Hacks, virussen, malware, phishing, DDoS-aanvallen, identiteitsfraude of gewoon een slingerende USB-stick. Twee op de drie ondernemers in Nederland krijgen vroeg of laat te maken met cybercriminaliteit. Hoe goed is jouw bedrijf voorbereid op cybercrime?
Tekst: Sjors Rodenburg
Hoe houd je computercriminelen buiten de deur? Wat moet je doen wanneer hackers het op jouw organisatie gemunt hebben? Wel of niet in de cloud? Wat betekent de nieuwe Algemene verordening gegevensbescherming (AVG) voor mijn bedrijf? En hoeveel budget moet je eigenlijk vrijmaken voor cybersecurity?
De timing had niet beter gekund. Terwijl de websites van verschillende banken en overheidsinstanties wederom onder vuur lagen, deelden cybersecurity-experts hun kennis met ondernemers tijdens BNR Cyber Knights op dinsdag 30 januari in De Fabrique in Maarssen.
Ransomware
Wie of wat er achter de grootschalige DDoS-aanvallen zitten, wist zelfs Ronald Prins niet. De medeoprichter van beveiligingsbedrijf Fox-IT kon slechts speculeren. ‘Het kunnen jongetjes op zolderkamertjes zijn die het leuk vinden om kattenkwaad uit te halen’, sprak hij uit ervaring. ‘In het nieuws komen is voor heel veel mensen een prikkel om te hacken. Het is net belletje trekken.’
Om die reden hebben mkb’ers eigenlijk weinig te vrezen van DDoS-aanvallen, stelde Nederlands bekendste hacker zijn gehoor gerust. Ransomware daarentegen, waarbij cybercriminelen je computer(s) of hele netwerk gijzelen totdat je hebt betaald, is wél een punt van aandacht. ‘Vaak worden er op maandagochtend honderden mailtjes geopend in het land en is het kijken wie er klikt. De dader heeft vaak helemaal geen idee waar ie precies binnen zit.’
In de cloud
Terwijl het Openbaar Ministerie (OM) aanraadt nooit te betalen, is de werkelijkheid volgens Prins een stuk weerbarstiger. ‘Ik ken voorbeelden van bedrijven die alles kwijt waren’, vertelde hij. ‘Als je je bedrijf dan een dag later voor 400 euro weer terug hebt, dan kan ik me heel goed voorstellen dat je toch betaalt.’
Het blijft een open deur, maar zorg in ieder geval voor een goede back-up van je bestanden, herhaalde Prins maar weer eens. Daarbij is een (al dan niet gratis) reservekopie in de cloud bij een gerenommeerde partij als Google, Microsoft of Amazon een goede keuze. ‘Heel grote jongens hebben grote beveiligingsteams op hun systemen zitten’, legde hij uit. ‘Dit kun je zelf nooit voor elkaar krijgen.’
Huishoudboekje
Hoewel de gebruiker uiteindelijk verantwoordelijk is, hebben systeembeheerders en softwaremakers ook een taak, klaagde beveiligingsspecialist en voormalig journalist van het jaar (2011) Brenno de Winter. ‘Sommige leveranciers schrijven baggersoftware. Er zijn leveranciers die verbieden dat er bepaalde upgrade wordt gedaan.’
Met de komst van de AVG op 25 mei aanstaande moeten alle Europese bedrijven hun ‘huishoudboekje voor persoonsgegevens’ op orde hebben. Dit betekent dat je precies op een rijtje moet hebben welke gegevens je verwerkt en waarom. De Winter raadt ondernemers vooral aan zo weinig mogelijk gegevens op te slaan. ‘Hoe meer informatie je hebt, hoe aantrekkelijker je bent voor hackers’, stelde hij. ‘Alle data die je opslaat en niet nodig hebt, geeft alleen maar hoofdpijn.’
Bangmakerij
Wie zich niet aan de regels houdt, kan rekenen op een forse boete van de Autoriteit Persoonsgegevens (AP), de instantie die belast is met de naleving van de privacywet. Deze kan oplopen tot 4 procent van je wereldwijde omzet, met een plafond van 20 miljoen euro. Door dit soort maatregelen worden ondernemers onnodig bang gemaakt, vindt De Winter.
Hij werd hierin gesteund door Mary-Jo de Leeuw, cybersecurity-expert bij adviesbureau Revnext. ‘De bangmakerij zit vooral bij bedrijven die daar een commercieel slaatje uit willen slaan’, bracht ze in. ‘Op een gemiddelde dag op LinkedIn komen er oplossingen voorbij in de vorm van scans van 5000 euro, terwijl de meeste zaken gewoon gratis te verkrijgen zijn.’
Tien procent
Maar hier was Bastiaan Bakker, directeur Business Development bij beveiligingsbedrijf Motiv, het juist niet mee eens. Hij wees op het ethische aspect. ‘Je moet er als patiënt bij een ziekenhuis of als treinreiziger bij de NS gewoon vanuit kunnen gaan dat organisaties netjes met je persoonsgegevens omgaan.’
Door de bank genomen moet je als ondernemer zo’n tien procent van je IT-kosten uitgeven aan beveiliging, zeiden de sprekers eensgezind. Dat klinkt misschien niet veel, toch halen veel bedrijven dit bij lange na niet, wist Bakker. Prins merkte op dat er veel bedrijven failliet zijn gegaan door een geslaagde hack. ‘Als je er zo naar kijkt kost het nooit te veel.’