8 makkelijke en goedkope manieren om je bedrijf vandaag veiliger te maken tegen hackers

“Het is niet de vraag of, maar wanneer je gehackt wordt.”

Die waarschuwing komt van Reijer van Woudenbergh van Perfect Day, een bedrijf van Nationale-Nederlanden dat ondernemers adviseert en ondersteunt op het gebied van cybersecurity. Bangmakerij? Niet echt, want bijna elke mkb-ondernemer krijgt inderdaad vroeg of laat met een hack of hackpoging te maken.

Hij legt uit: “De kans dat jij het doelwit bent van cybercriminelen is nihil. Ze schieten met hagel en waar ze een beveiligingslek vinden, gaan ze naar binnen. Heb jij je security niet op orde, dan ben je de pineut.”

Van Woudenbergh vindt het niet erg om zijn klanten dat telkens uit te leggen. Want hackers, datalekken, gijzelsoftware, dat zijn abstracte bedreigingen, iets wat anderen overkomt. Totdat jij aan de beurt bent. Niet als doelwit, maar als bijvangst.

Vier fatale mythes

Vraagt hij een ondernemer of hij zijn datasecurity geregeld heeft, dan krijgt Van Woudenbergh meestal vier antwoorden: ‘Ik heb het uitbesteed aan de IT’, ‘Ik werk in de cloud’, ‘Bij mij valt niets te halen’ en ‘Ik verwerk geen persoonsgegevens of data’.

'Wie toegang heeft tot jouw digitale infrastructuur, heeft ook toegang tot jouw cloudomgeving.'

De meeste mkb'ers hebben de IT-afdeling uitbesteed. Maar of je vervolgens beveiligd bent, hangt af van welke service-afspraken je maakt. “Veel IT-bedrijven leveren en installeren laptops, desktops, printers en servers, maar daarna gebeurt er niks meer. En heb je de beveiliging wél afgesproken, dan nog heb je vaak andere software-applicaties draaien waar die leverancier niet voor verantwoordelijk is, maar die wel toegang geven tot jouw digitale infrastructuur. Cybersecurity wordt vaak gezien als een project: we regelen het vandaag en dan is het goed. Maar wat vandaag goed is, is morgen achterhaald. Security is een continu proces.”

En de cloud dan? “Een goede oplossing, maar geen Heilige Graal. Het is niets anders dan een andere locatie waar je data staat. Wie toegang heeft tot jouw digitale infrastructuur, heeft ook toegang tot jouw cloudomgeving.”

Liselotte & Rutger, oprichters van Leppa Limo, hebben als starters nog niet stil gestaan bij cyberveiligheid. In de video onderaan dit artikel doen ze dat wel.

Liselotte & Rutger, oprichters van Leppa Limo, hebben als starters nog niet stil gestaan bij cyberveiligheid. In de video onderaan dit artikel doen ze dat wel.

En de Er-valt-bij-mij-niets-te-halen-mythe? Van Woudenbergh: “Het gaat niet om de waarde die het voor de crimineel heeft, maar om de waarde die het voor jouw onderneming heeft. Denk hierbij bijvoorbeeld aan je agenda, facturatie-administratie of klantenbestand.

Het klantenbestand, de laatste mythe: ‘Ik verwerk geen persoonsgegevens’. Van Woudenbergh: “Bijna ieder bedrijf heeft personeel, een salarisadministratie en een commerciële administratie met facturen.” En is dus kwetsbaar voor datalekken.

De top 2: ransomware en CFO-fraude

Ransomware en CFO-fraude vormen in toenemende mate een plaag voor mkb-ondernemers. Een voorbeeld is grafisch bedrijf Xander Koppelmans dat enkele jaren geleden over de kop ging omdat de bestanden gehackt waren en de eigenaar het losgeld niet kon betalen.

Hij kreeg zijn bestanden terug, maar allemaal incompleet. Koppelmans had geen goede back-ups van zijn bestanden. Hij had geen glasvezel en de grafische bestanden waren te zwaar om te kopiëren. “Naar schatting vijfennegentig procent van de bedrijven krijgt te maken met cyberincidenten. Exacte cijfers zijn er niet, maar het zijn er duizenden en veel doen niet eens aangifte uit een soort schaamte,” legt de expert uit.

