Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Computable Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Nieuwsbrief

Boodschap aan mkb: onderschat gevaar cybercrime niet

16 november 2020 - 15:203 minuten leestijdOpinieSecurity & Awareness
Alex van Wijhe
Alex van Wijhe

Cybersecurity is vaak een ver-van-mijn-bed-show voor mkb-ondernemers. Maar het gevaar is groter dan gedacht. Hoe kunnen it-dienstverleners de cyberweerbaarheid onder het mkb vergroten?

We raken eraan gewend, nieuws over een bedrijf dat slachtoffer is geworden van een hacker. Toegegeven, met name aanvallen op grote bedrijven bereiken het nieuws. Dat betekent allerminst dat kleine bedrijven geen risico lopen. Sterker, bijna twee op de drie cyberaanvallen is gericht op het mkb. Bedrijven die vanwege hun omvang of diensten geen doelwit denken te zijn, zijn dit ongemerkt juist wel. Het is tegenwoordig niet meer de vraag óf je wordt gehackt, maar wanneer.

Altijd een doelwit

Of je nou leidinggevende bent van een groot bedrijf of een startende ondernemer, je bent altijd interessant voor een hacker. Veel kleine ondernemers beschouwen zichzelf als oninteressant voor een hacker – en precies dáár gaat het mis. Want hoewel ze wat betreft activa en omzet wellicht een klein visje zijn, kunnen ze wel degelijk een interessante toegangspoort zijn tot klanten en toeleveranciers. Relaties waar wél iets te halen valt, zoals geld of gevoelige gegevens. Zo vormt een op het eerste oog ‘verwaarloosbaar’ doelwit een stepping stone tot een partij die een stuk interessanter is.

Basismaatregelen

Er zijn een aantal basismaatregelen die mkb’ers kunnen nemen waarmee ze direct de veiligheid omhoog brengen. Denk aan een wachtwoordbeleid waarbij voorspelbare wachtwoorden zoals ‘welkom01’ niet meer geaccepteerd worden. En verplicht daarbij twee-factorauthenticatie, een beveiligingsmethode die weinig populair is omdat het een extra handeling vergt. Ook het direct uitvoeren van systeemupdates is een even eenvoudige als snelle stap naar meer veiligheid.

Rol it-leveranciers

Kunnen mkb’ers al veel zelf doen, ook it-dienstverleners kunnen een grotere rol spelen in het vergroten van de cyberweerbaarheid van het mkb. Acht op de tien mkb-ondernemingen vertrouwt namelijk op zijn it-leverancier wanneer het om cybersecurity gaat. Terwijl een kleine zestig procent van de it-leveranciers juist aangeeft dat hun mkb-klanten onvoldoende beschermd zijn.

Hoe kunnen it-leveranciers werken aan de security-verwachtingen van hun mkb-klanten?

  • Leg afspraken vast

Het is wellicht een open deur, maar leg vast wie waarvoor verantwoordelijk is als het om de cyberbeveiliging gaat. Zo voorkom je dat er onjuiste verwachtingen worden geschept.

  • Wees duidelijk over je expertise

It’ers zijn niet per definitie cybersecurity-experts. Het waarborgen van veiligheid vergt een andere expertise dan bijvoorbeeld performance of het garanderen van netwerkbeschikbaarheid. Wees daarom transparant over waar je wel en niet voor kan zorgen.

  • Richt pijlen niet alleen op preventie

Een honderd procent veiligheidsgarantie is niet mogelijk. Vroeg of laat is elk bedrijf een keer slachtoffer van een cyberaanval. Maak daarom helder wat er in dat geval moet gebeuren zodat de impact van een aanval zo klein mogelijk is. Welke gegevens staan waar opgeslagen en wie moeten er op de hoogte worden gebracht? Een vooraf opgesteld cyberincident-responseplan biedt een leidraad voor handelen tijdens een aanval. Zo voorkom je dat je nog op zoek moet naar een brandblusser als het huis al in brand staat.

(Onlangs publiceerde SIDN een driedelige podcastserie over cyberweerbaarheid binnen het mkb.)

Auteur: Alex van Wijhe, business developer CyberSterk SIDN

Meer over

CybercrimeDiensten

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Slimme connectiviteit: de toekomst van bouwen

    Hoe stoom jij jouw organisatie in de bouw en installatie sector klaar voor de digitale toekomst?

