Malware, phishing, ransomware of een DDoS-aanval: maar liefst veertig procent van de Nederlandse ondernemers wordt jaarlijks gehackt. Niettemin onderschatten veel bedrijven de risico’s van cybercrime.
Daarover organiseerden Rabobank Haarlem en Interpolis eind oktober een ‘cyber-event’ in Haarlem. Risicodeskundige Raymond van der Heide van Interpolis doet verslag en geeft praktische tips.
Dat was schrikken voor de aanwezige ondernemers. Ga je nietsvermoedend naar een bijeenkomst over cybercrime, tovert een keurige hacker vanaf het podium een lijst met 06-nummers op een levensgroot scherm. Met daarbij ook jouw mobiele nummer!
Vervolgens vertelt de hacker dat hij ongezien mee kan lezen wat je zoal met je telefoon doet, en alle mogelijke cruciale data kan uitlezen. Zoals je password voor internetbankieren. Wat had je fout gedaan? Je had gebruikgemaakt van een onbeveiligd wifi-netwerk, zoals je die tegenwoordig vaak in de horeca aantreft.
De hacker was consultant Michael Tong Sang, die door bedrijven wordt ingehuurd om te checken waar hij bij hen online kan inbreken, en hoe dat valt te voorkomen. Andere sprekers waren Jesse van der Putte, officier van justitie en coördinerend fraudeofficier voor internetoplichting, en Pim Takkenberg, directeur van Northwave, bureau voor informatiebeveiliging. Misdaadverslaggever Peter R. de Vries leidde de discussie.
Vier op de tien jaarlijks gehackt
De deskundigen waren het er over eens dat cybercrime snel oprukt. We kennen allemaal die mailtjes van bekende retailers of telecomproviders: ‘Gefeliciteerd, u krijgt een waardebon van 500 euro!’ Je hoeft alleen even op bijgaande link te klikken. Waarna je bent gehackt. Naar schatting worden één op de acht bedrijven jaarlijks gehackt.
Maar lang niet ieder bedrijf doet aangifte (‘Helpt toch niet’, ‘Slecht voor mijn imago’). Volgens overheidsschattingen werd vorig jaar dan ook liefst veertig procent van de Nederlandse ondernemers slachtoffer van cybercrime. De belangrijkste redenen? Cyberofficier Van der Putte noemde er vier: financieel gewin, ruzie binnen relaties, ideële redenen (‘de grootbanken aanpakken’) en ‘puberale’ redenen (digitaal belletje trekken, hacken voor de lol).
Voorkomen is beter dan verzekeren
Duidelijk is dat bedrijven alerter moeten zijn op hun cyberveiligheid. Daarom werd eind oktober de landelijke campagne Alert Online 2015 gelanceerd, een initiatief van de overheid, bedrijven (waaronder Interpolis) en de wetenschap.
‘Meer bewustzijn is nodig, want bedrijven hebben geen idee hoeveel ze moeten investeren in cyberveiligheid’, benadrukte Takkenberg. Is Justitie in staat om via een cyberaanval gestolen geld weer terug te halen? ‘Vergeet het maar. Bij Justitie lopen we helaas tien stappen achter op cybercriminelen’, aldus Van der Putte.
Cyberrisico’s zijn niet te verzekeren omdat verzekeraars deze risico’s niet goed kunnen inschatten. Daarom geldt voor cybercrime: voorkomen is beter dan verzekeren. En daarvoor is het cruciaal dat ondernemers zich bewust zijn van alle mogelijke risico’s en de schade die dat kan opleveren.
Indirecte schade sterk onderschat
De schade van cybercrime is vaak lastig te kwantificeren. Dat geldt niet zozeer voor de directe schade, denk aan diefstal van vertrouwelijke informatie, persoonsgegevens of geld. Met name de indirecte schade is moeilijk te bepalen en wordt mede daarom sterk onderschat.
Het kost veel tijd en dus geld om een cyberlek te dichten en de schade te herstellen, want de bedrijfsprocessen liggen tijdelijk plat. Daarnaast is er de impact van de imagoschade: het vertrouwen van klanten en consumenten win je niet zo maar terug nadat hun gegevens op straat zijn komen te liggen. En met geld is deze schade niet goed te maken!
Vijf tips om cybercrime te voorkomen
1. Vooraf checken
Voor je met iemand in zee gaat, is het verstandig om even naar de ‘checkfunctie’ te surfen op politie.nl. Daarop kunnen kopers en verkopers nagaan of er meldingen van fraude over een beoogde wederpartij bekend zijn.
http://www.mijnpolitie.nl2. Op de agenda
Zet cyberveiligheid permanent op de managementagenda: voldoen de getroffen preventiemaatregelen (firewalls, antivirussystemen et cetera) nog?
3. Cyberkennis in huis halen
Zorg dat je binnen het bedrijf iemand hebt die voldoende verstand van ict heeft om het niveau van cyberveiligheid te kunnen beoordelen en actie te ondernemen waar nodig. Heb je die persoon niet, besteed dit dan uit aan een externe specialist.
4. Systeemtoegang per medewerker
Neem cyberveiligheid mee in het personeelsbeleid, beheer de rechten die jouw personeel heeft om bij gevoelige informatie te komen. Wie krijg toegang tot welke onderdelen van het systeem? Soms gaat dat gruwelijk mis, weet ook de politie weer, nadat een ‘politiemol’ jarenlang vertrouwelijke onderzoeksinformatie kopieerde uit het politiesysteem en doorverkocht aan derden.
5. Geregeld testen
Laat je ict-infrastructuur geregeld testen, huur ethische hackers in om te kijken hoe en op welke plekken ze binnen kunnen dringen, en schroef vervolgens de beveiliging op.
Doe de CybersecurityCheck
Tot slot, ben je benieuwd hoe jouw bedrijf er voor staat als het op cybersecurity aankomt? Met de CybersecurityCheck van Interpolis krijg je een globaal inzicht in de staat van jouw digitale veiligheid.
Bekijk een registratie van het CyberEvent hieronder.
Raymond van der Heide is risicodeskundige van Interpolis. In een reeks bijdragen laat hij bedrijven zien hoe ze doordacht kunnen omgaan met risico’s. Interpolis is partnerexpert van Z24.
Dit artikel is oorspronkelijk verschenen op z24.nl