Ondanks de toename van hackpogingen en cyberaanvallen, zijn veel bedrijven in het MKB zich nog steeds te weinig bewust van de gevaren: van ransomware die hun systemen gijzelt tot het stelen van wachtwoorden en innovatieve ideeën.
Vorig jaar organiseerden Rabobank en Interpolis een cybercrime-event in Groningen. Bijna duizend ondernemers kwamen eropaf. Onder leiding van Peter R. de Vries en securityspecialisten van Rabobank en Interpolis leerden zij waar de gevaren schuilen en hoe ze zich daartegen kunnen wapenen.
Gert Bloemendal, collega van risico-expert Raymond van der Heide, is bij Interpolis dé specialist op het gebied van cyberveiligheid in het MKB. Lees zijn concrete tips in dit interview.
Gert, heb jij de indruk dat MKB-ondernemers zich bewust zijn van de gevaren van cybercrime?
‘Vorig jaar heeft Interpolis daar samen met CapGemini onderzoek naar gedaan. 529 bedrijven (met maximaal 249 medewerkers) hebben aan dat onderzoek meegedaan. We schrokken van de resultaten. Zo denkt 71% van de ondernemers dat hun bedrijf weinig of geen risico loopt. En dat terwijl 40% van de ondernemingen in Nederland jaarlijks te maken krijgt met cybercrime. En twee derde van de ondernemers meent dat het bedrijfsrisico dat ze lopen door cybercrime de komende vijf jaar gelijk zal blijven. Ik doe inspecties bij bedrijven en spreek ondernemers bijna dagelijks over zulke zaken. Ik denk dat de awareness inmiddels iets hoger is dan vorig jaar, maar nog steeds veel te laag.’
Wat die kans op cybercrime de komende vijf jaar betreft: stijgt die kans dan volgens jou?
‘Absoluut. Bedrijven worden er steeds gevoeliger voor. Niet alleen omdat cybercriminelen steeds professioneler worden, maar ook omdat het gebruik van ICT steeds meer toeneemt, ook bij kleine bedrijven. Het Internet of Things wordt de komende jaren steeds meer realiteit: allerlei apparaten worden verbonden met internet. Als je dat niet heel goed beveiligt, kan een cybercrimineel de besturing van je hele bedrijf overnemen.’
Een belangrijkste vorm van cybercrime is phishing: geheime gegevens achterhalen zoals inloggevens en creditcardnummers. Vaak gaat dat via links naar websites die sprekend lijken op websites van betrouwbare bedrijven en instanties.
Hoe herken je of een website echt is of nep?
‘Die nepsites lijken tegenwoordig als twee druppels water op het origineel. Check daarom altijd het webadres van de site waarop je je bevindt, voordat je vertrouwelijke gegevens invult.’
Phishing schijnt tegenwoordig ook op andere manieren plaats te vinden?
‘Klopt. Er zijn bendes die bedrijven opbellen en met keurige en betrouwbare stem bijvoorbeeld namens de CEO vragen om snel een bepaald bedrag over te maken naar een rekening. Of zich voordoen als een collega en vertrouwelijke gegevens vragen. Het blijkt dat voice phishing, zoals dit genoemd wordt, helaas vaak succesvol is.’
Er zijn ook verhalen van usb-sticks die medewerkers van bedrijven op de parkeerplaats vonden. Stopten ze zo’n stick in hun computer om te kijken wat er op stond, dan werd de inhoud van hun laptop gelijk doorgepompt naar een extern IP-adres.’
Ransomware is tegenwoordig ook een populaire vorm van cybercrime.
‘Daar hebben duizenden ondernemers inderdaad al mee te maken gehad. Bij ransomware wordt bijvoorbeeld de boekhouding van het bedrijf geblokkeerd. Ondernemers kunnen er pas weer bij als ze een bepaald bedrag hebben overgemaakt. Bij particulieren wordt meestal de fotocollectie geblokkeerd.’
Nooit doen, losgeld betalen, zegt de politie.
‘De meeste ondernemers doen dat wel, want hun bedrijf ligt stil als ze niet bij hun gegevens kunnen.’
Maar dan kloppen die criminelen de volgende dag toch weer bij je aan voor geld?
‘Er zit inmiddels een compleet businessmodel achter deze vorm van cybercrime. Criminelen vragen zelden extreem hoge bedragen, maar meestal een paar honderd euro. Anders betalen ondernemers inderdaad niet en gaan ze naar de politie. En als je betaalt, ben je daarna meestal wel gevrijwaard. Het klinkt paradoxaal, maar ook in deze branche is vertrouwen belangrijk, anders stort hun bedrijfsmodel op de lange termijn in.’
Dus niet naar de politie gaan?
‘Jawel, zeker wel. Maar ik snap dat ondernemers daarnaast ook losgeld betalen. Dat is misschien principieel verwerpelijk, maar wel begrijpelijk.’
Hoe kom je erachter of je bedrijf goed beveiligd is tegen cybercrime?
‘Er zijn partijen die dat voor je kunnen analyseren. Ook Interpolis biedt een dergelijke service aan, samen met CapGemini. We gaan dan op zoek naar de gaten in de beveiliging en testen of medewerkers in phishing-acties trappen.’
