Cybersecurity in het MKB moet beter. Ondernemers zijn matig beveiligd terwijl cybercriminaliteit groeit

Transcriptie

1 Cybersecurity in het MKB moet beter Ondernemers zijn matig beveiligd terwijl cybercriminaliteit groeit

2 Cybersecurity in het MKB moet beter Ondernemers zijn matig beveiligd, terwijl cybercriminaliteit groeit Succesvolle cyberaanvallen, hacks en digitale lekken zijn regelmatig in het nieuws. Niets doen is geen optie meer, al geven maar weinig MKB-bedrijven cybersecurity de aandacht die het verdient. Hoe voorkom je cyberschade aan je bedrijf met goede security? Datalekken en hacks blijven niet beperkt tot multinationals als Yahoo, waar de diefstal van gegevens van 1 miljard accounts onlangs in het nieuws kwam¹. Nederlandse MKB ers lopen steeds meer risico. Omdat grote bedrijven hun beveiliging steeds beter op orde hebben, lijken cybercriminelen steeds vaker uit te wijken naar bedrijven in het midden- en kleinbedrijf. Uit cijfers van ABN Amro blijkt dat 11 procent van de grotere ondernemingen weleens is aangevallen via internet, bij MKB-bedrijven loopt dit op tot wel 23 procent². Volgens datzelfde onderzoek is de totale jaarlijkse schade meer dan 9 miljard euro. Risico s worden volgens verschillende onderzoeken steeds groter en de aanvallen geavanceerder. Cybercriminelen zijn niet langer puisterige pubers die vanaf hun zolderkamers speldenprikjes uitdelen. Cybercriminaliteit is big business en in handen van goed georganiseerde bendes. Zij gebruiken verschillende geavanceerde technieken (zie kader) waarmee websites lamgelegd worden en data gestolen of gegijzeld wordt. Op deze manier verdienen ze een goede boterham ten koste van MKB ers. Het MKB doet te weinig aan cybersecurity Als zoveel bedrijven grote kosten hebben door cybercriminaliteit, zou je denken dat cybersecurity hoog op de prioriteitenlijst van MKB ers staat. Maar liefst 71 procent van de bedrijven in het midden- en kleinbedrijf denkt geen cyberrisico te lopen³. Daarnaast voldoen ze volgens de Cyber Security Raad (CSR) niet aan de cybersecurity-wetgeving⁴. Het gevaar van cybercrime is een groot probleem, maar bedrijven blijken aan struisvogelpolitiek te doen terwijl branchegenoten en masse geplukt worden. Dat is raar, want de huidige wet- en regelgeving verplicht organisaties een afdoende digitale beveiliging te hebben. Worden bedrijven toch getroffen door cybercrime, dan moeten ze de gevolgen ervan actief beperken om verdere incidenten te voorkomen. Ondernemers zijn hier onvoldoende van op de hoogte. Dat kan er bijvoorbeeld toe leiden dat bedrijven hun systemen onvoldoende beveiligen. Als ondernemers niet voldoende doen aan hun veiligheidsbeleid, dan worden zij aansprakelijk voor de schade die consumenten en andere bedrijven lijden. De verwachting van de CSR is dat schade in de toekomst steeds vaker op bedrijven verhaald zal worden. De toolbox van de cybercrimineel Crypto- en Ransomware Cryptoware versleutelt data en ransomware blokkeert toegang tot het systeem. Deze gijzeling houdt aan tot er een bedrag is betaald. Crypto- en ransomware wordt naar vele duizenden adressen gestuurd. Door op een malafide link te klikken of de bijlage te openen, nestelt de malware zich in het systeem. Phishing-slachtoffers krijgen een bijna niet van echt te onderscheiden en worden naar een valse website gelokt waar hun wordt gevraagd hun inloggegevens in te voeren. DDoS-aanvallen leggen computers, volledige computernetwerken of websites lam door een teveel aan aanvragen. Virussen zijn kleine programma s die gegevens op computers beschadigen of verwijderen. Hacking is het inbreken in een computersysteem of netwerk. Inbrekers maken gebruik van virussen, spyware, phishing en poortscans. 1

3 Weinig kennis van huidige en nieuwe regels Bedrijven zijn dus niet op de hoogte van de huidige security-wetgeving, maar ook niet van de Europese regels die mei 2018 ingaan. Meer dan driekwart van de ICT-beslissers in het midden- en kleinbedrijf weet niet wat de gevolgen zijn van de General Data Protection Regulation (GDPR). Dat blijkt uit onderzoek van IDC⁵. Als de GDPR van kracht is, moeten bedrijven kunnen aantonen dat de data die ze in datacenters of een cloud buiten de EU opslaan, voldoet aan de eisen van de nieuwe regelgeving. Datalekken moeten bovendien binnen 72 uur gemeld worden. Bedrijven moeten persoonsgegevens kunnen wissen van wie daarom vraagt, als er tenminste geen geldig tegenargument is. Dat geldt ook als de data inmiddels gedeeld is met derde partijen. Daarnaast zijn nog tal van andere zaken die veranderen. Om de huidige en nieuwe regels na te leven, moeten bedrijven exact weten waar ze persoonsgegevens verzamelen, en hoe deze beschermd en verwerkt worden. Doen ze dit niet, kunnen ze naast de imagoschade hoge boetes verwachten. Cybercriminaliteit steeds groter probleem Het uitstel- en wegkijkgedrag van MKBb ers kan ernstige gevolgen hebben voor hun omzet en productiviteit. Uit het Nationaal Ondernemers Onderzoek 2016 blijkt dat 60% van de Nederlandse ondernemers vasthoudt aan lokale servers in eigen beheer. Ze zouden risico s kunnen vermijden door onder andere verouderde software en zwakke firewalls door te lichten. Het Nationaal Cyber Security Centrum (NCSC) meldt in het rapport Cybersecuritybeeld Nederland 2016⁶ dat er steeds meer virussen zoals ransomware en malware worden gesignaleerd. Elke organisatie heeft door de jaren heen veel informatie verzameld op de kantoorserver. Projectgegevens, financiële informatie, klantdata, procesinformatie, allemaal belangrijke data waarvan je niet wilt dat deze op straat komt te liggen. Zeker door het gebruik van steeds meer mobiele apparaten, die vaak niet zijn voorzien van de laatste updates, is een goede securitystrategie broodnodig. Hoe ziet zo n strategie er in de praktijk uit? 2

