Peter R. de Vries: 'Mkb heeft deur wijd open staan voor cybercriminelen'
Ondernemers in het mkb onderschatten nog te vaak het risico om slachtoffer te worden van cybercrime. ,,U denkt misschien dat het iets is waar uw buurman last van heeft. Waarom zou u ermee in aanraking komen? U heeft maar een heel gewoon bedrijf", stelt Peter R. de Vries cynisch tijdens een cybercongres.
Ruim driehonderd ondernemers horen hem aan tijdens het cybercongres deze maand in Dordrecht. Het Centrum voor Criminaliteitspreventie en Veiligheid (het CCV) organiseerde de bijeenkomst in samenwerking met de gemeenten in Drechtsteden, het Platform Veilig Ondernemen Rotterdam (PVO), MKB-Rotterdam en de politie.
Duistere kant van internet
Peter R. de Vries start de avond met een vrolijke noot. Via internet spoorde hij een oude bekende op. Het kwam tot een gezellig weerzien, en zijn oude vriend zat zelfs op de eerste rij tijdens het cybercongres. ,,Maar dat is de mooie kant. We gaan het hebben over de duistere kant van het internet. Eén op de acht Nederlanders werd vorig jaar slachtoffer van cybercrime. Daarmee is het het meest voorkomende delict. Het heeft nota bene fietsendiefstal van de troon gestoten”, zegt De Vries.
Cybercrime
Als de burgemeester van Dordrecht ten tonele verschijnt, weet de misdaadjournalist de geboortedag en naam van de burgemeestersdochter te vertellen. Hoogstaand recherchewerk is het niet, maar confronterend is het wel. ,,Een gewaarschuwd mens telt voor twee. Alles wat je op internet zet kan weer opduiken op een moment dat je het niet verwacht.”
De gemeente wil, net als Cybernetwerk Drechtsteden, ondernemers bewust maken van de risico’s. Burgemeester Wouter Kolff ,,Daar waar we vroeger mensen bewust maakten dat ze hun panden goed moesten beveiligen tegen inbraak, vinden we het nu onze taak om de inwoners te wijzen op digitale veiligheid en wat de ondernemers daar zélf aan kunnen doen.” Ook erkent hij de verantwoordelijkheid van de overheid. ,,Ook wijzelf moeten onze informatie zo veilig mogelijk houden. Bovendien is alles internetgedreven: bruggen, wegen, waterkeringen.”
"Waar ik echt wakker van lig is dat alles in dit land aan het internet hangt, terwijl we weten dat het niet honderd procent veilig is. Vrijwel álle vitale processen en diensten zijn volledig afhankelijk van ict."
Burgemeester Wouter Kolff (Dordrecht)
Internetfraude
Tien miljard euro. Dat is de schade die alle mkb-bedrijven tezamen hebben ten gevolge van digitale criminaliteit. Hacks, internetfraude, noem maar op. De zaal met 300 ondernemers staat op scherp, maar wat kunnen ze er nou tegen doen?
Cybersecurity-expert Dave Maasland vergelijkt het met een natuurdocumentaire. ,,We kennen allemaal wel die scène waarin een kudde gnoes een rivier vol krokodillen oversteekt. Waarom blijven die beesten dat doen? Omdat ze denken: als we met heel veel zijn, dan is de kans om opgegeten te worden kleiner. Dat is de internet-security-strategie van veel bedrijven. Als ik maar hoog genoeg spring wordt ik misschien niet opgegeten”.
Haven van Rotterdam
De burgemeester gaf het al aan met de bruggen en waterkeringen, Maasland doet er nog een schepje bovenop: ,,Waar ik echt wakker van lig is dat alles in dit land aan het internet hangt, terwijl we weten dat het niet honderd procent veilig is. Vrijwel álle vitale processen en diensten zijn volledig afhankelijk van ict.” Tijdens de hack van de Rotterdamse haven in 2017 werd cybercrime fysiek. Containerschepen lagen in de haven. ,,Waarom schrikken we nu pas?”
700 miljoen unieke computervirussen
Ontwrichting van de maatschappij ligt op de loer volgens Maasland. Hij kan het weten als ceo bij ESET Nederland, één van de grootste IT-security bedrijven van Nederland. In 1988 ontdekte hij voor het eerst een computervirus. In 2018 detecteerde hij 700 miljoen unieke computervirussen.