Als tweede op de ranglijst staat CFO-fraude waarbij iemand zich voordoet als een leidinggevende, medewerker of leverancier die een betaalopdracht verstuurt. Van Woudenbergh: “Van een leverancier van een klant van ons waren de facturen gehackt. Die verstuurde hij altijd op de twintigste van de maand, die hacker stuurde een paar dagen vóór de twintigste spookfacturen die niet van echt te onderscheiden waren. Mijn klant maakte tweemaal twintigduizend euro over.”

Ook ondernemer Jack is getroffen door ransomware. Lees hier zijn verhaal op Business Insider.

Wat kun je als ondernemer zelf doen tegen hacks?

Van Woudenbergh noemt acht oplossingen waarmee jij als ondernemer een begin kunt maken met cybersecurity.

1. Maak een noodplan.
Bedenk welke route je gaat volgen om de schade te beperken. Dus wat doe je als een medewerker een verkeerde link aanklikt? “Niet de stekker eruit, want dan krijg je je computer nooit meer aan de praat, maar haal wel de netwerkkabel eruit.” Dat werk.

2. Zorg voor een gerenommeerde antivirussoftware en firewall.
“Dat is je eerste verdedigingslinie. Denk aan de hagel waar criminelen mee schieten. Het effect daarvan minimaliseer je zo. En zorg dat je je updates altijd voor elkaar hebt.”

Reijer van Woudenbergh van Perfect Day. Een bedrijf van Nationale-Nederlanden dat ondernemers adviseert en ondersteunt op het gebied van cybersecurity.

3. Maak een wachtwoordprotocol.
“Er zijn hele volksstammen die hun wachtwoorden nog steeds op een lijstje aan de muur hangen, die wachtwoorden delen met collega's, ‘welkom1’, ‘admin3’ of steeds hetzelfde wachtwoord voor allerlei toepassingen gebruiken. Neem een wachtwoordmanager, een digitaal kluisje waar al je wachtwoorden in zitten. Je hoeft dan maar één wachtwoord te onthouden en op welke site je ook inlogt, de wachtwoordmanager vult keurig overal het wachtwoord voor je in.”

4. Medewerkers zijn niet alleen je zwakste schakel, maar ook je sterkste. “Awareness. Zorg dat ze op de hoogte zijn en dat ze een wachtwoordmanager hebben. En heb een open bedrijfscultuur, zodat medewerkers het melden als ze op een verkeerde link hebben geklikt.”

5. Investeer in een goede back-upfaciliteit die losgekoppeld is van je digitale infrastructuur. Maak periodiek back-ups.

6. Breng in kaart welke apparaten jouw digitale infrastructuur bevat.
“Van de telefoons van je medewerkers tot de Sonos-boxjes. Je kunt met je IT-manager de meest fantastisch waterdichte afspraken maken over een basissecurity, maar iemand die met de iPad van z'n dochter inlogt op je systeem is een risico.”

7. Versleutel je apparaten.
“Interne encryptie is belangrijk. Bij een reisorganisatie waren ooit tweehonderd desktops gestolen. Het ging de dieven puur om de apparaten, maar en passant hadden ze ook allerlei data buitgemaakt: adressen, telefoonnummers, creditcardgegevens. Die reisorganisatie was niet alleen desktops kwijt, maar had ook een datalek te pakken. Als die desktops encrypted zouden zijn geweest, dan hadden ze ook geen datalek.”

8. “En als laatste: de tweestapsverificatie. Hierdoor krijgen hackers, zelfs met je gebruikersnaam én je wachtwoord, geen toegang tot je account. Het voegt een extra beveiligingslaag toe.”

Reijer van Woudenbergh van Perfect Day. Een bedrijf van Nationale-Nederlanden dat ondernemers adviseert en ondersteunt op het gebied van cybersecurity.

Het Cyberpakket van Nationale-Nederlanden biedt verschillende oplossingen waarmee je jouw bedrijf beschermt en verzekert tegen cybercriminaliteit. Lees hier meer over het Cyberpakket of doe direct de scan om te zien welke risico’s jouw onderneming loopt.