We raken eraan gewend, nieuws over een bedrijf dat slachtoffer is geworden van een hacker. Toegegeven, met name aanvallen op grote bedrijven bereiken het nieuws. Dat betekent allerminst dat kleine bedrijven geen risico lopen. Sterker, bijna twee op de drie cyberaanvallen is gericht op het mkb. Bedrijven die vanwege hun omvang of diensten geen doelwit denken te zijn, zijn dit ongemerkt juist wel. Het is tegenwoordig niet meer de vraag óf je wordt gehackt, maar wanneer.
Altijd een doelwit
Of je nou leidinggevende bent van een groot bedrijf of een startende ondernemer, je bent altijd interessant voor een hacker. Veel kleine ondernemers beschouwen zichzelf als oninteressant voor een hacker - en precies dáár gaat het mis. Want hoewel ze wat betreft activa en omzet wellicht een klein visje zijn, kunnen ze wel degelijk een interessante toegangspoort zijn tot klanten en toeleveranciers. Relaties waar wél iets te halen valt, zoals geld of gevoelige gegevens. Zo vormt een op het eerste oog 'verwaarloosbaar' doelwit een stepping stone tot een partij die een stuk interessanter is.
Basismaatregelen
Er zijn een aantal basismaatregelen die mkb’ers kunnen nemen waarmee ze direct de veiligheid omhoog brengen. Denk aan een wachtwoordbeleid waarbij voorspelbare wachtwoorden zoals ‘welkom01’ niet meer geaccepteerd worden. En verplicht daarbij twee-factorauthenticatie, een beveiligingsmethode die weinig populair is omdat het een extra handeling vergt. Ook het direct uitvoeren van systeemupdates is een even eenvoudige als snelle stap naar meer veiligheid.
Rol it-leveranciers
Kunnen mkb’ers al veel zelf doen, ook it-dienstverleners kunnen een grotere rol spelen in het vergroten van de cyberweerbaarheid van het mkb. Acht op de tien mkb-ondernemingen vertrouwt namelijk op zijn it-leverancier wanneer het om cybersecurity gaat. Terwijl een kleine zestig procent van de it-leveranciers juist aangeeft dat hun mkb-klanten onvoldoende beschermd zijn.
Hoe kunnen it-leveranciers werken aan de security-verwachtingen van hun mkb-klanten?
- Leg afspraken vast
Het is wellicht een open deur, maar leg vast wie waarvoor verantwoordelijk is als het om de cyberbeveiliging gaat. Zo voorkom je dat er onjuiste verwachtingen worden geschept.
- Wees duidelijk over je expertise
It’ers zijn niet per definitie cybersecurity-experts. Het waarborgen van veiligheid vergt een andere expertise dan bijvoorbeeld performance of het garanderen van netwerkbeschikbaarheid. Wees daarom transparant over waar je wel en niet voor kan zorgen.
- Richt pijlen niet alleen op preventie
Een honderd procent veiligheidsgarantie is niet mogelijk. Vroeg of laat is elk bedrijf een keer slachtoffer van een cyberaanval. Maak daarom helder wat er in dat geval moet gebeuren zodat de impact van een aanval zo klein mogelijk is. Welke gegevens staan waar opgeslagen en wie moeten er op de hoogte worden gebracht? Een vooraf opgesteld cyberincident-responseplan biedt een leidraad voor handelen tijdens een aanval. Zo voorkom je dat je nog op zoek moet naar een brandblusser als het huis al in brand staat.
(Onlangs publiceerde SIDN een driedelige podcastserie over cyberweerbaarheid binnen het mkb.)
Auteur: Alex van Wijhe, business developer CyberSterk SIDN
Reacties
Ik zeg: Open een actie bij de rechter voor broddelwerk op het gebied van beveiliging. Met name voor software- en infrastructuurleveranciers. Maak die aansprakelijk voor de schade die wordt veroorzaakt door slechte beveiliging. Daarmee bescherm je het mkb want die kunnen dan meer vertrouwen hebben in de oplossingen die ze kopen en eventuele schade door wanprestatie verhalen bij de leverancier.
Gaat wel erg ver Jos – maar goed.
Zullen we dat dan verrekenen met de gevolgschades rondom gelekte gebruikersnamen en wachtwoorden?
Bijvoorbeeld omdat ondanks een wachtwoordenkluis alle wachtwoorden toch weer teruggezet zijn naar 'Fiets123456!'?
Waarna het op een stikker is gezet en boven het toetsenbord van de laptop is geplakt? Zodat het niet vergeten wordt omdat het toch wel een erg lang en moeilijk wachtwoord is?
Of zie je zoiets ook als een probleem wat is veroorzaakt door een slecht beveiligingsbeleid van een van die leveranciers?
Cliche-antwoord bij security: People, Processes & Technology
Met de juiste techniek kun je veel ellende voorkomen. Intrusion Detection, firewalls, virus scanners, etc.
Goede processen : Zorgen voor updates, plan voor als het misgaat, rapporten van phishing, etc.
