Het MKB moet serieus werk maken van haar digitale veiligheid. Die noodzaak blijkt uit het recente nieuws over cybercriminaliteit. De voorbeelden buitelen in de actualiteit over elkaar heen: een Arnhemmer die twaalf miljard passwords en inlognamen te koop aanbiedt op het internet, de politie die 64 procent toename van cybercrime meldt in 2019 en IT’ers die massaal vrezen dat hun eigen bedrijf kwetsbaar is voor een cyberaanval.
Het zijn de grote bedrijven of instanties die in het nieuws komen als het gaat om cybercrime. De universiteit van Maastricht, die slachtoffer werd van ransomware, of gemeenten waar achterstallig onderhoud aan Citrix server het netwerk aantrekkelijk én toegankelijk maakte voor hackers.
Onvoldoende beveiliging
Waar dit soort instanties grote IT-afdelingen hebben, zijn kleine ondernemers vaker afhankelijk van een kleinere externe partij of een enkele allround IT’er, die verantwoordelijk is voor alle facetten van de digitale werkomgeving.
Preventie krijgt daardoor minder aandacht en dat maakt kwetsbaar, blijkt uit de cijfers. 66 procent van het mkb werd in 2019 slachtoffer van een vorm van cybercriminaliteit. Het hoge aantal cyberaanvallen is deels te wijten aan onvoldoende beveiliging. Het is daarom geen overbodige luxe dat cybersecurity onderdeel wordt van de bedrijfsstrategie van het mkb in 2020.
Gijzelsoftware
Het begint vaak met een mail van een onbekend persoon – een potentiële klant? -, die ongemerkt de start van een cyberaanval blijkt te zijn. Een normale e-mail, zonder tikfouten, niks opvallends. Zonder verder na te denken open je de mail en klik je op een link. Plotseling neemt ransomware, ‘gijzelsoftware’, het computersysteem van je bedrijf of werkgever over. De gijzeling kan alleen ongedaan worden gemaakt door losgeld te betalen of door een gespecialiseerd bedrijf de schade te laten herstellen.
Makkelijkst te kraken slot
Als klein bedrijf ben je niet in beeld van cybercriminelen, ‘want er valt bij ons toch niks te halen’. Dat mag zo lijken, maar hackers weten ook waar de kans op slagen het grootst is. Het is net als bij een ‘normale’ inbreker, die slaat toe waar het slot het makkelijkst te kraken is. En dat is vaak bij de wat kleinere bedrijven die hun digitale veiligheid niet op orde hebben, omdat ze zich niet bewust zijn van de risico’s of omdat ze niet voldoende kennis van zaken hebben.
Ondersteuning
Daarom is het als bedrijf belangrijk om je systemen goed beveiligd te hebben, ervoor te zorgen dat je hacks voorkomt en ook je personeel digitaal op te voeden. Mocht je toch gehackt zijn, dan is ondersteuning van een cybersecurity expert nodig.
Meer investeren in ICT
Dat bewustzijn groeit. Circa veertig procent van de Nederlandse organisaties verwacht de komende jaren aanzienlijk meer te investeren in ICT. Vooral de thema’s ‘Privacy’ en ‘Cybersecurity’ gaan een belangrijke rol spelen. Dat blijkt uit de eerste resultaten van de TGG/BTG ICT Development index die onderzoeksbureau Motivaction heeft ontwikkeld in opdracht van TGG/BTG. Bedrijven zijn zich dus steeds meer bewust van de noodzaak van cybersecurity.
Focus op de mensen
Het voorbeeld van de phishing mail laat zien dat het bij cybersecurity niet alleen om de techniek, maar ook om de mensen en hun gedrag gaat. Bewustzijn van bedrijfsprocessen en wetgeving (AVG) is daarbij van groot belang, juist bij het mkb, waar dit vaak bij één IT’er is ondergebracht. Zijn medewerkers zich wel voldoende bewust waar ze wel of niet op klikken, welke mails ze openen, welke gegevens ze mogen delen, hoe ze om moeten gaan met wachtwoorden en wat de onderlinge afspraken zijn op het gebied van cybersecurity?
Beleid ICT beveiliging
Met alle recente cyberaanvallen is het noodzakelijk dat bedrijven hun cybersecurity op orde hebben en dat ze weten wat ze moeten doen als het toch misgaat. Er komt veel bij kijken als je als bedrijf gehackt bent. Stel een handboek samen, bijvoorbeeld als onderdeel van het kwaliteitszorgsysteem, waarin de verantwoordelijkheden, taken en bevoegdheden en het beleid ten aanzien van ICT beveiliging wordt vastgelegd. Als laatste is het ook belangrijk een procedure op te stellen over hoe te handelen in geval van cyberincidenten.
Bron: nieuws.nl