Cybersecurity in het mkb: checklist voor jouw bedrijf

brand
Het beveiligen van je bedrijfssoftware

Cybersecurity in het mkb: checklist voor jouw bedrijf

Steeds meer bedrijven zijn steeds meer afhankelijk van digitale en online hulpmiddelen. Dan hebben we het niet alleen over softwarebedrijven, maar alle typen bedrijven. Van autogarages, die connectiviteit nodig hebben om de software van auto’s te kunnen updaten, tot de kruidenier op de hoek, die zonder werkende internetverbinding geen pintransacties meer kan ontvangen. En hoewel er al jaren op gehamerd wordt, heeft een verontrustend deel van de mkb’ers in Nederland zijn cybersecurity nog altijd niet helemaal op orde. Geldt dat ook voor jouw bedrijf? We helpen je graag op weg.

Cybersecurity blijft nog steeds onderbelicht

Cybersecurity is als een verzekering: zolang er niets gebeurt, lijkt het zonde van het geld, maar treft het noodlot een keer jouw bedrijf, dan ben je blij als je de boel goed geregeld hebt. Het grote verschil met het fixen van je verzekeringen is echter dat cybersecurity niet iets is wat je één keer neerzet en waar je vervolgens geen omkijken meer naar hebt. Online veiligheid moet je continu aandacht blijven schenken en is een doorlopend thema.

Zestig procent van de Nederlandse bedrijven krijgt op een zeker moment te maken met cybercrime. Zo’n twintig procent daarvan heeft op het moment van de cyberaanval zijn veiligheidsmaatregelen onvoldoende op orde om de aanval af te weren. Dat kost de Nederlandse economie jaarlijks bijna negen miljard euro en het betekent voor een deel van de getroffen bedrijven zelfs een faillissement.

Als bij twintig procent van je buren de voordeur de hele dag openstaat, zou je zeggen dat je buurt over het algemeen slecht is gewapend tegen inbraak en diefstal. Toch is dat de realiteit als het gaat om cybersecurity in het Nederlandse mkb.

Cybersecurity en de gegevens van je bedrijf

Wat zijn op dit moment bedreigingen en risico’s?

Waarom is het nou zo belangrijk om als kapperszaak, groenteboer, besloten vennootschap of andere mkb-onderneming je cybersecurity honderd procent op orde te hebben? Er zijn toch tal van grote bedrijven of instanties die veel interessanter zijn voor hackers om aan te vallen?

Aan de ene kant klopt dat: grote bedrijven worden heviger bestookt door cybercriminelen dat kleine onderneminkjes. Maar een belangrijk deel van de cyberaanvallen wordt puur uitgevoerd omdat het kan. Hackers scannen het internet op zoek naar servers, websites en systemen waar achterdeurtjes openstaan, bijvoorbeeld omdat de laatste beveiligingsupdates nog niet zijn geïnstalleerd. Vaak weet een hacker pas waar hij heeft ingebroken, als hij al binnen is. En dat kan dus ook de bakker op de hoek zijn.

De grootste bedreigingen op dit moment die ook mkb’ers treffen zijn ransomware-aanvallen, waarbij alle digitale systemen worden platgelegd door ze te coderen (encrypten). Eenvoudig gezegd: je kunt niet meer bij je gegevens. Pas na betaling van losgeld worden je gegevens weer vrijgegeven. Ransomware-aanvallen op grote ondernemingen komen regelmatig in het nieuws, zoals de aanval op diverse woningcorporaties in april 2021. En de Universiteit Maastricht betaalde in 2020 nog forse sommen losgeld omdat studenten eenvoudigweg niet verder konden met hun studie zolang de ransomware-aanval voortduurde. Op internationaal niveau was de hack van Colonial Pipeline groot nieuws, waarbij zelfs de olie- en brandstofvoorziening in het zuiden van de VS in het geding kwam.

Deze aanvallen op grote bedrijven en instanties komen in het nieuws omdat het om grote partijen gaan. Maar op dagelijkse basis zijn ook mkb’ers slachtoffer van ransomware-aanvallen. De losgelden die dan worden gevraagd zijn lager – want hackers snappen ook wel dat een kleine winkelier minder losgeld gaat betalen dan een grote oliemaatschappij – maar de impact voor zo’n bedrijf is enorm.

Uitbesteden of zelf regelen?