    Computable.nl

    De weg van dataverzameling naar impact

    Iedere organisatie heeft data, maar niet iedereen weet hoe je het goed gebruikt. Hoe zet je waardevolle informatie om in actie?

    Computable.nl

    Beveiliging en IT samen sterk tegen bedreigingen

    Deze paper geeft concrete strategieën en handvatten om IT en Security effectiever te integreren.

    Meer lezen

    Juryberaad MKB-project, Computable Awards 2020
    AchtergrondCloud & Infrastructuur

    ‘Mkb-projecten vooral pragmatisch en praktisch’

    ActueelInnovatie & Transformatie

    Nederlands mkb is digitaal koploper EU

    OpinieSecurity & Awareness

    Mkb in 2020 vaker doelwit cyberaanvallen

    OpinieCloud & Infrastructuur

    Praktische tips voor mkb’ers tegen cybercrime

    cybercrime
    ActueelSecurity & Awareness

    Cyberaanval blijft gemiddeld 124 uur onopgemerkt

    OpinieSecurity & Awareness

    Cybersecurity is lastige puzzel: heeft u alle stukjes?

    6 reacties op “Boodschap aan mkb: onderschat gevaar cybercrime niet”

    1. Jos Visser schreef:
      17 november 2020 om 16:44

      Ik zeg: Open een actie bij de rechter voor broddelwerk op het gebied van beveiliging. Met name voor software- en infrastructuurleveranciers. Maak die aansprakelijk voor de schade die wordt veroorzaakt door slechte beveiliging. Daarmee bescherm je het mkb want die kunnen dan meer vertrouwen hebben in de oplossingen die ze kopen en eventuele schade door wanprestatie verhalen bij de leverancier.

      Login om te reageren
    2. Will Moonen schreef:
      18 november 2020 om 08:38

      Gaat wel erg ver Jos – maar goed.

      Zullen we dat dan verrekenen met de gevolgschades rondom gelekte gebruikersnamen en wachtwoorden?
      Bijvoorbeeld omdat ondanks een wachtwoordenkluis alle wachtwoorden toch weer teruggezet zijn naar ‘Fiets123456!’?

      Waarna het op een stikker is gezet en boven het toetsenbord van de laptop is geplakt? Zodat het niet vergeten wordt omdat het toch wel een erg lang en moeilijk wachtwoord is?

      Of zie je zoiets ook als een probleem wat is veroorzaakt door een slecht beveiligingsbeleid van een van die leveranciers?

      Login om te reageren
    3. Henri Koppen schreef:
      18 november 2020 om 08:55

      Cliche-antwoord bij security: People, Processes & Technology

      Met de juiste techniek kun je veel ellende voorkomen. Intrusion Detection, firewalls, virus scanners, etc.
      Goede processen : Zorgen voor updates, plan voor als het misgaat, rapporten van phishing, etc.
      People: Hoe zorg je dat je mensen signalen communiceren (ik zie gekke meldingen) en gewenst gedrag vertonen: Voor ieder account een ander wachtwoord, tweestapsverificatie, herkennen van phishing.

      Dat laatste is het lastigst. Mensen weten misschien wel een beetje wat ze moeten doen, maar handelen er niet naar. Het hebben van goede gewoontes op het gebied van informatie veiligheid zou gewoon normaal moeten zijn net als handen wassen en naar links en rechts kijken als je oversteekt. Of iemand bellen als ie via WhatsApp geld vraagt.

      Helaas zijn alle drie de componenten (mensen,processen en technologie) nodig om de grootste kans op ellende te voorkomen. Het kost dus gewoon geld, tijd en moeite.

      Mijn ervaring de laatste jaren is dat de verantwoordelijke voor informatie veiligheid totaal niet het mandaat krijgt. Dus wel zeggen dat het belangrijk is, maar geen (toereikend) budget geven.

      Het besef van belang komt pas achteraf na een incident en in mijn ogen is praktisch iedere organisatie momenteel onacceptabel kwetsbaar. Dat kan ik aantonen.

      Mijn tip als business owner / verantwoordelijke: Verdiep je er eens in, het is een wonderlijke wereld en het beter doen dan je buur is helemaal niet zo moeilijk. Het zou gewoon moeten zijn.

