De onderschatte gevaren van cybercriminaliteit voor bedrijven

Het belang van cybersecurity kan niet voldoende worden onderstreept. De kans dat een onderneming de dupe wordt van cybercriminaliteit is aanzienlijk, stelt Marieke Snoep, directeur Zakelijke Markt bij KPN. Veel bedrijven en instellingen bereiden zich nog steeds onvoldoende voor op cyberdreigingen, terwijl zowel de financiële als de imagoschade gigantisch kunnen zijn.

Snoep verwijst naar een onderzoek van Forrester. Volgens dit analistenbureau bedraagt de gemiddelde schade van een cyberaanval liefst 300.000 euro. Daarbij worden alleen nog maar directe kosten gerekend zoals de tijdelijke uitval van systemen, verlies aan productie en lekkage van gegevens. Wanneer imagoschade en herstelkosten ook worden meegeteld, loopt de strop verder op.

Mkb’ers slecht voorbereid

Organisaties schieten tekort in hun voorbereiding op cybercriminaliteit, waarschuwt ook de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) in het Cybersecuritybeeld Nederland (CSBN) 2020. De NCTV stelt dat de maatschappij in al haar facetten afhankelijk is van digitale technologie. Ontwrichting ligt op de loer. 

Ten onrechte denken met name mkb-bedrijven dat cybercriminelen zich vooral richten op grotere ondernemingen, omdat daar meer zou zijn te halen. Ze vergeten dat aanvallers gewoon de gemakkelijkste weg kiezen. Kleinere bedrijven zijn vaak slecht beschermd, waardoor het juist loont hen aan te vallen.

Onduidelijkheid onder ondernemers

Volgens Marcel van Oirschot, executive vice president security bij KPN, is het totaal niet relevant of een organisatie klein of groot is. Iedereen kan het slachtoffer worden van afpersing via ransomware. “Hackers houd je niet buiten”, zegt hij. Elk bedrijf en iedere instelling komt wel een keer aan de beurt, of ze zich daar nu wel of niet van bewust zijn.

Ondernemers hikken enorm tegen de onveiligheid rond ICT aan. Op hen komt de problematiek overweldigend over. Ze krijgen vaak een gevoel van machteloosheid. Alles lijkt ingewikkeld en duur. Het is vaak onduidelijk welke stappen als eerste moeten worden genomen en het grote aanbod aan veiligheidsoplossingen maakt het nog eens extra verwarrend. Van Oirschot ziet vaak dat bedrijven al hun heil zoeken in technische oplossingen. Maar: “goede security gaat over mensen, processen en technologie. In díe volgorde”, stelt hij. Een bedrijf kan nog zulke goede beveiligingssoftware hebben, als de medewerkers er een puinhoop van maken gaat het alsnog mis. Volgens Van Oirschot begint security dan ook met bewustmaking binnen de eigen organisatie. 

Meer bewustzijn onder medewerkers

Ton Sundermeijer, information security manager bij TBI SSC-ICT Diensten, beaamt dat. Zijn bedrijf nam niet alleen technische maatregelen maar zorgt ook voor meer bewustzijn bij de eigen medewerkers. Daartoe is samen met een externe specialist op gebied van gedragsverandering een twee jaar lang durende bewustmakingscampagne gestart. Volgens Sundermeijer zit een ongeluk namelijk in een klein hoekje. Iemand hoeft maar een keer op een geavanceerde phishing-mail te klikken en de aanvaller krijgt toegang tot het bedrijfssysteem.

Het Shared Service Center ICT (SSC-ICT) van TBI levert ICT-diensten aan TBI, een groep van 19 ondernemingen met zo’n 6000 werknemers verspreid over heel Nederland. TBI is actief op gebied van techniek, bouw en infrastructuur. SSC-ICT combineert kennis van de bouw en de installatietechniek met ICT-knowhow. Sundermeijer heeft de generieke beveiliging van de ICT-systemen onder zijn hoede.

