In Nederland vinden volgens cijfers van het CBS dagelijks zo’n drie-honderd cyberaanvallen plaats op mkb’ers. Een combinatie van onvoldoende ICT-beveiliging én menselijk onbekwaam handelen maakt het criminelen eenvoudig om computers binnen te dringen, waardoor ze persoonsgegevens verkrijgen of bedrijven compleet platleggen. Deze drie ICT-specialisten aan tafel zijn het erover eens: er worden te weinig voorzorgsmaatregelen getroffen tegen digitale fraude, met alle gevolgen van dien.
Gezellig; vanuit de hr-afdeling wordt er een uitnodiging voor de vrijdagmiddagborrel rondgestuurd. Althans, dat denken je werknemers. Want wat zij niet zien, is dat er een kleine aanpassing in het e-mailadres is gedaan door hackers. “Met één klik op de knop door een medewerker verkrijgen criminelen de sleutel van je bedrijf”, stelt Rick van Dijk (eigenaar/directeur ZeroPlex). “Hierdoor kunnen ze meekijken op de computers en toegang verkrijgen tot belangrijke informatie. In deze zogeheten ‘phishingmail’ trapt minimaal een derde van de werknemers.” Volgens Van Dijk zou het ideaal zijn als iedereen elk mailadres bij een binnengekomen e-mail zou controleren. “Maar dat dit in de praktijk haast onmogelijk is, beseffen criminelen maar al te goed, dus maken zij hier graag misbruik van. Technisch gezien kunnen ICT’ers voor zo’n 50 procent de kans op een cyberaanval verkleinen met bijvoorbeeld detectiesoftware. Het overige gedeelte ligt in handen van de medewerkers, die zelf vaak onbekwaam handelen.”
‘Met één klik verkrijgen criminelen de sleutel van je bedrijf’
Zo beaamt ook Dennis Cuijpers (IT-auditor (RE) bij Koenen en Co): “Op dit moment is voor criminelen het versturen van berichten ‘namens’ de CEO aan personeel razend populair. Werknemers krijgen via het nummer van de grote baas (spoofing) een bericht dat er per direct geld moet worden overgeboekt en het geld wordt vaak op stel en sprong overgemaakt, naar een crimineel, zo vinden ze later uit. Daarom is het belangrijk in zulke situaties via een andere weg navraag te doen of het klopt. Better safe than sorry.”
Volgens Van Dijk denken veel ondernemers een te kleine speler te zijn om doelwit te worden van cybercrime en hebben ze daarom onvoldoende ICT-beveiliging. “Niets is minder waar”, zo stelt hij. “Het is jammer dat veel ondernemers niet inzien hoe groot de financiële gevolgen kunnen zijn van cybercrime, ongeacht de omvang van hun bedrijf.” Daar is Cuijpers het mee eens. “Iedere ondernemer ziet het belang van een hr- en financiële afdeling in, maar niet van ICT-beveiliging. Ook worden panden fysiek beveiligd tegen inbraak, met deur- en camerabeveiliging, terwijl er op kantoor aan spullen vaak nauwelijks iets te halen valt. Het beschermen van je online data en je systeem, dát wat anno 2022 belangrijk is, krijgt onvoldoende aandacht. Ik hoop dat ondernemers zich daarvan meer bewust worden.”
Eric Drossaert (Chief Commercial Officer Hands on ICT) stelt dat hackers maar al te graag privégegevens van medewerkers of cliënten van een bedrijf verkrijgen. “Deze data gebruiken zijzelf of verkopen ze door aan criminelen, die met je naam en BSN aan de haal gaan. Voor je het weet, is er op jouw naam een lening of creditcard afgesloten en heb je een enorme schuld. Daarom wordt er door de Algemene Verordering Persoonsgegevens (AVG), die sinds 2018 geldt, streng gecontroleerd of bedrijven privégegevens maximaal beschermen om een datalek te voorkomen. Mocht je als organisatie de privacywet overtreden, dan kan de Autoriteit Persoonsgegevens (AP) je een boete opleggen van maximaal 20 miljoen euro of 4 procent van je wereldwijde omzet. Dat is niet niks.”
