Cybercrime

7 quick wins die criminelen buiten de deur houden

Ondernemers uit het midden- en kleinbedrijf in Nederland treffen minder vaak cyberveiligheidsmaatregelen dan ondernemingen uit de grootzakelijke markt dat doen, waardoor ze onnodige risico’s lopen. Dat blijkt uit de Risicorapportage Cyberveiligheid Economie 2018 van het Centraal Planbureau. Niet heel verwonderlijk, aangezien 'ondernemers uit het midden- en kleinbedrijf' nu eenmaal beperktere middelen hebben. Maar met de volgende 7 quick-wins kunnen ondernemers de risico’s toch aanzienlijk terugdringen.
Het zal je maar gebeuren dat gevoelige bedrijfsinformatie in handen komt van cybercriminelen die daardoor bijvoorbeeld ongemerkt geld kunnen wegsluizen. Of dat data van jouw klanten of patiënten in verkeerde handen vallen. En wat te denken van ransomware waarbij de cybercrimineel de computer gijzelt door deze te blokkeren en de blokkade alleen maar opheft na ontvangst van geld. “Ondernemers onderschatten de risico’s van cybercrime voor hun bedrijf en denken vaak dat het hen niet overkomt.’ Dat is, samengevat, wat de drie cybercrime-experts Erik de Jong van Fox-IT, Edgar Versteeg van Dizzrupt en Danny Jaspers van Centraal Beheer - benadrukken.

Ondernemers onderschatten de risico’s van cybercrime en denken dat het hen niet overkomt.’
Maar die gedachte is onjuist. Ook kleine, relatief onzichtbare bedrijven kunnen in handen vallen van cybercriminelen.‘Zie het als zakkenrollen’, zegt De Jong. ‘De criminelen gaan voor de makkelijke buit. Het interesseert ze niet van wie die is.’ Van de kleine bedrijven met tien tot twintig werknemers had vijftien procent in 2016 te kampen met een cyberaanval, blijkt uit de risicorapportage van het Centraal Planbureau. Maar in werkelijkheid liggen de aantallen waarschijnlijk veel hoger. De meeste bedrijven weten namelijk niet eens dat ze gehackt zijn. Gelukkig is er veel dat ondernemers eenvoudig zelf kunnen doen om cybercriminaliteit buiten de deur te houden.
Wil je de cyberrisico’s terugdringen? Met stip op één staat volgens Erik de Jong, chief research officer bij computerbeveiligingsbedrijf Fox-IT, het invoeren van tweestapsverificatie voor bijvoorbeeld e-mail en andere administratieve applicaties. De Jong: ‘Daarmee voorkom je dat partijen vanaf een andere computer dan de jouwe, zomaar kunnen inloggen op je systeem als ze de combinatie van je wachtwoord en gebruikersnaam kennen. En veel van deze combinaties zijn in handen van criminelen gekomen doordat dit soort gegevens via hack bij organisaties naar buiten zijn gelekt.’‘Bij tweestapsverificatie ontvang je een bericht dat je moet aantonen wie je bent als je vanaf een ander apparaat inlogt. Bijvoorbeeld door een verificatiecode in te voeren die je via je telefoon ontvangt. Heb je de juiste code niet, dan kom je er niet in.’ Het is een vrij simpele en goedkope manier om de digitale deuren dicht te houden voor ongenode gasten. In de meeste programma’s kun je deze optie eenvoudigweg aanvinken. De Jong benadrukt nog het feit dat ondernemers tweestapsverificatie ook moeten eisen van hun ICT-providers. ‘Ook zij moeten bij beheer op afstand niet kunnen inloggen met slechts een wachtwoord en gebruikersnaam. Dat is niet meer van deze tijd.’
Veel ondernemers hebben back-ups van hun bestanden uitbesteed aan een cloudprovider of IT-bedrijfje om de hoek. ‘Ze nemen gemakshalve aan dat het wel goed zit met de back-ups’, zegt Danny Jaspers, business owner Cyber bij Centraal Beheer. ‘Maar vaak weet een ondernemer niet precies wat hij nu heeft afgesproken met het bedrijf in kwestie. Daardoor is het onduidelijk van welke gegevens wanneer een back-up worden gemaakt en waar en hoe snel deze kan worden teruggezet, mocht dat nodig zijn. Is dat binnen een uur? Een halve dag? Of een hele dag? En lukt het ook om de gegevens daadwerkelijk terug te zetten?’ Jaspers adviseert bedrijven dit laatste vooral te testen en raadt aan om daarnaast geregeld een back-up te maken op een harde schijf die een ondernemer op een andere locatie – bij voorkeur op een veilige externe locatie – bewaart. ‘Mocht het bedrijf afbranden en de back-up toch niet kan worden hersteld, dan heb je altijd nog de harde schijf met redelijke up-to-date bedrijfsgegevens.’Een back-up is overigens niet hetzelfde als synchronisatie van bestanden, hetgeen clouddiensten als Onedrive, Google drive of Dropbox kunnen verzorgen. Een back-up is veiliger omdat het alle bestanden veilig stelt en bestanden niet – zoals bij synchronisatie – verloren kunnen gaan omdat ze per ongeluk in de bron verwijderd zijn.Hoeveel je ook doet aan preventieve maatregelen tegen ransomware, de kans dat je er een keer mee te maken krijgt is groot. De beste beveiliging is nog altijd een actuele en werkbare back-up stelt Jaspers. Hiermee beperk je het dataverlies en ben je niet vatbaar voor chantage door cybercriminelen.
Veel kleine bedrijven zijn laks als het gaat om het uitvoeren van updates, meent Edgar Versteeg, cybersecurity expert en eigenaar van Dizzrupt. ‘Het bijwerken, ofwel patchen van software kost moeite en veel ondernemers wachten op de volgende patch om deze pas dan door te voeren. Maar verouderde software brengt veiligheidsrisico’s met zich mee. Hackers hebben hier een neus voor.’
Versteeg heeft als tip voor bedrijven om een medewerker daadwerkelijk verantwoordelijk te maken voor de informatiebeveiliging en daarmee ook voor het uitvoeren van updates. "Veel incidenten zijn te voorkomen door snel softwareupdates te installeren. Anders grijpen cybercriminelen eenvoudigweg hun kans.’


