Whitepaper
Mkb: Regel je cybersecurity!

Geen enkel bedrijf kan er nog omheen: cybercriminelen zijn een serieuze bedreiging voor de continuïteit van de bedrijfsvoering. Tot voor een paar jaar liepen bedrijven in het mkb aanmerkelijk minder risico. Hackers zetten hun toen nog schaarse middelen liever in bij grote ondernemingen waar meer te halen valt, wanneer ze eenmaal binnen zijn. Maar de tools die criminelen gebruiken worden steeds slimmer, goedkoper en gemakkelijker te gebruiken, zodat niets hun in de weg staat om zich te richten op bedrijven van elke omvang.

Wat is cybersecurity en hoe proberen criminelen binnen te komen?

Cybersecurity is de verzamelnaam voor alle maatregelen die je neemt om je bedrijf te beschermen tegen indringers. Zoomen we daarop in dan gaat het om de beveiliging van:

  • Computersystemen
  • Netwerken
  • Softwareoplossingen

Helaas denken veel ondernemers nog steeds dat het installeren van een firewall en antivirussoftware voldoende is om beschermd te zijn. Maar criminelen hebben allang heel andere wegen gevonden om binnen te dringen.

Phishing

De bekendste daarvan is wel phishing: criminelen sturen een e-mail met daarin kwaadaardige software of een link naar zulke ‘malware’. De tijd dat je zulke e-mails lachend wegdrukte, omdat ze kop noch staart hadden of in krom Nederlands waren gesteld, is wel voorbij. De revolutie rond kunstmatige intelligentie zoals ChatGPT of Google Bard is ook aan criminelen niet voorbij gegaan. Tegenwoordig loop je dan ook het risico dat phishing mails in keurig Nederlands zijn opgesteld, met een zeer aannemelijke boodschap én verpakt in een mail compleet met logo’s en andere bedrijfskenmerken. Wat niet is veranderd is de manier om hierop in te spelen, namelijk door bewustwording bij de medewerkers.

Social engineering

Nauw verwant aan phishing is social engineering. Criminelen doen zich daarbij voor als een bekende of een relatie van een bedrijf om zo het vertrouwen te winnen. Soms doen ze zich zelfs voor als een interne collega, bijvoorbeeld van de IT-afdeling. De basis voor social engineering zijn vaak de in eerdere gevallen – misschien bij een andere organisatie – gestolen persoonsgegevens, waardoor de criminelen veel weten van hun beoogde doelwit.

Een bekende manier van social engineering is de zogeheten CEO-fraude.

Een bekende manier van social engineering is de zogeheten CEO-fraude. Criminelen doen zich voor als de directeur en geven een medewerker op de financiële afdeling opdracht om een fors bedrag over te maken naar een buitenlandse rekening. De criminelen hebben daarvoor de gegevens achterhaald van de baas en van de financiële medewerker. Ter ‘verificatie’ kan de argeloze medewerker meestal een advocatenkantoor bellen dat in het complot zit. Een belangrijk kenmerk van zulke fraude is dat er altijd haast bij is, de gezagsverhouding wordt benadrukt en er wordt aangedrongen op vertrouwelijkheid. Ook hier is bewustwording van de medewerkers een belangrijke manier om zulke fraude te voorkomen.

Malware

Virussen, wormen en Trojaanse paarden zijn allemaal vormen van malware. Ze worden verspreid via USB-sticks, e-mails en websites. Malware kan variëren van simpele stukjes software die computers en software lam kunnen leggen, tot ingenieuze software die alle handelingen van een gebruiker vastleggen (spyware). Inclusief alle toetsaanslagen, de microfoon en webcam.

De meeste malware wordt afgevangen door antivirussoftware, maar hierbij is sprake van een voortdurende wapenwedloop, waarbij er altijd malware door de mazen van het net kan glippen.

Brute force

Hiermee wordt bedoeld dat criminelen simpelweg op deur blijven kloppen met alle mogelijke naam/wachtwoordcombinaties, tot ze binnen zijn. Dat kan lang duren, dagen tot zelfs weken, maar wie geen extra maatregelen neemt, weet zeker dat ze ooit binnen zullen komen.