Veel ondernemers die weinig kaas hebben gegeten van cybercrime kiezen ervoor hun cybersecurity-oplossingen uit te besteden. Bijvoorbeeld via een internetprovider of met een softwarepakket van een partij als Microsoft. Uitbesteden is een prima optie voor de meeste mkb’ers, omdat je voor een vaste prijs vaak de beschikking krijgt over een best-of-suite oplossing die gebruiksvriendelijk is. De belangrijkste rookie mistake bij dit soort oplossingen is het niet tijdig uitvoeren van updates. Ook als je cybersecurity uitbesteedt, ben je zelf verantwoordelijk voor het uitvoeren van updates. En uiteraard voor het niet proactief binnenhalen van malware – daar is geen security-pakket tegen bestand.

Regel je je cybersecurity zelf? Zorg dan dat de verschillende oplossingen die je gebruikt (firewall, antimalware, antivirus, et cetera) goed samenwerken en elkaar niet bijten. Je bent vaak wat goedkoper uit als je cybersecurity zelf regelt, en je kunt exact die software kiezen die je zelf het fijnst of best vindt, maar je bent ook zelf verantwoordelijk voor de goede (samen)werking en installatie.

Je bedrijf zelf of laten beveiligen

Checklist: deze zeven zaken moet je minimaal op orde hebben

Dat gezegd hebbende: hoe weet je nu snel of jouw bedrijf niet bij die twintig procent kwetsbare bedrijven hoort? Onderstaande zeven zaken moet je anno nu minimaal op orde hebben.

  1. Standaard antivirussoftware op al je devices. Dus elke laptop, telefoon en tablet van elke medewerker. Onder antivirussoftware verstaan we ook antimalware, een spamfilter en een goede firewall. Laat medewerkers dit niet zelf fixen, maar regel het centraal door iemand als systeembeheerder aan te wijzen.
  2. Voer updates direct uit en dwing dit af op alle devices. Medewerkers klikken updates zo lang mogelijk weg omdat ze altijd even snel iets willen afmaken. Dwing dus in de IT af dat een update wordt geïnstalleerd. Anders is er dadelijk wellicht helemaal geen werk meer om af te maken.
  3. Beperk installatiemogelijkheden voor medewerkers. Oftewel: zorg ervoor dat de software die ze nodig hebben, centraal is geïnstalleerd. Laat medewerkers niet zelf software installeren. Sterker nog: maak dit onmogelijk. Dat is eenvoudig geregeld in de Enterprise-editie van Windows.
  4. Beperk toegang tot systemen. Lang niet elke medewerker moet in elk systeem of elke database kunnen. Minimaliseer de toegang tot systemen; hoe minder gebruikers, hoe minder mogelijke kwetsbaarheden.
  5. Laat periodiek een cybersecurity-inventarisatie uitvoeren. Nodig daarvoor een onafhankelijke expert uit en laat hem een adviesrapport opstellen. Het kost misschien wat centen, maar dat is niets vergeleken bij de schade die je kunt oplopen als je veiligheid onvoldoende is.
  6. Train medewerkers in cybersecurity. Zorg ervoor dat ze phishingmails herkennen, dat ze weten wat trojan horses en ransomware zijn en hoe ze veilig met bedrijfsmiddelen en -software om moeten gaan. De meeste beveiligingslekken worden nog altijd gecreëerd door menselijk gedrag! Het verdient aanbeveling om deze training door een externe partij te laten verzorgen.

Zorg ervoor dat er offline back-ups worden gemaakt van alle informatie die je niet mag verliezen. En laat zo’n back-up periodiek, bijvoorbeeld wekelijks, uitvoeren, maar denk daarbij wel aan privacy-wetgeving. Met een back-up zorg je ervoor dat als je slachtoffer wordt van een ransomware-aanval en al je online data voorgoed kwijt bent – bijvoorbeeld omdat je het losgeld niet kunt of wilt betalen of omdat de data ondanks jouw betaling niet wordt vrijgegeven – het niet direct einde bedrijf is.

Data beveiliging

Martijn Kroese

Hi! Ik ben Martijn, zzp'er en eigenaar van Kroese Tekst & Taal. Als academisch opgeleid neerlandicus zet ik me met mijn eenmanszaak in voor professionele content voor het mkb. U haalt met mij een secuur en snel werkende professional in huis met veel ervaring in[…]
Alle artikelen van Martijn Kroese

Reacties

0 Reacties

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *