Met name binnen het MKB vallen steeds meer slachtoffers van cybercrime. Nu al wordt gesproken in het Nederlandse bedrijfsleven van een schade van meer dan 10 miljard euro per jaar. Waarom is dit zo en wat is daar tegen te doen?

Grote organisaties hebben veel last van cybercrime gehad, maar hebben daar ook van geleerd. Er is veel tijd en geld gespendeerd in het veiliger maken van deze organisaties waardoor ze beter beschermd zijn tegen cybercrime. Het MKB heeft daar nu last van omdat de spelers binnen de cybercriminaliteit hierdoor hun werkveld steeds meer naar het MKB hebben verlegd. Rond de zeventig procent van de cybercriminaliteit is op dit moment gericht op het MKB, dus dat zegt genoeg.

Het MKB zelf zit natuurlijk niet stil en erkent in toenemende mate het groeiende risico dat hiermee gepaard gaat. Gebleken is echter wel dat maar weinig ondernemers zich echt bewust zijn van de risico’s die zij zelf lopen. Logisch, het ontbreekt hen aan de juiste kennis om hiervan een goede inschatting te kunnen maken. Het resultaat is dat zij vaak wel verschillende middelen hebben ingezet (bijvoorbeeld een firewall en antivirus software), maar dat deze middelen door niet-gespecialiseerde medewerkers worden geconfigureerd en beheerd en dat ook niet voor alle risico’s oplossingen aanwezig zijn. Het zal duidelijk zijn dat hier gevaarlijke lacunes door kunnen ontstaan zonder dat iemand daar erg in heeft.

Lacunes

Tijdens de outbreak van de “WannaCry-aanval” bleek dat er heel wat lacunes bestonden. Met name het MKB had te leiden onder deze aanval doordat er veel onbeveiligde verbindingen mogelijk bleken te zijn en de aanval hierdoor vrij spel kreeg. Omdat de cybercriminaliteit steeds slimmer en complexer wordt, moeten we er op beducht zijn dat deze vorm van criminaliteit alleen maar zal toenemen en ook steeds gevaarlijker wordt. Er moet dus nog wel wat gebeuren wil het MKB beter beschermd worden.

MKBers kunnen Panthera BV vragen om een audit op hun ICT omgeving uit te laten voeren. Tijdens deze audits komen we regelmatig tegen dat beveiligingssoftware niet of nauwelijks wordt geupdate, back-ups niet goed werken of zelfs niet gemaakt worden en wachtwoorden heel eenvoudig zijn en ook gedeeld worden op de werkvloer. Het is geen uitzondering dat iedereen in een bedrijf hetzelfde wachtwoord gebruikt of dat voor cruciale systemen, zoals een router, geen of een standaard wachtwoord wordt gebruikt.

In dergelijke gevallen heeft het weinig zin om systemen aan te schaffen die de veiligheid verhogen. Als systemen niet goed gebruikt of ingezet worden, hebben ze immers nauwelijks nut. Technologie begint pas te werken wanneer mensen er goed mee om kunnen gaan. Binnen de beveiligingsstrategie moet men doordrongen zijn dat het menselijk handelen een belangrijke schakel is binnen het geheel en dat hier gepast aandacht aan geschonken moet worden. Doordat met name in het MKB werk en privé vaak door elkaar lopen, worden zakelijke emailadressen ook voor privédoeleinden gebruikt en wordt hiermee de deur nog verder geopend voor extra spam en bijvoorbeeld phishingmails. Daarbij kan het activeren van het verkeerde attachment leiden tot aanzienlijke schade.

Gevolgen

Het MKB wordt vanaf twee kanten steeds harder geconfronteerd met deze zaken. Aan de ene kant komt cybercriminaliteit vaker voor, wordt deze slimmer en moet het MKB kosten maken om de gevolgen daarvan op te kunnen lossen. Aan de andere kant is de Nederlandse wetgever tegelijkertijd de lijntjes verder aan het aantrekken. De Wet Meldplicht Datalekken en nu ook de AVG hebben al geleid tot aanzienlijke reputatieschade. Daarnaast kan het ook nog forse financiële gevolgen teweeg brengen wanneer gevoelige data op straat komt te liggen. Het is dus al lang geen luxe meer om na te denken over digitale beveiliging, het behoort tot een goede bedrijfsvoering.

Cloud

Hoewel een deel van het MKB meent dat de cloud ook de oplossing zou zijn voor hun beveiliging, is dit vaak onjuist. Op cloudtechnologie kan men nu eenmaal niet blind varen. Hoe veilig bijvoorbeeld OneDrive binnen Microsoft Office 365 ook is, wanneer mensen hier bestanden in plaatsen op hun laptop kunnen er op die laptop al de meest vreselijke dingen mee gebeurd zijn. Is de laptop niet afdoende beschermd, dan is het slechts een kwestie van tijd: vroeg of laat gaat er iets mis en dan zal men niet bij Microsoft kunnen aankloppen. Logisch ook: het probleem is immers niet OneDrive, maar hoe daarmee gewerkt werd.

Partner

Daar waar organisaties ICT niet tot hun expertise hebben verheven, doen zij er goed aan een ICT partner in te schakelen die voor hen gaat kijken welke maatregelen het beste getroffen zouden kunnen worden. Stel dit niet uit tot morgen, want morgen is de kans dat u slachtoffer van cybercrime wordt of bent alleen maar groter geworden!