Sinds 1 januari 2016 is de Wet bescherming persoonsgegevens van kracht: ondernemers zijn het verplicht te melden als persoonsgegevens (bijvoorbeeld van klanten) op straat belanden. Dat bleek vorig jaar honderden keren gebeurd te zijn, terwijl bedrijven daar forse boetes voor kunnen krijgen van de Autoriteit Persoonsgegevens.
Zijn bedrijven zich hier voldoende van bewust?
‘Naar mijn indruk nog steeds veel te weinig. En dat terwijl dit jaar de nieuwe Europese privacywetgeving in werking treedt die nog veel strenger is. Niet voldoen aan de Algemene Verordening Gegevensbescherming (AVG) kan leiden tot boetes van (maximaal) twintig miljoen euro.’
Tips tegen cybercrime
- Zorg voor een firewall. Een firewall houdt de meeste aanvallen van hackers, computervirussen, spyware en ransomware buiten. Laat uw systeembeheerder de firewall goed instellen, want fabrieksinstellingen bieden meestal niet voldoende veiligheid.
- Zorg dat het anti-virussysteem up-to-date blijft. Bescherm alle apparatuur die (in)direct met internet in verbinding staat. Gebruik altijd de laatste versie.
- Voer alle software-updates direct uit. Een software-update is een gratis bescherming tegen de laatste beveiligingsproblemen die bekend geworden zijn. Zo voorkomt u dat uw website, server of computers in handen vallen van hackers die met automatische tools het internet afspeuren naar beveiligingslekken.
- Voer de software-update uit tijdens het onderhoud van de machines, dan ligt uw proces toch al stil. Zo gaat u om met een veel voorkomend dilemma: uw productieproces, lopende band of klimaatcontrole is volledig afhankelijk van ICT; op een software-update zit u dus niet te wachten, want dan ligt uw proces volledig stil.
- Zorg voor bewustwording bij uw medewerkers. Bespreek de risico’s met uw medewerkers en spreek heldere spelregels af, bijvoorbeeld over het gebruik van wachtwoorden:
- Zorg voor wachtwoorden van minimaal acht tekens, maar liever meer. Wissel wachtwoorden regelmatig. Gebruik nooit de fabrieksinstelling als wachtwoord, deze zijn gewoon op internet te vinden.
- Vermijd in uw wachtwoord woorden of tekens die in een voorspelbare volgorde staan (12345, abcde), letters die naast elkaar op het toetsenbord staan (qwerty), een herhaling van tekens (22222) en woorden uit een woordenboek, in welke taal dan ook. Cybercriminelen gebruiken scripts die automatisch ontelbare wachtwoorden (volgens een bepaalde logica) uitproberen. Net zolang tot het een keer ‘raak’ is.
- Gebruik een wachtwoordkluis op uw computer. Hierin slaat u al uw veilige wachtwoorden versleuteld op. Natuurlijk kiest u voor deze kluis ook een veilig wachtwoord.
- Bescherm zeer waardevolle informatie met tweestapsautorisatie. Stelt u dit in, dan wordt bij het inloggen niet alleen gevraagd om een gebruikersnaam en wachtwoord als autorisatie, maar bijvoorbeeld ook om een vingerafdruk. Of om een code die u per sms ontvangt.
- Zorg voor een noodplan. Soms gaat het toch mis. Wees daarop voorbereid. Bedenk vooraf hoe u ervoor zorgt dat u uw gegevens terugkrijgt. En hoe u uw klanten weer kunt bedienen.
- Maak dagelijks een (automatische) back-up en test regelmatig of de back-up werkt. Laat elke werkdag uw bestanden opslaan op een medium buiten het netwerk (zoals een losse harde schijf of tape) en berg deze apart van de server op. Controleer ook regelmatig of het back-upsysteem goed functioneert. Het zou zonde zijn als u bij schade alsnog met lege handen staat.
- Gaat personeel uit dienst, vergeet dan niet hun toegangsrechten direct te vergrendelen.
- Vergrendel uw werkstation wanneer u uw werkplek verlaat. Laat uw personeel hetzelfde doen.
- Versleutel gevoelige of vertrouwelijke bestanden met een wachtwoord. In veel programma’s zoals Word en Excel is dat heel eenvoudig.
- Steek geen onbekende usb-sticks in uw computer.
- Open geen mailtjes van afzenders die u niet kent. Het openen van een mailtje kan al fataal zijn. Open sowieso nooit bijlagen bij mailtjes van onbekenden.
- Wantrouw mails in slecht Nederlands en Engels. Daar zitten vaak Oost-Europese of Afrikaanse bendes achter. Helaas worden hun mailtjes steeds professioneler.
- Plak het cameraatje af boven je scherm met een stickertje. Er bestaat malware die via de camera meekijkt met wat je doet.
- Kies goede en betrouwbare leveranciers voor hard- en software.
Kijk voor meer tips ook in het Cyberdossier van Interpolis.
In een reeks bijdragen laat Raymond van der Heide, risico-expert bij Interpolis, bedrijven zien hoe ze doordacht kunnen omgaan met risico’s. Interpolis is partnerexpert van Business Insider Nederland.