09 apr

Circa 50 procent van de MKB-bedrijven in Nederland loopt het risico om slachtoffer te worden van internetcriminaliteit. Dit percentage zal de komende jaren alleen maar toenemen. Maar zo lang ondernemers zelf geen slachtoffer worden, voelen zij de urgentie van dit risico niet. Grote ondernemingen hebben vaak budget en menskracht om zich op basis van gedegen beleid te wapenen tegen cybercrime. Het MKB heeft dat meestal niet. Van de MKB-ondernemingen weet 43% niet wat te doen als zij slachtoffer zouden worden…

Wat is de beste tactiek: kop in het zand en business as usual? Of slim maatregelen nemen? Het begint allemaal bij bewustzijn. Bij weten hoe reëel de dreiging is, wat de impact kan zijn en wat je ertegen kunt doen. Dát je er iets tegen kunt doen. De komende tijd publiceren wij een aantal korte blogs over dit onderwerp.

 John van den Heuvel en de wet van de grote getallen

Eerder dit jaar deed ik mee aan een ‘expert talk’ over de veiligheid van en op internet voor het MKB, onder leiding van misdaadjournalist John van den Heuvel.

Een van mijn tafelgenoten, @Erik de Jong (Chief Research Officer van Fox -IT), was stellig. Hij zei dat de kans 100% is dat je als ondernemer op enig moment te maken krijgt met cybercriminaliteit. Een bedrijf hebben in deze digitale wereld vergeleek hij met het runnen van een winkel in een drukke winkelstraat: krijg je in die situatie met winkeldiefstal te maken? 100% zeker. Je weet alleen niet in welke mate.

Cybercriminaliteit treft dus naar verwachting op enig moment elke MKB-onderneming. Maar wat wordt er dan uit je winkel gestolen?

Wat wij vaak meegeven aan onze klanten is dat het bij cyber-beveiliging gaat om drie niveaus:

- de beschikbaarheid en continuïteit van je bedrijf;

- integriteit;

- vertrouwelijkheid.

Een aannemersbedrijf met dertig man personeel wil de handen uit de mouwen kunnen blijven steken. Niks cyber security: gewoon meters maken en doorwerken om afgesproken deadlines te halen. Voor bedrijven met bijvoorbeeld een webshop is ook de integriteit belangrijk: data in de webshop moet niet gemanipuleerd kunnen worden. Ten slotte zijn er organisaties die gezien hun activiteiten beschikken over gevoelige informatie. Voor hen is juist de vertrouwelijkheid weer van belang.

Cybercriminaliteit gaat allang niet meer om het stelen van creditcardgegevens. Criminelen zijn slim. Zij weten dat continuïteit belangrijk is. Als zij het bedrijf plat leggen, kunnen zij jou als ondernemer afpersen. Moesten zij vroeger nog één grote klapper maken, zoals een bank beroven of een miljonair ontvoeren en een smak losgeld eisen, nu kunnen zij met een ransomware-aanval in één muisklik duizenden computers versleutelen. Als getroffen ondernemer kun je ineens nergens meer bij, de enige optie is om de sleutel te kopen bij de criminelen. En dat trucje kunnen kwaadwillenden in duizendtallen tegelijkertijd over het internet verspreiden. Een aantrekkelijk verdienmodel als je het niet nauw neemt met de wet.

Volgens Europol was de schade van ransomware in 2017 vermoedelijk zo’n 4,2 miljard euro. Graag kruip ik nu even in de rol van @John van den Heuvel als ik vraag: denkt u “Dat gebeurt mij niet”? En mocht het u dan toch overkomen, behoort u dan tot de 57% van de ondernemers die wél weten wat te doen…?

Tip

Bedenk wat voor uw onderneming specifiek van belang is op het gebied van cybersecurity. Moet uw bedrijf door kunnen gaan, is de beschikbaarheid van uw mensen en dienstverlening het belangrijkst? Draait het om de juistheid/zuiverheid van uw digitale informatie om uw klanten te kunnen blijven bedienen? Of moet u vooral de gevoelige data binnen uw onderneming goed beschermen?

Dit is een belangrijk vertrekpunt voor een effectief en pragmatisch cybersecurity-beleid.