Een belangrijke maatregel is om sterke wachtwoorden te gebruiken (hoe langer hoe beter) en om geen standaard accountnamen te gebruiken, zoals ‘admin’ of een e-mailadres. Wanneer de inlognaam bekend is, wacht de crimineel nog maar de helft van het werk.

Beter is nog om niet langer te vertrouwen op (alleen) naam en wachtwoord, maar een extra component toe te voegen, zogeheten multi-factor authenticatie, in de vorm van een code die naar een telefoon wordt gestuurd. Of via biometrische herkenning, van een vingerafdruk of ander lichaamskenmerk.

Zo bescherm je je bedrijf

Het is nauwelijks te bevatten dat je tegenwoordig van alle kanten aangevallen kunt worden. Eén ding is zeker: het is niet de vraag of criminelen bij je langs komen, maar wanneer. Gelukkig kun je al veel maatregelen treffen om ze buiten de deur te houden, zonder dat je terug moet grijpen op de kennis van experts. Dat laatste is wel aan te raden, maar daarover verderop meer.

Bewustwording

We schreven het al een paar keer in deze whitepaper, maar het bewust worden van je medewerkers moet echt op de eerste plek staan in je strijd tegen cybercriminelen. Nog te vaak klikken medewerkers op verdachte e-mails. Het helpt natuurlijk niet mee dat phishing e-mails, of e-mails met malware steeds geloofwaardiger worden. Ook bij andere vormen van cybercriminaliteit spelen medewerkers onbedoeld vaak een rol.

Maak je medewerkers ervan bewust dat ze geen gratis software downloaden van onbekende websites. Beter is nog om de mogelijkheid om software te downloaden op bedrijfssystemen helemaal uit te schakelen. Voor medewerkers die hun eigen apparatuur meenemen (‘bring your own device’, of BYOD) is het mogelijk om de bedrijfsgegevens gescheiden te houden van het privégedeelte. Dit kun je beter uitbesteden aan een IT-dienstverlener (zie verderop).

Wachtwoordbeleid

Als er iets duidelijk is geworden de afgelopen jaren, dan is het dat eenvoudige naam en wachtwoordcombinaties niet meer afdoende zijn om criminelen buiten te houden. Het advies is dan ook om medewerkers te verplichten om sterke wachtwoorden te gebruiken: minimaal 10 tekens, en daarvan minimaal 1 cijfer, 1 bijzonder teken, en afwisselend hoofd- en kleine letters. Zoals al eerder gezegd is het beter om ervoor te zorgen dat de inlognaam ook minder gemakkelijk kan worden geraden. Dus liever niet een functienaam of e-mail.

Dat maakt het voor gebruikers lastig om naam en wachtwoord te onthouden, zeker omdat dit inmiddels geldt voor vrijwel elk stuk software, website enzovoort. Een oplossing is om gebruik te maken van een wachtwoordmanager. Dat is software die alle namen en wachtwoorden opslaat in een database. De software kan inloggegevens automatisch invullen op websites. De gebruiker hoeft nog maar één wachtwoord te onthouden. Vaak werkt het ook met biometrische beveiliging, zoals een vingerafdruk of gezichtsherkenning.

Er is een ruim aanbod te vinden aan wachtwoordmanagers, veel daarvan kennen ook een zakelijke optie, waardoor je dat in je hele bedrijf kunt gebruiken (wel per gebruiker een account uiteraard). Wachtwoordmanagers synchroniseren de gegevens in een beveiligde cloudomgeving, zodat alle apparaten van een gebruiker over dezelfde wachtwoorden kan beschikken.

Multifactor authenticatie

Wie beveiliging van zijn bedrijf serieus neemt kan niet om multifactor authenticatie heen. Daarbij worden medewerkers gedwongen om naast naam en wachtwoord nog een extra beveiligingsmethode te gebruiken. De bekendste is een code die naar een telefoon wordt verzonden zodra een medewerker wil inloggen.

Het kan ook via een code die naar een e-mailadres wordt verzonden, maar die methode is minder veilig. Het gaat erom dat de extra authenticatie wordt gedaan met iets dat persoonlijk is, zoals de telefoon of een biometrisch kenmerk.

Software up to date houden

Deze aanbeveling ligt zo voor de hand, dat hij eigenlijk overbodig zou moeten zijn. Maar de praktijk blijkt toch vaak weerbarstig. Er is vaak te weinig tijd om van alle software die gebruikt wordt bij te houden of er updates zijn. Zeker wanneer een bedrijf te klein is om er een eigen IT-afdeling op na te houden. Updates zoveel mogelijk op automatisch zetten, lost niet alles op, want soms vinden deze updates dan plaats op ongelegen momenten, midden in het werk.