Wat ook duur kan uitpakken, is wanneer hackers zo ver in je systeem komen dat ze je bestanden, systemen en applicaties op slot kunnen zetten. “Er zijn verschillende stappen nodig voor een hacker om zo ver door je beveiliging heen te komen”, zegt Cuijpers. “Maar als ze eenmaal in je systeem kunnen meekijken en de beveiliging bij de volgende stappen slecht is, kan letterlijk alles plat worden gelegd.” De IT-auditor zegt dat het in dit geval te hopen is dat je ICT-provider een werkbare en geteste back-up heeft van jouw bestanden. Dit is echter niet altijd het geval. “De hacker eist dan vaak een bepaald percentage van je jaaromzet, meestal in de vorm van bitcoins, in ruil voor het ontgrendelen van je systeem of voor het niet uitlekken van je persoonsgegevens. Meestal krijg je maar 24 uur om te betalen, anders wordt het bedrag flink verhoogd. Je wordt dus gedwongen om snel te handelen.”
‘Meestal krijg je van een hacker maar 24 uur om te betalen’
Als er geld wordt geëist en je dit betaalt, is dit volgens Cuijpers geen garantie dat je gelekte gegevens beschermd zijn. “Sinds een jaar zien we dat criminelen een strategie ontwikkelen. Na het betalen van het bedrag wordt je systeem vrijgegeven, maar worden je data alsnog verkocht. Zo maken zij dubbel winst. Om ellende te voorkomen in plaats van te genezen is het belangrijk om zo goed mogelijk voorbereid te zijn op een eventuele aanval.”
Voorbereiden
Om als ondernemer jezelf voor te bereiden op een cyberaanval, zijn meerdere dingen belangrijk. Cuijpers: “Zorg dat je personeel het onderling eens is over wat de belangrijkste afdeling is van je bedrijf, om je organisatie zo snel mogelijk draaiende te krijgen als het zover is. Want als je dit in de paniek tijdens een cyberaanval moet beslissen, lukt dat nooit. Weet daarnaast hoe je naar buiten kunt communiceren – ook al is dit geen leuke boodschap – dat je bent gehackt en je niet weet wat er precies aan de hand is. Want als je dit niet zelf doet, bereikt het nieuws binnen een mum van tijd de media en dan ben je de regie kwijt over jouw verhaal.”
Om te weten welke stappen je moet ondernemen, is het volgens Van Dijk belangrijk dat je een IT-provider een risicoanalyse laat uitvoeren en een stappenplan laat opstellen voor als het
zover is. “Om je medewerkers (en jezelf) te trainen, kun je IT-bedrijven laten langskomen om pentesten uit te voeren, waarbij – onverwachts – cyberaanvallen worden uitgezet. Zo
kun je checken hoe voorbereid jouw bedrijf en personeel is op een acute cyberaanval.” ZeroPlex heeft sinds vorig jaar een speciale cyberafdeling waarmee het bedrijf klassikale trainingen en e-learnings aanbiedt om cybercrimesignalen, zoals phishingmails te herkennen. “Door awareness te creëren verlaag je de kans al van 40 naar 5 procent dat je medewerker in een phishingmail trapt.”
Plan van aanpak
Volgens de heren zou het goed zijn als bedrijven het oefenen van cyberaanvallen normaliseren. Drossaert: “Maak het net zo normaal als een brandweeroefening. Daarnaast is het goed om met je concurrenten over het onderwerp te praten, aangezien zij vaak dezelfde applicaties gebruiken. Vraag tijdens een netwerkborrel hoe zij hun veiligheid hebben geregeld en leer van elkaars aanpak. Cybercrime is een probleem dat we collectief moeten aanpakken. Want het is niet de vraag of je de dupe wordt, maar wanneer.”
Het allerbelangrijkste vinden de ICT-professionals dat onder–nemers zo snel als mogelijk actie ondernemen wanneer ze onvoldoende ICT-security (denken te) hebben. “Start op de werkvloer per direct met kleine ‘gratis’ aanpassingen: geen ‘Welkom2022’-wachtwoorden, maar tweezijdig inloggen met een sms-controle”, zegt Van Dijk. “Van de directie tot aan de medewerker op de vloer: voor iedereen moeten dezelfde regels gelden.”
