Steeds vaker verschijnen berichten in het nieuws over organisaties die slachtoffer zijn geworden van cybercriminaliteit. De gevolgen daarvan kunnen desastreus zijn, tot faillissement verklaring aan toe. Toch blijken veel MKB organisaties hier vaak geen aandacht aan te besteden. Zij menen dat de verantwoordelijkheid ligt bij hun ICT beheerder. Maar niets is minder waar!

Wetgeving

Zoals genoegzaam bij iedereen bekend, zijn organisaties zelf verantwoordelijk voor een aantal zaken en kan dat niet verlegd worden. De meldplicht datalekken en de telecomwet zijn voorbeelden van zaken waar daarom aandacht aan geschonken moet worden, al zal dit niet iets zijn waar de gemiddelde MKB ondernemer misschien veel interesse voor kan opbrengen. ICT is voor hem immers een middel, geen doel en alle extra aandacht die dit opeist is eigenlijk ongewenst. Maar hieraan kan men zich dus niet onttrekken.

Bedreigingen

Gezien het toenemende aantal meldingen van cybercriminaliteit moet geconstateerd worden dat dit een serieuze bedreiging vormt voor de bedrijfsvoering. Een op de vijf MKB organisaties is al slachtoffer geworden en nog eens twee op de vijf MKB organisaties heeft met cybercrime te maken gehad. Ga er dus maar van uit dat het fifty-fifty kans is dat u met cybercrime te maken heeft of te maken zult krijgen in de komende tijd.

Er zijn tal van bedreigingen aanwezig, maar sommige daarvan komen veel vaker voor dan andere. Het is een goede start om te beginnen er op toe te zien dat voor deze veel voorkomende aanvallen maatregelen getroffen zijn of snel genomen worden.

Malware en virussen, waaronder ransomware valt, is een van die bedreigingen. Hoewel daar een en ander preventief tegen te ondernemen is, kan het toch nog gebeuren dat ransomware alsnog vat krijgt op bijvoorbeeld de data van een organisatie. In dat geval moet u goed weten wat u moet doen. Betalen voor een digitale sleutel raden wij u af. Ten eerste omdat de kans dat u die sleutel na betaling in handen krijgt uitermate klein is, maar ten tweede ook omdat het betalen in feite het belonen van deze vorm van criminaliteit is. Met goede back-ups zijn de gevolgen van ransomware vaak relatief snel en goed terug te draaien en heeft de crimineel het nakijken.

Andere bedreigingen

Malware is vanzelfsprekend niet het enige waar u zorg over hoeft te hebben. Want al heeft u de voordeur nog zo goed gebarricadeerd, als een medewerker de achterdeur open laat staan dan wandelen ongenode gasten natuurlijk alsnog naar binnen. En nu net dat komt vaker voor dan gedacht.

Daarbij hebben veel MKB organisaties het idee dat het plaatsen van een goede firewall en antivirus software voor voldoende bescherming zorgt. Maar helaas, die tijd is al lang voorbij. Of, zoals een expert in cybersecurity ooit zei: “Ga er niet vanuit dat hackers buiten gehouden moeten worden, ze zitten al binnen. Vraag u af hoe u met hen om wilt gaan.

U heeft bijvoorbeeld ongetwijfeld apparatuur of software in uw netwerk staan dat over het internet communiceert met andere diensten. Maar hoe veilig zijn die en vormen deze geen lacune in de beveiliging van uw netwerk? Gebruikt u dubbele authenticatie om op het netwerk te kunnen komen omdat inloggegevens alleen vaak onbetrouwbaar blijken te zijn en is alle software goed bijgewerkt? Van gebruikers is bekend dat 25% werkt met browsers die zo verouderd zijn, dat zij een beveiligingsrisico vormen. Op die manier kunnen we nog wel even doorgaan.

Gevolgen

Bij de Nederlandse overheid doet men onderzoek naar cybercriminaliteit. Een van haar bevindingen is dat met name het MKB zichzelf matig tot slecht beschermt tegen cybercriminaliteit en meent dat dit de verantwoordelijkheid zou zijn van hun ICT dienstverlener.

Nu zullen goede ICT dienstverleners uiteraard een zekere mate van zorgplicht voelen, maar niet zelden vertellen zij tijdens branche bijeenkomsten dat klanten hun adviezen op dit gebied vaak in de wind slaan. ICTers zouden volgens veel van hun klanten vooral over cybercriminaliteit spreken om vrees aan te praten om zodoende meer omzet te kunnen behalen. Dat bemoeilijkt het nemen van de juiste strategische beslissingen.

De gevolgen van cybercriminaliteit kunnen echter enorm zijn. Los van de hoge boetes die kunnen worden opgelegd bij bijvoorbeeld datalekken van persoonsgegevens, kan het imago dusdanig beschadigd raken dat sommige bedrijven alleen daarom al hun deuren moesten sluiten.

Cybersecurity betekent dat er voor gezorgd wordt dat de ICT middelen blijven werken, dat data integriteit wordt gegarandeerd en dat de vertrouwelijkheid van data niet in het geding komt. Voor een kleine tien procent van de MKB organisaties geldt dat zij niet weet welke schade een cyberaanval hen heeft opgeleverd. Ze kunnen dus niet garanderen dat hun data nog klopt of dat het alleen toegankelijk is (geweest) voor geautoriseerde personen. Omdat bekend is dat de meeste slachtoffers niet melden dat er iets aan de hand is, spreken we in dit artikel misschien over cijfers die niets anders zijn dan een topje van de ijsberg. En sommige gevolgen van cybercriminaliteit laten zich helemaal niet meteen zien, maar komen pas veel later, soms jaren later, aan het licht.

Wat te doen?

Panthera BV heeft voor haar klanten een whitepaper opgesteld waarin zij ingaat op cybercriminaliteit, cybersecurity en wat er gedaan kan worden om zichzelf zo goed mogelijk te beschermen. Tevens wordt daarin gesproken over een werkwijze die wel “security bij design” wordt genoemd. Wij gaan daarmee langs onze klanten en bespreken met hun wat we moeten doen om hun zo veilig mogelijk te laten werken. Dit is geen eenmalige actie. Security is voor ons een integraal onderdeel van onze dienstverlening. Bij veranderingen wordt daar bijvoorbeeld altijd naar gekeken en we monitoren continue de aan ons toe vertrouwde systemen op deze veiligheid.

Misschien beschikt ook uw ICT dienstverlener over een dergelijk document en aanpak en kan deze u helpen om te onderzoeken of u goed genoeg bent beschermd en zo niet, welke maatregelen u daarvoor zou kunnen nemen. Vakkennis is daarbij wel nodig en wij raden u dan ook ten zeerste aan deze hierbij te betrekken.

Maar het allerbelangrijkste is dat u er van uit gaat dat u niet gegarandeerd veilig kunt zijn. Niemand kan dat namelijk garanderen. U kunt wel activiteiten ondernemen om uzelf zo goed mogelijk te beschermen en natuurlijk moet u minimaal dat doen wat van u verwacht wordt vanuit de wetgever.