Maar we kunnen niet genoeg benadrukken, hoe belangrijk het is om software up to date te houden. Hackers of bedrijven zelf ontdekken voortdurend zwakke plekken in software en besturingssystemen. Criminelen zijn er dan als de kippen bij om er misbruik van te maken.

Een optie om dit te omzeilen is om waar mogelijk software te gebruiken via een cloudabonnement. Exact biedt veel oplossingen aan die standaard in de cloud draaien, bijvoorbeeld de declaratieoplossing Exact SRXP en inkoop- en factuurverwerking Exact Puchase to Pay. Het voordeel daarvan is dat deze applicaties worden beschermd door de beveiliging bij Exact, onder meer door twee-staps-verificatie.

Er zijn nog meer voordelen aan het werken in de cloud. Software in de cloud is altijd up-to-date. Bovendien worden nieuwe functies ook automatisch toegevoegd zodra deze algemeen beschikbaar komen. De cloud is daarnaast ook altijd beschikbaar, op welke tijd van de dag je ook aan het werk bent.

Verder hoef je geen grote investeringen te doen in hardware (zoals servers) en voor de aanschaf van meerdere dure licenties in één keer. Omdat je per maand betaalt, worden die kosten over langere tijd uitgesmeerd. Bovendien kun je gemakkelijk met meer abonnementen uitbreiden, bijvoorbeeld als je bedrijf groeit, én eenvoudig inkrimpen wanneer dat nodig is. De abonnementen zijn per maand opzegbaar.

Antivirussoftware

Je zou bijna denken dat met al die geavanceerde, goed uitgeruste cybercriminelen een antivirusoplossing geen zin meer heeft. Maar niets is minder waar. Goede antivirussoftware is nog steeds essentieel, want deze is in staat om kwaadaardige software die er tóch doorheen komt in veel gevallen te ontmaskeren.

Onnodig te zeggen dat ook deze software – of misschien wel juist deze software – altijd zoveel mogelijk up to date moet zijn. Er verschijnt vrijwel dagelijks nieuwe malware, en de meeste makers van antivirussoftware zitten erbovenop om die meteen te kunnen herkennen en onschadelijk maken.

Maak een back-up

Je hoopt er natuurlijk op dat er met alle mogelijke maatregelen nooit iets echt misgaat. Maar voor het geval dat er toch iets gebeurt, kun je maar beter zorgen voor maatregelen die zorgen voor herstel. Een back-up is een minimale voorziening die elk bedrijf zou moeten hebben.

Daarbij moeten alle gegevens in je bedrijf worden gekopieerd naar een externe opslag. Dat kan zijn een externe server, maar ook een losse harddiskoplossing. Het beste is dat je gebruik maakt van meerdere kopieën, bijvoorbeeld een voor elk uur, een per dag en een per week. Zo voorkom je dat je ook eventuele malware meeneemt de je laatste backup; je kunt altijd terug naar een kopie waarvan je zeker weet dat de malware er nog niet was.

Om ervoor te zorgen dat je ook kunt herstellen na een ander soort incident (brand of waterschade bijvoorbeeld), moet je een deel van de back-ups buiten je vestiging bewaren. Neem bijvoorbeeld de laatste back-up van de dag mee naar huis.

Hier komt ook weer een voordeel naar voren van het werken in de cloud. Je hoeft je nooit zorgen te maken over de applicaties waarmee je werkt, want de cloud softwareaanbieder zorgt voor de back-up daarvan.

Met jouw data die verbonden zijn met de software is het wat genuanceerder. Soms zorgt de cloudaanbieder daarvoor, maar meestal ben je voor dat gedeelte zelf verantwoordelijk. Soms kun je tegen een meerprijs ook je data mee laten nemen in een back-up.

Uitbesteden aan securityspecialisten

Sommige zaken rond beveiliging zijn te complex om binnen een kleine tot middelgrote organisatie op te lossen. Denk aan netwerkbeveiliging, medewerkers met hun eigen apparatuur, informatie-uitwisseling tussen meerdere vestigingen en medewerkers die een deel van de tijd thuis werken.