Cuijpers: “Nodig daarnaast een ICT-dienstverlener uit om alle risico’s inzichtelijk te maken en je op de hoogte te stellen van wat je moet doen bij een cyberaanval.” Volgens Van Dijk is het daarbij belangrijk dat je altijd in zee gaat met een betrouwbaar ICT-bedrijf en niet met ‘het neefje op zolder’. “Let erop dat de ICT-dienstverlener een ISO-27001-certificaat heeft, dat is een vereiste in het vak.” Mocht je als ondernemer al gebruikmaken van een ICT-dienstverlener, dan is het volgens deze professionals belangrijk om te controleren of deze persoon het werk wel goed uitvoert. “Je moet niet altijd blind op hun woorden vertrouwen”, stelt Drossaert.
‘Geen ‘Welkom2022’-wachtwoord, maar tweezijdig inloggen met sms-controle’
“Een vakkundig ICT-bedrijf is proactief, op de hoogte van wat er speelt en alarmeert je tijdig als er iets niet lijkt te kloppen. Ik adviseer ondernemers om vragen voor te bereiden en direct – goed voorbereid – aan tafel te gaan met hun ICT-dienstverlener. Als vragen niet direct en duidelijk worden beantwoord, vraag jezelf dan af of je met de juiste persoon zakendoet en nodig eventueel een externe IT-auditor uit. Stel dit gesprek niet uit, want jij kan zomaar morgen aan de beurt zijn. En dan is het te laat.”
Een goede waarschuwing
Piet van Eekelen werkt sinds tien jaar als groepscontroller bij Staalgroothandel B.A. Geurts-Janssen en is verantwoordelijk voor alles op het gebied van administratie en ICT. Hij weet hoe belangrijk het is om als bedrijf goed te zijn voorbereid op een eventuele cyberaanval. “Als bij ons het ICT-systeem wordt platgelegd, ligt op kantoor per direct het werk stil. In de productiehal kan men dan nog een uurtje doorwerken met de reeds uitgeprinte orders, maar daarna ligt het hele bedrijf plat”, stelt Van Eekelen.
B.A. Geurts-Janssen heeft zelf interne ICT-medewerkers voor de eerstelijns support en Hands on ICT verzorgt bij het bedrijf de tweede- en derdelijns support. Maar dat een cyberaanval zelfs met de beste security niet 100 procent is te voorkomen, heeft B.A. Geurts-Janssen vijf jaar geleden zelf mogen ervaren. “Een medewerker zag dat een bestand versleuteld was en meldde dit aan onze ICT-afdeling, die op haar beurt weer in samenwerking met Hands on ICT alle overige data op slot zette. Gelukkig hadden we een back-up van het bestand beschikbaar en was er maar één van de servers besmet. Als de medewerker niet zo alert was geweest en snel had gehandeld, was het misschien verder uit de hand gelopen. Het was een goede waarschuwing en het benadrukte het belang om alertheid bij medewerkers te creëren. Het laten rondslingeren van een briefje met informatie lijkt onschuldig, maar kan grote gevolgen hebben als dit in handen komt van iemand met verkeerde bedoelingen. Alleen op onze locatie in Venlo werken al tachtig personen, een vergissing is zo gemaakt. Daarom investeren we graag in awareness trainingen. Belangrijk bij zo’n training is om je medewerkers niet alleen te informeren over wat er moet gebeuren, maar ook waarom. Zo krijgen ze meer feeling bij het onderwerp.”
Sinds het voorval is het veiligheidsbeleid van B.A. Geurts-Janssen ook op andere fronten aangescherpt. “Een strengere deurcontrole, tweefactorauthenticatie bij het inloggen en regelmatige automatische systeemchecks. Deze checks laten we bewust door externe bedrijven uitvoeren. Anders zou de slager zijn eigen vlees keuren. Bij zulke belangrijke data kun je nooit te veel extra controles laten uitvoeren.”