Vrijwel iedere organisatie heeft wel applicaties in huis die verouderd en niet meer in gebruik zijn. ‘Het risico van verouderde software is dat de beveiliging ervan vaak zo lek als een mandje is’, zegt Versteeg. ‘Voor hackers vormt verouderde software dan ook een mooie kans om het bedrijfsnetwerk binnen te dringen. Hackers zijn slim en inventief en zoeken altijd naar “achterdeurtjes” in de systemen.’
Overigens kunnen die achterdeuren ook openstaan in nieuwe software, benadrukt hij. ‘Daarom is patchen zo belangrijk.’ Maar ook fysieke werkplekken bieden cybercriminelen soms eenvoudig toegang tot laptops en computers van medewerkers. Versteeg: ‘Medewerkers moeten geen laptops open laten staan of documenten laten slingeren op bureaus wanneer ze niet zelf ter plekke zijn. Het vergrendelen van laptops en een “clean desk” beleid kunnen dit vrij eenvoudig voorkomen.’ Jaspers: ‘Ook printers bieden kansen aan cybercriminelen want ook hierin zit een besturingssysteem. Printers slaan files op en staan veelal in verbinding met het bedrijfsnetwerk. Wanneer toegang tot de printer niet goed beveiligd is, kan een hacker eenvoudig het bedrijfsnetwerk inkomen.’
Ook printers bieden kansen aan cybercriminelen. Ze hoeven maar naar een printer toe te lopen om te zien wat het wachtwoord en het nummer van de printer is. Vaak staan die gewoon genoteerd op de machine. Met die gegevens kunnen ze dan het bedrijfsnetwerk in.’
‘Een wachtwoordmanager is een vereiste voor ondernemers’, stelt Jaspers. ‘Gebruik nooit hetzelfde wachtwoord twee keer en zorg er in ieder geval voor dat een wachtwoord een hoofdletter heeft, een getal en een ander teken.
De reden daarvoor is dat een cybercrimineel met vrij eenvoudige software heel veel wachtwoorden kan genereren en makkelijke wachtwoorden hierdoor simpel kan kraken. Zodra een nieuwe site wordt gelanceerd, beukt dit soort programma’s erop los. Een digitale wachtwoordmanager helpt om steeds weer sterke wachtwoorden te genereren en deze voor je op te slaan zodat je ze niet vergeet.’
Ook het versleutelen van gevoelige te verzenden data (data encryption) is aan te raden, meent Versteeg. ‘Versleutelde data zijn zonder de juiste sleutel – denk aan een wachtwoord - onleesbaar.’ In sommige mailprogramma’s is het vrij eenvoudig om de inhoud van berichten af te schermen voor derden. Soms is daar aparte software voor nodig. Het begint echter met bewuster om te gaan met gevoelige informatie en na te denken hoe deze het beste kan worden verstuurd. Een e-mail kan worden onderschept, tegenwoordig zijn er vele software-oplossingen beschikbaar die het mogelijk maken veilig bestanden te delen.