Zijn we dan ooit veilig? ,,Nee! Software bevat fouten, criminelen blijven altijd bestaan en honderd procent veiligheid wil je niet. Dan krijg je een gevangenis… en zelfs daar gaat het nog wel eens fout. Het gaat dus om de balans. Denk voor jezelf en jouw bedrijf na op welk beveiligingsniveau je wil staan. De instelling van vandaag is de kwetsbaarheid van morgen.” Is die aanvallende kant dan heel goed geworden? Ook niet het geval volgens de specialist. ,,Misschien zijn wij niet zo goed in verdedigen. Er zijn wel steeds méér tegenstanders, maar de weerstand blijft hetzelfde.”
De ondernemer in het mkb die denkt dat hij geen doelwit is heeft misschien wel een beetje gelijk. ,,Er zijn weinig gerichte aanvallen die -bijvoorbeeld- een specifiek administratiekantoor de Drenthe raken. Criminelen zoeken naar bedrijven waar ze makkelijk binnen komen. Ze vinden je toevallig als je bijvoorbeeld een website hebt die niet geüpdate is. Ze zoeken naar kwetsbaarheden.”
Ransomware
Cybercrime is een lucratieve business. ,,Het gaat de criminelen vaak niet om de data van je bedrijf. Het gaat om de waarde die de data voor jou heeft”, zegt Maasland over ransomware. Hij vergelijkt dit met een kunstwinkel. Als crimineel kun je de zaak leegroven en alles verkopen. Maar je kunt ook naar binnen gaan en tegen de eigenaar zeggen: ,,Ik steek alles in de fik tenzij je mij 20.000 euro geeft. Een winkel heeft geen backup van de kunstwerken”.
Alsof dit voorbeeld nog niet erg genoeg is: de bad guys kunnen ook nog dreigen om je (klanten) data openbaar te maken als je niet tot betaalt. Een goede reden om je data te versleutelen, ofwel: encrypten.
Lockout policy
Een levendige markt aan virussen geeft criminelen toegang tot wapens die ze eerst niet hadden. Iedereen kan iedereen infecteren. ,,De meeste aanvallers zitten niet in Rusland of China. Maak je zorgen om de scriptkiddies. Daar kun je veel tegen doen.” Een lockout policy op het bedrijfsnetwerk bijvoorbeeld. Na drie inlogpogingen kun je er dan niet meer in.
Zwakke wachtwoorden
Gestolen en gekraakte wachtwoorden zijn een onderschat probleem. Zet daarom in op goede wachtwoorden. ,,Lengte is het enige wat ertoe doet. Maak geen wachtwoord, maar een wachtzin. Laat je medewerkers niet te vaak hun wachtwoord wijzigen. Dit gaat ten koste van de kwaliteit van de wachtwoorden. Je krijgt dan dat ze van Zomer2014, Zomer2015 maken.” En gebruik twee factor autorisatie, waarbij je naast je wachtwoord ook een code van je telefoon nodig hebt om in te loggen. ,,Hiermee voorkom je 99 procent van de aanvallen.”
"Stel DHV’ers aan in je bedrijf. Zie het als BHV’ers, maar dan de digitale variant. Geef ze mandaat."
Dave Maasland, ceo ESET Nederland
Stel een DHV’er aan
Betrek je medewerkers bij cyberveiligheid. ,,Medewerkers zijn een primair doelwit van aanvallers, ofwel je eerste verdedigingslinie. Je moet je medewerkers zover krijgen dat opmerken als er iets niet klopt.” Omdat je nooit tot iedereen kan doordringen is de tip van Maasland om DHV’ers aan te stellen. ,,Zie het als BHV’ers, maar dan de digitale variant. Geef ze mandaat. We hebben in de praktijk gezien dat het veel effectiever is om vijf mensen heel goed te trainen in plaats van 100 mensen een beetje.”
Aan de slag
Genoeg praktische handvatten om vandaag mee aan de slag te gaan. ,,Je hoeft vandaag niet veiliger te zijn dan gisteren. Als je morgen maar veiliger bent dan vandaag.”
Bron: deondernemer