      Login om te reageren
    4. Will Moonen schreef:
      18 november 2020 om 09:59

      ‘De verantwoordelijke voor informatieveiligheid totaal niet het mandaat krijgt’
      Dat klopt. Ik denk dat dat deels komt door allerhande goed bedoelde adviezen; deels door de technologie- leveranciers.

      De goedbedoelde adviezen gaan niet of nauwelijks verder dan het bekende riedeltje van dingen die geregeld moeten worden zoals patching, backup, antivirus, etc. Van alles wat ik tot nu toe aan adviezen voorbij heb zien komen is er geeneen die in gaat op de vraag ‘Wanneer is het goed (genoeg)?’; laat staan iets van een raming (d.w.z. bandbreedte) aan te maken kosten en inspanning.

      De andere kant is technologie leveranciers; die gaan uit van ‘meer-meer-meer’. Alleen vertellen ze er niet bij hoe je het allemaal moet gebruiken en hoe je het draaiende moet houden. Waardoor je als organisatie uiteindelijk met een giga-tech-dept komt te zitten. Maar vervolgens nauwelijks een idee hebt hoe dat aan te pakken; laat staan voor te blijven.

      Het cliche-antwoord van ‘people, processes en technology’ helpt daar ook niet echt bij omdat dat vaak voortborduurt op de goed bedoelde adviezen.

      Kortom – it en security zijn (en blijven!) beiden een vak – net zoals dat van een schilder, timmerman en loodgieter. Zo iemand langs laten komen om “iets” te doen in je woning kost tijd en geld.

      Hoeveel? Hangt af van je risk-appetite; iets om vooraf over na te denken en met anderen over van gedachten wisselen. Iets wat in de privé sfeer heel te doen gebruikelijk is. Maar zakelijk/security wise stukken minder; zo lijkt het toch.

      Daarom: voel je vrij om me te bellen/mailen als je daar behoefte aan hebt… 😉

      Login om te reageren
    5. dino schreef:
      18 november 2020 om 11:29

      Wat een verhaal Henri,
      is alles niet veilig in de cloud dan ?
      😉

      Login om te reageren
    6. Alex van Wijhe schreef:
      19 november 2020 om 15:55

      Ik zie een aantal goede opmerkingen voorbij komen, dank voor de reacties!
      @Jos: ja en nee, er is nu inmiddels al wat jurisprudentie in het geval een organisatie gehackt is waarbij de IT leverancier al dan niet gedeeltelijk verantwoordelijk wordt gesteld. Eerder schreven we hier het volgende over: https://www.sidn.nl/nieuws-en-blogs/cybersecurity-vanzelfsprekend-onderdeel-van-it-dienstverlening. Er zijn nu een aantal casussen waarbij beide partijen voor 50% van de schade dienden op te draaien. Daarom is de boodschap niet alleen richting de MKB bedrijven, maar ook naar de IT partijen voor belang, zorg dat er goede maatregelen zijn genomen op het vlak van cybersecurity, zodat het a) niet mis gaat en b) als het dan toch mis gaat, je tenminste kan bewijzen er voldoende aan gedaan te hebben om het te voorkomen. Maar het is een gedeelde verantwoordelijkheid, als ondernemer maak je hier ook bewuste keuzes in.
      Zoals Henri ook aangeeft komt helaas het besef vaak pas ná security incidenten, en vaak is de schade dan al veel te groot. Dat is wellicht een combinatie van mandaat en besef, maar ook simpelweg van het gebrek aan betaalbare inzichtelijke tooling. Dat is ook waarom we vanuit SIDN CyberSterk aanbieden, waarmee we specifiek voor het MKB in Nederland op begrijpelijke wijze inzicht geven in de cybersecurity van een organisatie. Ik merk dat het bewustzijn onder Nederlandse ondernemers groeit en al best aanwezig is, alleen is de stap naar investeren soms nog net een brug te ver. En daar kunnen IT partijen denk ik ook hun verantwoordelijkheid pakken, om óf dergelijke maatregelen onderdeel te maken van de standaard dienstverlening, of hun eindklanten te wijzen op de risico’s van het niet in gebruik nemen van goede monitoring/security oplossingen.

      Login om te reageren

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Populaire berichten

    Meer artikelen

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Planning
    • Computable Awards
    • Magazine
    • Abonneren Magazine
    • Cybersec e-Magazine

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs