Oproep aan ondernemers: word wakker en investeer in IT-security

Artikel: Entrepreneur Maart 2017. Foto: Erik Vos

13 maart 2017 - Bij veel ondernemers in het MKB is IT-Security nog een ondergeschoven kindje. En vooral in het noorden blijken we onze digitale zaakjes relatief vaak niet op orde te hebben, zo weet directeur Stefan Zevenberg van het Assense NewComm IT.‘Teveel ondernemers denken nog dat het hen niet zal overkomen, maar ondertussen zorgt cybercrime jaarlijks wel voor naar schatting 10 miljard euro aan schade bij bedrijven. Het wordt dus hoog tijd dat we onze kop uit het zand halen en eens echt gaan investeren in een goede beveiliging.’

De meeste mensen staan er niet bij stil, maar sla het rapport Cybersecuritybeeld
Nederland 2016 eens open en je slaat haast steil achterover van de kernbevindingen die daarin gepresenteerd worden. ‘Beroepscriminelen hebben zich ontwikkeld tot geavanceerde actoren en voeren langdurige en hoogwaardige operaties uit’, zo valt onder meer te lezen. En ‘digitale economische spionage door buitenlandse inlichtingendiensten zet de concurrentiepositie van Nederland onder druk’, aldus het rapport van het Nationaal Cyber Security Centrum (NCSC) en de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV).

‘Iedereen moet zich realiseren dat ze het slachtoffer kunnen worden van cybercrime. Niet alleen in zijn privéleven, maar zeker ook professioneel. Of je nu slager of accountant bent, een eenmanszaak runt of aan het hoofd staat van een grote onderneming, het maakt de georganiseerde misdaad niks uit. Er is overal wel iets voor ze te halen’, aldus Zevenberg.

Maar het zijn lang niet alleen de echte zware criminelen die een digitale bedreiging vormen voor veel ondernemers. ‘Het gebeurt al geregeld dat bedrijven hun concurrentie uitschakelen door hacking’, weet Zevenberg. ‘Het komt door veranderingen in regelgeving steeds vaker voor dat opdrachten aanbesteed worden via een open inschrijving. Wat is er nu makkelijker dan voorafgaand aan de deadline dan zo’n aanbesteding het volledige systeem van een concurrent lam te leggen? Met een DDoS-aanval is dat zo gepiept. Daarbij wordt in één keer zoveel data op je systeem afgevuurd dat het volledig wordt platgelegd. En voordat je systeem weer van zo’n aanval bekomen is, kun je je offerte al niet meer insturen en gaat een ander er met de order vandoor.’

Hoe gemakkelijk het is een computersysteem plat te leggen, blijkt wel uit de vele aanvallen op scholen. Volgens SURFnet, de ICT-organisatie voor het onderwijs wordt er elke dag wel ergens in Nederland een DDoS-aanval gepleegd op een onderwijsinstelling. ‘Als wraak voor een slecht cijfer of om onder een proefwerk of tentamen uit te komen. Het is ook gewoon supergemakkelijk. Voor een paar euro kun je het online allemaal in een paar minuten regelen’, zo geeft Zevenberg aan. ‘Als eerlijk concurreren niet echt je ding is, kun je dus heel gemakkelijk de concurrentie gewoon platleggen. Tenzij de ‘tegenpartij’ goed beschermd is, maar dat is dus helaas nog lang niet altijd het geval.’

DDoS-aanvallen zijn volgens Zevenberg dan ook één van de drie vormen van cybercrime die de grootste bedreigingen vormen voor ondernemers. ‘Naast DDoS zijn dat mal- en adware, variërend van vervelend tot erg gevaarlijk, en Advanced Persistant Threats (APT’s), waarbij kwaadwillenden gerichte en langdurige aanvallen uitvoeren om bedrijfsgevoelige informatie te stelen.’ Wat ze allemaal gemeen hebben, is dat je vaak pas merkt dat je erdoor geraakt bent als het al te laat is. ‘En dan is de schade al geleden’, aldus Zevenberg.