Steeds meer bedrijven ontdekken dat het een goed idee is om zaken rond IT-beveiliging uit te besteden aan een IT-dienstverlener die erin is gespecialiseerd. Zulke bedrijven kunnen je deze zorgen uit handen nemen en er bovendien voor zorgen dat eventuele problemen direct worden herkend en aangepakt.

Installeren en beheren van de firewall

Je zwakste plek is waar de buitenwereld van internet bij jouw bedrijf naar binnen komt. Deze plek wil je goed beveiligen maar daar is wel technische kennis voor nodig. Securityexperts kunnen zorgen voor de installatie van de firewall, een stuk software op de router die bepaalt wie wel naar binnen mag en wie niet. Of welke applicatie gegevens mag doorsturen en welke niet. Daarvoor is technische kennis vereist, want je wilt niet dat sommige applicaties niet werken, omdat ze niet door de firewall heen komen.

Continue monitoring

Wie beveiliging serieus neemt, wil voortdurend in de gaten houden of er geen verdachte activiteiten plaatsvinden op het netwerk en de aangesloten servers en computers. Zulke monitoring is een erg intensieve taak, en bovendien moet je precies weten wat je moet doen wanneer een monitoringoplossing alarm slaat. Daarom kiezen veel bedrijven ervoor om dit over te laten een hun IT-dienstverlener.

Testen

Veel securitydienstverleners kunnen je vooraf en op gezette tijden helpen door testen uit te voeren. Een populaire is waarbij er naar alle medewerkers een (valse) phishingmail wordt gestuurd, waarna uit de resultaten blijkt wie er allemaal zijn ingetrapt. Niet om ze aan de schandpaal te nagelen, maar om te laten zien hoe gemakkelijk het is om door kwaadaardige e-mails te worden misleid. Het vervolg kan dan zijn om alle medewerkers te trainen op het herkennen van kwaadaardige mails.

Een andere test is de zogeheten ‘penetratietest’ of pentest. Daarbij wordt van buitenaf geprobeerd om met bekende geavanceerde methoden binnen te dringen bij je bedrijf. Het resultaat krijg je dan in de vorm van een uitgebreid rapport, dat je met je beveiligingsbedrijf kunt bespreken.

Medewerkers trainen

Als een rode draad loopt door deze whitepaper het gegeven dat er nog te vaak dingen fout gaan door menselijk toedoen. Het bewustzijn dat er dingen mis kunnen gaan moet bij medewerkers omhoog. Ook daarbij kunnen securitydienstverleners helpen door je medewerkers te leren hoe ze verdachte e-mails kunnen herkennen, maar vooral om niet direct op mails of links te klikken.

Business continuity & disaster recovery

Een back-up maken is het minimale dat je kunt doen voor als het een keer echt mis gaat met je data. Maar weet jij precies wat je moet doen wanneer het mis gaat en hoe je gebruik maakt van je back-up? IT-dienstverleners kunnen je daarbij helpen.

Het kan de moeite lonen om te kijken naar een iets geavanceerdere oplossing, een zogeheten oplossing voor ‘business continuity & disaster recovery’ of BCDR. De naam zegt het al: de continuïteit van je bedrijf staat hierbij voorop. Een BCDR-oplossing is erop gericht om zo snel mogelijk weer in de lucht te zijn, met een minimum aan gegevensverlies.

Samenvatting

We zullen ermee moeten leren leven dat cybercriminaliteit van alledag is. Net zoals we al lang niet meer de achterdeur in huis van het slot kunnen laten, zo kunnen we ook niet riskeren dat criminelen de achterdeur in onze bedrijfssystemen misbruiken.

Goede beveiliging is essentieel en gelukkig kun je als bedrijf, ook in het midden- en kleinbedrijf, veel doen om gespuis buiten de deur te houden. Maar beveiligingskwesties en -maatregelen worden steeds complexer. Gelukkig is er de cloud. Door veel activiteiten naar online te verplaatsen kun je nogal wat veiligheidsrisico’s omzeilen.

Daarnaast zijn veel maatregelen die vroeger waren voorbehouden aan kapitaalkrachtige grote ondernemingen inmiddels ook beschikbaar in de cloud, waardoor ze voor alle bedrijven binnen bereik komen.

NL Select your country