People: Hoe zorg je dat je mensen signalen communiceren (ik zie gekke meldingen) en gewenst gedrag vertonen: Voor ieder account een ander wachtwoord, tweestapsverificatie, herkennen van phishing.
Dat laatste is het lastigst. Mensen weten misschien wel een beetje wat ze moeten doen, maar handelen er niet naar. Het hebben van goede gewoontes op het gebied van informatie veiligheid zou gewoon normaal moeten zijn net als handen wassen en naar links en rechts kijken als je oversteekt. Of iemand bellen als ie via WhatsApp geld vraagt.
Helaas zijn alle drie de componenten (mensen,processen en technologie) nodig om de grootste kans op ellende te voorkomen. Het kost dus gewoon geld, tijd en moeite.
Mijn ervaring de laatste jaren is dat de verantwoordelijke voor informatie veiligheid totaal niet het mandaat krijgt. Dus wel zeggen dat het belangrijk is, maar geen (toereikend) budget geven.
Het besef van belang komt pas achteraf na een incident en in mijn ogen is praktisch iedere organisatie momenteel onacceptabel kwetsbaar. Dat kan ik aantonen.
Mijn tip als business owner / verantwoordelijke: Verdiep je er eens in, het is een wonderlijke wereld en het beter doen dan je buur is helemaal niet zo moeilijk. Het zou gewoon moeten zijn.
'De verantwoordelijke voor informatieveiligheid totaal niet het mandaat krijgt'
Dat klopt. Ik denk dat dat deels komt door allerhande goed bedoelde adviezen; deels door de technologie- leveranciers.
De goedbedoelde adviezen gaan niet of nauwelijks verder dan het bekende riedeltje van dingen die geregeld moeten worden zoals patching, backup, antivirus, etc. Van alles wat ik tot nu toe aan adviezen voorbij heb zien komen is er geeneen die in gaat op de vraag 'Wanneer is het goed (genoeg)?'; laat staan iets van een raming (d.w.z. bandbreedte) aan te maken kosten en inspanning.
De andere kant is technologie leveranciers; die gaan uit van 'meer-meer-meer'. Alleen vertellen ze er niet bij hoe je het allemaal moet gebruiken en hoe je het draaiende moet houden. Waardoor je als organisatie uiteindelijk met een giga-tech-dept komt te zitten. Maar vervolgens nauwelijks een idee hebt hoe dat aan te pakken; laat staan voor te blijven.
Het cliche-antwoord van 'people, processes en technology' helpt daar ook niet echt bij omdat dat vaak voortborduurt op de goed bedoelde adviezen.
Kortom – it en security zijn (en blijven!) beiden een vak – net zoals dat van een schilder, timmerman en loodgieter. Zo iemand langs laten komen om “iets” te doen in je woning kost tijd en geld.
Hoeveel? Hangt af van je risk-appetite; iets om vooraf over na te denken en met anderen over van gedachten wisselen. Iets wat in de privé sfeer heel te doen gebruikelijk is. Maar zakelijk/security wise stukken minder; zo lijkt het toch.
Daarom: voel je vrij om me te bellen/mailen als je daar behoefte aan hebt... ;-)
Wat een verhaal Henri,
is alles niet veilig in de cloud dan ?
;-)
Ik zie een aantal goede opmerkingen voorbij komen, dank voor de reacties!
@Jos: ja en nee, er is nu inmiddels al wat jurisprudentie in het geval een organisatie gehackt is waarbij de IT leverancier al dan niet gedeeltelijk verantwoordelijk wordt gesteld. Eerder schreven we hier het volgende over: https://www.sidn.nl/nieuws-en-blogs/cybersecurity-vanzelfsprekend-onderdeel-van-it-dienstverlening. Er zijn nu een aantal casussen waarbij beide partijen voor 50% van de schade dienden op te draaien. Daarom is de boodschap niet alleen richting de MKB bedrijven, maar ook naar de IT partijen voor belang, zorg dat er goede maatregelen zijn genomen op het vlak van cybersecurity, zodat het a) niet mis gaat en b) als het dan toch mis gaat, je tenminste kan bewijzen er voldoende aan gedaan te hebben om het te voorkomen. Maar het is een gedeelde verantwoordelijkheid, als ondernemer maak je hier ook bewuste keuzes in.
Zoals Henri ook aangeeft komt helaas het besef vaak pas ná security incidenten, en vaak is de schade dan al veel te groot. Dat is wellicht een combinatie van mandaat en besef, maar ook simpelweg van het gebrek aan betaalbare inzichtelijke tooling. Dat is ook waarom we vanuit SIDN CyberSterk aanbieden, waarmee we specifiek voor het MKB in Nederland op begrijpelijke wijze inzicht geven in de cybersecurity van een organisatie. Ik merk dat het bewustzijn onder Nederlandse ondernemers groeit en al best aanwezig is, alleen is de stap naar investeren soms nog net een brug te ver. En daar kunnen IT partijen denk ik ook hun verantwoordelijkheid pakken, om óf dergelijke maatregelen onderdeel te maken van de standaard dienstverlening, of hun eindklanten te wijzen op de risico's van het niet in gebruik nemen van goede monitoring/security oplossingen.