Veel bedrijven en ook overheden werken vandaag de dag met zogenaamde Coordinated Vulnerability Disclosure, voorheen ook wel Responsible Disclosure genoemd. ‘In feite nodig je met zo’n disclosure op je site ethisch hackers uit om ICT-kwetsbaarheden te melden’, legt Versteeg uit. ‘Bedrijven kunnen ethische hackers hiervoor belonen in de vorm van geld, maar het kan ook op andere manieren. Normaal gesproken mag iemand dat niet zomaar doen, maar met een Responsible Disclosure-beleid geef je aan cyber security serieus te nemen en word je feitelijk geholpen door de ‘hackers community’. Vindt een ethische hacker iets iets, dan kun je doelgerichte maatregelen treffen om die kwetsbaarheden op te heffen.’ Op de site van het National Cyber Security Centrum van het ministerie van Justitie en Veiligheid staat beschreven hoe zo’n CVD eruit ziet. Wil je weten hoe je zo’n CVD effectief inzet? Bekijk het op: Cyberveilig Nederland
De mens speelt vrijwel altijd een belangrijke rol bij incidenten. Ook als het gaat om cybercrime. Het is dan ook zaak om de eigen medewerkers bewust
te maken van de risico’s en ze te trainen om zorgvuldig om te gaan met (inlog)gegevens, rondslingerende laptops en het niet openen van verdachte e-mails. ’Negen van de tien keer is het het eigen personeel dat klikt op phishing mails’, zegt Jaspers. ‘Of dat nu op kantoor is, of thuis op de bedrijfscomputer. Train ze om hier alert op te zijn en wijs ze erop nooit een document te openen dat verdacht overkomt.
Een hacker die ziet dat er een vacature is in het bedrijf, kan eenvoudig een worddocument sturen naar het bedrijf met een zogenaamde sollicitatiebrief. Zodra deze wordt geopend, zit de hacker in het bedrijfssysteem. Beter is om voor sollicitatiebrieven een speciale mailbox te openen.’ Ook de directie moet op de hoogte zijn van de mogelijke risico’s. ‘Laat je informeren’, benadrukt De Jong. ‘Bijvoorbeeld op Digital Trust Center, een portal van de overheid dat mkb-ondernemers helpt om veilig digitaal te ondernemen. En maak regels. Bijvoorbeeld: ‘Neem altijd telefonisch contact op met de afzender van een betalingsverzoek per mail dat hoger is dan 1000 euro. Daarmee voorkom je dat grote bedragen ongewild worden overgemaakt aan internetcriminelen die zich bijvoorbeeld via e-mail voordoen als een medewerker of bestuurder van een bedrijf.’

Meld een datalek bij de Autoriteit Persoonsgegevens

Volgens de wet moeten ondernemers een ‘ernstig’ datalek binnen 72 uur na de ontdekking melden aan de Autoriteit Persoonsgegevens. Een datalek is een informatiebeveiligingsincident waardoor persoonsgegevens in verkeerde handen terecht kunnen komen. Alleen als er sprake is van een beveiligingsincident, is er sprake van een datalek.

Wat te doen bij een cyber incident in uw bedrijf?

Als ondernemer wilt u door! U moet er dan ook niet aan dénken dat uw bedrijf te maken krijgt met een hack, phishingmail of virus. Toch heeft 50% van de mkb-ondernemers al te maken gehad met cyberincidenten, zoals een datalek of ransomware. Download de samenvatting van ons cyberonderzoek met feiten en cijfers over cyberrisico’s voor bedrijven en hoe u deze kunt aanpakken.
Download de samenvatting hier>

Bijpassende verzekeringen

Voor elke situatie een oplossing

Cyberverzekering

Met onze cyberverzekering voor mkb-ondernemers bent u goed verzekerd voor schade via computers en internet. Wij vergoeden schade aan uw eigen bedrijf en aan anderen.

Expert

Daisy Beijersbergen 

Daisy Beijersbergen 

Daisy Beijersbergen, senior adviseur risicomanagement. "Ik adviseer (zakelijke) klanten op welke wijze zij hun risicoprofiel kunnen verbeteren. Vanuit de overtuiging dat de wijze waarop een bedrijf zich (bewust en onbewust) heeft georganiseerd van invloed is op schade. Uitdaging en drijfveer voor mij is om de onderstroom in een bedrijf naar boven te halen. Hierdoor wordt veel sterker duidelijk waar het zin heeft om in te investeren om risico's te beperken. En dat ligt vaak op andere vlakken dan een ondernemer in eerste instantie denkt.