4 1. Bescherming: de eerste beveiligingslaag Goede cybersecurity kent de drie componenten bescherming, detectie en reactie. Het begint met bescherming van waardevolle data tegen cyberaanvallen. Dat kan op vier niveaus: infrastructuur, identiteit, mobiele apparaten, apps en data. Met een veilige infrastructuur leg je een solide fundament. Met grip op bedrijfs- en persoonlijke devices zorg je dat je altijd en overal veilig kunt werken. Door apps en data extra te beveiligen leg je een extra beveiliging bovenop de wachtwoordbeveiliging. Infrastructuur op orde Veel kwaadwillende software dringt binnen via gaten in verouderde software, daarom is het noodzakelijk om up-to-date te blijven. Door alle computers (automatisch) uit te rusten met de nieuwste versies, bug fixes en patches van alle programma s loopt data in het netwerk het minste risico. Ook verouderde besturingssoftware van de hardware, de firmware, kan openstaan, waardoor cybercriminelen kunnen binnendringen. Een computer heeft meerdere ingangen en via deze poorten gaat het internetverkeer heen en weer. De meeste poorten staan standaard open, zelfs als ze niet in gebruik zijn. Cybercriminelen kunnen met speciale programma s enorm veel computers tegelijkertijd scannen, op zoek naar deze open poorten. Je kunt dit soort scans ook zelf uitvoeren, dan weet je wat openstaat en kunnen poorten, die niet gebruikt worden, uit voorzorg gesloten worden. Identiteit, houd hem privé Veel succesvolle cybercriminaliteit is het gevolg van onoplettendheid of naïviteit van ondernemers. Via phishing-mails worden ze verleid een prijs op te halen, of in te loggen op een niet van echt te onderscheiden nepsite. Goed opletten is het devies, evenals wegklikken als dit soort mails toch door de scanner is gekomen. 3

5 Grip op devices Mobieltjes en laptops zijn bij veel MKB ers net zo belangrijk als de kantoorserver. Mobiel werken is de nieuwe standaard. Maar liefst 66% van de medewerkers gebruikt persoonlijke apparaten om op te werken en 33% werkt (ook) buiten het kantoor. Het is daarom handig om het apparaat bij verlies of diefstal op afstand te kunnen wissen. Daarvoor zijn tools voorhanden. Natuurlijk zijn al deze devices al beveiligd met een sterk wachtwoord. Apps en data extra beveiligen Virusscanners en firewalls zorgen al voor een goede beveiliging. Door (bedrijfs-)apps met een extra wachtwoord of pincode te beveiligen, zijn die veiliger. Data kan via versleuteling (ook wel encryptie) zo worden beveiligd dat criminelen niets met de buitgemaakte gegevens kunnen. Encryptie van privacygevoelige informatie is ten zeerste aan te bevelen en is in sommige gevallen ook wettelijk verplicht. 2. Detectie zorgt voor continue gevaaranalyse Met een firewall of antivirussoftware proberen ondernemers natuurlijk te voorkomen dat een cybercrimineel binnenkomt. De aanvaller bevindt zich vaak al binnen de muren. In het overgrote deel van de gevallen wordt de aanval pas na 200 dagen ontdekt, waarna er nog eens weken of maanden overheen gaan voordat organisaties de schade herstellen. En naast imagoschade is het verlies van intellectueel eigendom en persoonlijke gegevens dan meestal al een feit. Daarom is een continue interne en externe beveiliging van groot belang. Aanvallen van hackers vertonen vaak een bepaald patroon dat gekenmerkt wordt door een serie van s met malware. Deze schadelijke software zit al dan niet verstopt in Word- en Excel-bestanden. Het is verdacht als je ineens veel krijgt uit landen als China en Rusland, terwijl je daar geen relatie mee hebt. Het inrichten van een goed detectie- en preventiesysteem helpt bij het vroegtijdig signaleren van dit soort afwijkingen. Het gaat dan om tools die patronen herkennen en proactief gevaren signaleren. 3. Reageer en neutraliseer het gevaar Dankzij de eerder genoemde maatregelen is een snelle opsporing en neutralisering van het cybergevaar mogelijk. Aanvallen worden afgeslagen voordat ze schade kunnen aanrichten. Zo kunnen besmette mobieltjes of laptops op afstand worden geblokkeerd of gewist en worden verdachte apps niet toegelaten op het netwerk. Of worden gevaarlijke s gefilterd voordat ze worden aangeklikt en wordt toegang voor onbevoegden afgesloten. Aan de slag met een goede security Wil je weten of jouw bedrijf goed beveiligd is tegen cybercrime? Doe dan de interactieve security test met Martin Vliem, de National Security Officer van Microsoft via