-mails met als doel uw inloggegevens te ontfutselen. Bijvoorbeeld door u door te laten klikken naar een website dat lijkt op de echte website van een bekend bedrijf. Of u wordt verzocht gegevens in te vullen zoals inloggegevens of creditcard gegevens, waarmee hackers uw account overnemen en misbruiken.
- CEO-fraude. Betalingen bij de financiële afdeling lospeuteren. Pathé is hier een voorbeeld van. Een kwaadwillende deed zich voor als de CEO en vroeg de CFO van Pathé een betaling te doen. Door nepmails is Pathé voor 19 miljoen euro opgelicht.
Belangrijk is om te beseffen dat het een het ander niet uitsluit. Het kan elkaar zelfs opvolgen. Ransomware kan een gevolg van phishing zijn.
Datalek door phising mail
‘Een ander risico is een datalek. Dit kan ontstaan door een phising mail. Het kan ook zijn dat uw applicatie of server niet up to date is. Of dat u of een van uw medewerkers op een kwaadwillende advertentie op een website klikt’, legt Roy Sandbergen.
Bij een datalek gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens. Maar ook om het ongewenst vernietigen, verliezen, wijzigen en verstrekken van persoonsgegevens. Ook hierdoor kunnen de betrokken personen schade ondervinden. Deze dient dan conform de AVG gemeld te worden bij de autoriteit persoonsgegevens.
Dit kan u als MKB’er doen
Cybercrime is dichterbij dan u mogelijk voor het lezen van dit artikel dacht. Toch kunt u genoeg dingen zelf doen om de risico’s beperken. Cybersecurity noemt Roy Sandbergen dat. Preventie, noemen we dat bij KRK. Welke term u ook kiest, het valt of staat volgens Roy met een goede basishygiëne. Of, zoals hij zelf zegt: ‘U moet weten wat u hebt, voordat u kan weten waarvoor u kwetsbaar bent.’
In 3 stappen naar internetveiligheid
Een goede basishygiëne voor uw informatieveiligheid neerzetten, doet u in deze drie stappen:
- Weet wat u hebt: welke servers en applicatie heeft u? Maak een risico-inventarisatie van uw IT-landschap.
- Als u weet wat u hebt, kijk dan op basis van prioriteit welke kwetsbaarheden daarbij horen. Stelt u zich voor dat u werkt met systemen als Citrix en Mailchimp. Als Citrix plat ligt, kunnen uw medewerkers niet werken en loopt u omzet mis. Als Mailchip stilligt, kan uw wekelijkse mailing niet worden verzonden. De prioriteit zal dan liggen op Citrix en de eventuele kwetsbaarheden hierin te beheersen.
- Als u weet wat u hebt en welke systemen voor u belangrijk zijn, benoemt u de maatregelen. Denk aan technische maatregelen, zoals het voorkomen van virussen door een antivirusprogramma. Maar ook organisatorische maatregelen. Wat kunt u doen om uw mensen bewust te maken van de bedreigingen? Naast bewustwording is het opstellen en meegeven van een beleid ook raadzaam. Wat verstaat u onder het goed beveiligen van een wachtwoord? Is dat een post-it in de laptoptas of versleuteld opslaan in de cloud?
Een goede basishygiëne gaat over het benoemen en prioriteren van de maatregelen en daar beleid op voeren, om te zorgen dat u in control bent.
Thuiswerken & cybercrime
Het grootste risico bij thuiswerken, is volgens Roy Sandbergen dat u geen controle heeft over de systemen waarop uw medewerkers werken, zijn deze bijvoorbeeld verouderd en kwetsbaar? ‘Informatie van uw bedrijf downloaden en lokaal opslaan, is zo gebeurd. En wat voor internetverbindingen hebben uw medewerkers? Kunnen hackers daarop meekijken? Doordat mensen thuiswerken, ontstaat ongewild toch minder binding met het bedrijf. Er groeit een afstand. Hoe zorgt u dat uw medewerkers ondanks de groeiende afstand toch melden zij dat onbedoeld op die link hebben geklikt? Snel melden is noodzakelijk. Toch heerst er schaamte voor cybercrime. Mijn advies is daarom: beloon het melden. Straf het niet af.
Laatste tip
Tot slot, een laatste tip van Roy: ‘Stel een plan op voor als het misgaat. 100% veiligheid krijgt u nooit. Wat gaat u doen als u een ransomware uitbraak heeft? Wie gaat u bellen? Wie is in de lead? Welke externen heeft u nodig? Welke systemen gaat u als eerst herstellen? Ben voorbereid, denk erover na. Want, u controleert toch ook niet de brandblussers als uw huis in de fik staat? Maak een noodplan en deel die met de betrokkenen.’
Conclusie
Vanuit preventie (of cyber security) kunt u al veel ondervangen. Toch, 100% zekerheid heeft u nooit. Voor die situaties is er een verzekering. Daarom zijn wij er voor u. Om u vooraf preventief te behoeden en u te helpen als u onverhoopt toch anders loopt.
Roy Sandbergen is security consultant bij Successfully. Zowel binnen de organisatie als extern bij klanten adviseert hij over informatiebeveiliging. Ook is hij ICT-regisseur. In deze rol is hij de schakel tussen de verschillende IT-bedrijven van de klant. Roy Sandbergen adviseert ook KRK over hun ICT-security. Successfully is ICT-leverancier bij KRK.