Maar zonder een goede beveiliging en voldoende bewustzijn over de risico’s loop je ook tegen hele directe dreigingen aan. Wat te denken van cryptolockers, een vorm van malware die de laatste jaren een enorme groei doormaakt. ‘Één medewerker hoeft maar op een verkeerde link of emailbijlage te klikken en de hele digitale omgeving van een onderneming wordt vergrendeld. Je kunt pas weer bij je bestanden als je even een fors bedrag in bitcoins aftikt bij je digitale gijzelnemer.’ En dat is volgens Zevenberg niet zomaar een tiener met een laptop. ‘Het gaat om goed georganiseerde bendes. Bizar genoeg zijn er zelfs organisaties in bijvoorbeeld Oost-Europa die hun slachtoffers via een helpdesk helpen met het overmaken van de geëiste bitcoins.’

Om die dreigingen het hoofd te kunnen bieden, moet je er als ondernemer voor zorgen dat je beveiliging op orde is. ‘Dat begint ermee dat je je bewust wordt van de gevaren. Momenteel ontbreekt het daar veel ondernemers nog aan. Ik hoor om me heen nog veel te vaak ‘Nee joh, zo’n vaart zal het wel niet lopen’ of ‘Wat valt er bij mij nou te halen?’. Een tijdje terug was ik in Assen op het ‘IT Security Symposium’. Iedereen was erg onder de indruk en voor even stond de digitale veiligheid hoog op de agenda bij al die ondernemers. Maar een week later is iedereen al weer druk met andere dingen en lijkt de urgentie verdwenen. Het lijkt er bijna op dat het eerst eens goed fout moet gaan, voordat er actie wordt ondernomen.’

Terwijl het helemaal niet zo moeilijk is om je zo goed mogelijk tegen schadelijke digitale invloeden te wapenen. ‘Natuurlijk vergt het investeringen, zowel in tijd als in geld, maar als je de risico’s echt wilt verlagen moet je wel. De digitalisering zet door en daar moet je simpelweg in mee. Niet alleen door te investeren in de kansen die de technologie biedt, maar ook door je te wapenen tegen de gevaren die erbij horen.’

Drie factoren zijn daarin volgens Zevenberg van levensbelang:De twee P’s, oftewel People en Process, de inrichting van een ‘first line of defence’ en een goeie

‘disaster recovery strategy’. ‘People & Process gaat om de bewustwording binnen je organisatie’, zo legt de NewComm-directeur uit. ‘Zorg dat je processen goed inricht en dat medewerkers alleen toegang hebben tot de informatie die ze nodig hebben om hun werk goed te doen. En zorg er daarnaast voor dat ze bedreigingen herkennen en zich realiseren dat ze met kwetsbare informatie werken.’

Wat betreft de ‘first line of defense’ is het advies zo mogelijk nog simpeler: koop goeie antivirussoftware en zorg voor de juiste firewalls (Next Generation Firewalls). ‘Het zal je verbazen hoeveel ondernemers daarop beknibbelen’, aldus Zevenberg. ‘De risico’s zijn te hoog om voor een dubbeltje op de eerste rang te willen zitten.’ Want behalve de onderwereld is er ook nog de overheid die streng kan optreden als je je zaakjes niet op orde hebt. ‘De boetes voor datalekken zijn echt fors en nu Europa zich er steeds meer mee gaat bemoeien zullen ze alleen maar forser worden. Als je medewerkers voor hun werk veel gebruikmaken van mobiele apparaten als laptops, tablets en smartphones, kun je dus maar beter zorgen voor goede encryptiesoftware en, veel simpeler, sterke wachtwoorden. Dan laat je in ieder geval zien dat je er alles aan doet om data uit de verkeerde handen te houden.’

Maar mocht je ondanks alle maatregelen toch het slachtoffer worden van bijvoorbeeld een cryptolocker, zorg dan dat je een goede ‘disaster recovery plan’ hebt. ‘Zorg dat er geregeld een goede backup van je systeem wordt gemaakt en maak replica’s. Voor het ene bedrijf is ééns per dag of eens in de week voldoende, maar er zijn ook bedrijven die niet meer dan een minuut of zelfs een seconde aan werk willen verliezen als er iets fout gaat. Daar hangt dan natuurlijk wel een hoger prijskaartje aan.’

Afhankelijk van de gevoeligheid van de informatie die je als bedrijf verwerkt, zijn er dus de nodige keuzes die je op het gebied van ITsecurity kunt maken. Of beter gezegd: móét maken. ‘Want echt: er zijn voorbeelden van bedrijven die failliet zijn gegaan omdat ze hun zaakjes niet op orde hadden’, zo waarschuwt Zevenberg nog maar eens.