Digitale risico’s

Voorheen ging het bij TBI vooral om fysieke veiligheid, maar bij een moderne benadering van beveiliging horen steeds nadrukkelijker de digitale risico’s. De sectoren waarin TBI werkzaam is, raken meer verweven met technologie en bovendien groeit de technologische component in de projecten die het bedrijf oplevert. Voorbeelden zijn sensoren in tunnels en domotica in gebouwen.

Daarnaast speelt het gevaar van cyberspionage. Niet ondenkbaar is dat concurrenten in de computersystemen van TBI proberen in te breken. Bedrijfsspionage kan ertoe leiden dat een andere partij precies weet wat de rivaal doet. Soms gebeurt dit zonder de concurrent daar enige notie van heeft. Bedrijven die vals spel spelen, kunnen ook de systemen van een concurrent platleggen vlak voor het moment van inschrijving op een tender. Dan kan een team dat weken heeft zitten zweten op een offerte, de documenten niet op tijd afleveren. Sundermeijer: “Dat zijn heel reële scenario’s.”

Tips voor mkb-ondernemers

Van Oirschot (KPN) raadt ondernemers die hun bedrijf veiliger willen maken aan eerst te starten met een analyse. Vraag je af wat de aard van je bedrijf is, welke activa er zijn en wat belangrijk is om te beveiligen. Organisaties die kostbare data hebben, over veel geld beschikken en veel nieuwe technologie in huis hebben, zullen eerder doelwit zijn van gerichte aanvallen. Bedenk dat ook cybercriminelen als economische wezens handelen. Ze willen snel en gemakkelijk zo veel mogelijk geld verdienen. Vandaar dat veel ransomware massaal wordt verspreid, waardoor ook mkb’ers worden getroffen. Die kleinere bedrijven betalen relatief vaak losgeld voor het ontsleutelen van gegijzelde bestanden. Volgens Van Oirschot brengt een analyse inzicht in de vraag met welke aanvallen je rekening moet houden en wat de kroonjuwelen van de organisatie zijn.

Zo’n analyse behoort tot de basisstappen die elke organisatie moet nemen om tot een betere beveiliging te komen. Andere basismaatregelen zijn behalve de eerdergenoemde bewustmaking een goede back-upstrategie en een goed wachtwoorden-beleid. Van Oirschot: “Dit zijn dingen die je als ondernemer prima zelf kunt regelen.” Voor kennis die niet in het bedrijf zelf aanwezig is, kan je een partner in de hand nemen.

Balansoefening

Op gebied van security is inmiddels veel expertise opgebouwd waarmee KPN andere bedrijven kan helpen. Met al die knowhow is een Security Operations Center (SOC) opgericht, een zeer complexe en dure aangelegenheid. Vanuit dat SOC levert KPN ‘managed services’. Van Oirschot trekt een vergelijking met de brandweer. Slechts een handjevol bedrijven heeft een eigen brandweerkorps. De rest vertrouwt op de regionale korpsen. Ook Snoep stelt dat organisaties heel goed zelf de basisbeveiliging kunnen regelen. “Maar daarboven moet je vertrouwen op partners.”

Ook TBI SSC-ICT heeft een klein vast team waaromheen een flexibele schil is gebouwd die bestaat uit ondersteunende teams van strategische leveranciers. Bij incidenten kan hier meteen een beroep op worden gedaan. Sundermeijer: “We kunnen daarin tamelijk groot opschalen.” Sundermeijer en Snoep pleiten voor meer openheid van zaken bij veiligheidsincidenten. Vaak schamen de slachtoffers zich. Volgens Snoep is dat misplaatst. We zouden veel van elkaar kunnen leren, stelt zij. “Daarmee staan we met z’n allen sterker in de strijd tegen cybercrime.”


Beeld en artikel zijn tot stand gekomen in commerciële samenwerking met FD Mediagroep Effect.

Gerelateerde artikelen