De kans om slachtoffer te worden van cybercrime is groot. Met name mkb-organisaties zijn een geliefd doelwit voor cybercriminelen, omdat de beveiliging van deze bedrijven veelal te wensen overlaat. Enerzijds doordat mkb-ondernemers ten onrechte denken niet interessant genoeg te zijn, en anderzijds doordat ze de mensen en middelen vaak niet hebben om hun cyberweerbaarheid op peil te krijgen. “Er is sprake van een vals gevoel van veiligheid bij het mkb.”
Volgens Nick Pul, manager van het sales engineering team bij Dustin, is er bij het mkb enorm veel ruimte voor verbetering als het gaat om cybersecurity. “Natuurlijk kennen we allemaal de verhalen van grote organisaties die worden getroffen, want die worden in de media breed uitgemeten. Daarmee ontstaat onterecht het idee dat kleinere bedrijven niet interessant zijn voor cybercriminelen.” Het tegendeel is waar. Cybercriminelen schieten vaak met hagel om uit te vinden welke systemen slecht of niet beveiligd zijn en dringen vervolgens binnen waar de digitale deur het eenvoudigst te forceren is. “Vergelijk het met inbrekers”, zegt Pul. “Die zoeken ook het huis waar ze het makkelijkst en snelst binnen kunnen komen. Ze gaan echt niet uitgebreid aan de slag om een deur met driepuntsslot open te krijgen.”
Niet langer afdoende
De wereld van cyberdreigingen is continu in beweging, waardoor het voor relatief kleine bedrijven lastig tot vrijwel onmogelijk is om hun cybersecurity zelf up-to-date te hebben en houden. “Criminelen worden steeds geavanceerder en ontwikkelen nieuwe methoden om systemen binnen te dringen. Traditionele beveiligingsmaatregelen zoals firwalls en e-mailbeveiligingsprogramma’s zijn niet langer afdoende om deze bedreigingen te weerstaan. Tel daarbij op het gebrek aan expertise en middelen binnen het mkb en je weet hoe moeilijk het is om deze voortdurend veranderende dreigingen effectief te bestrijden.”
Vak apart
Een IT-partner vervult een cruciale rol in het waarborgen van de security van een mkb-bedrijf, zegt Pul. “Een ervaren IT-partner zoals Dustin neemt de verantwoordelijkheid op zich voor het implementeren en onderhouden van geavanceerde securityoplossingen die essentieel zijn om bedrijfsgegevens te beschermen tegen aanvallen zoals phishing en ransomware.” Door samen te werken met een betrouwbare IT-partner kunnen mkb-bedrijven gerust zijn dat hun securitybehoeften worden aangepakt door experts, waardoor ze zich kunnen concentreren op hun kernactiviteiten zonder zich zorgen te maken over de dreiging van cyberaanvallen.
“Cybersecurity is echt een vak apart”, stelt Pul. “Dat is ook de reden dat wij heel nauw samenwerking met een securitypartner, TrueSec. Wij kennen onze klant heel goed en TrueSec kent de cyberdreigingen en juiste bescherming daartegen heel goed. Zo kunnen onze klanten profiteren van de meest up-to-date kennis, ervaring en technologie om hun systemen te beschermen.”
Awareness
Naast technologische oplossingen benadrukt Pul het belang van het menselijke aspect en awareness. Phishing-aanvallen en social engineering blijven namelijk effectieve methoden voor cybercriminelen, vaak omdat ze vertrouwen op menselijke fouten. Pul wijst op de kwetsbaarheid die ontstaat door die menselijke fouten, zoals het klikken op phishing-mails door onoplettendheid of gebrek aan bewustzijn. “Veel bedrijven zijn al bezig met het trainen van hun medewerkers om onbetrouwbare mails en links te herkennen, maar criminelen worden ook steeds beter in het schrijven van niet-van-echt-te-onderscheiden e-mails. Awareness blijft dus voor iedere organisatie een belangrijk onderdeel van iedere securitystrategie.”
NIS2-richtlijn
Met de komst van de Europese NIS2-richtlijn wordt een goede security voor sommige mkb-organisaties nog urgenter, omdat ze hiertoe dan wettelijk verplicht worden. De NIS-richtlijn (Network & Information Security Directive) moet ervoor zorgen dat de algehele digitale weerbaarheid van Europese organisaties verbetert. De eerste NIS-richtlijn dateert uit 2016, maar bleek toe aan een update en uitbreiding.
In de nieuwe richtlijn, NIS2 – die half oktober zijn beslag moet krijgen in nationale wetgeving in de lidstaten – moeten meer organisaties hun cybersecurity op orde hebben. De richtlijn onderscheidt twee categorieën bedrijven die aan de wet- en regelgeving moeten voldoen: kritieke sectoren en belangrijke entiteiten. “Je zal actief moeten zijn in één van de aangewezen sectoren. Omdat het om ketenbescherming gaat, zit je hier al snel bij”. De regels gelden voor grote of middelgrote bedrijven, afhankelijk van de categorie en de branche waarin een organisatie actief is. Om te checken of het bedrijf onder NIS2 valt, heeft de overheid een handig hulpmiddel gegeven: NIS2 zelfevaluatie.
Richard Drubbel, technical security officer en specialist op het gebied van NIS2 bij Dustin, waarschuwt: “Je bent al een middelgrote organisatie bij 50 werknemers of meer, of wanneer je een omzet hebt van 10 miljoen euro of meer.” Dat baart hem zorgen, want veel organisaties hebben geen uitgebreide IT-afdeling, gespecialiseerde beveiligingsspecialisten of grote budgetten. “Maar als ze onder een van de twee categorieën vallen, worden ze geacht NIS2-compliant te zijn en moeten ze zich voorbereiden op NIS2.” Pul en zijn collega benadrukken dan ook het belang van proactieve maatregelen en samenwerking met gespecialiseerde partners om te voldoen aan de eisen van NIS2 en zo cybersecurityrisico’s effectief te beheren.
Dustin is een toonaangevende, merkonafhankelijke IT-partner in Scandinavië en de Benelux.Hun portfolio omvat 280.000 producten met bijhorende services voor bedrijven, overheidsinstellingen en non-profitorganisaties. Ga aan de slag op dustin.nl.