Cybercrime: MKB als doelwit

Uit een rapport van accountantskantoor Deloitte blijkt dat vooral banken, nutsvoorzieningen, technologische bedrijven en de publieke sector kwetsbaar zijn voor hacking. Alhoewel banken hun beveiliging aanscherpen, ontwikkelen cybercriminelen steeds verfijndere aanvalstactieken. Het liefst richten cybercriminelen zich op kleine bedrijven die weinig geld en expertise hebben om goede maatregelen te treffen. Voor het mkb is het ook naar verhouding 2 keer zo duur om op hetzelfde beveiligingsniveau te komen als grote bedrijven.

Riskant, zo stelt Deloitte, aangezien het mkb vaak levert aan grotere ondernemingen. In 2017 kon het virus Petya via boekhoudsoftware van een klein Oekraïens bedrijf doordringen tot de systemen van onder meer pakketbezorger TNT, medicijnfabrikant MSD en APM Terminals in Rotterdam. De schade liep in de honderden miljoenen. De bedrijven hadden namelijk meer dan een week nodig hadden om systemen te herstellen.

Is een antivirussoftware en een goed wachtwoord genoeg?

Volgens security-onderzoeker Loran Kloeze zijn veel incidenten te voorkomen door preventie en het creëren van awareness. “Hoe clichématig ook, in de praktijk blijft de mens de zwakste schakel. Je kunt een mens niet programmeren en hij blijft onvoorspelbaar.”

Kunnen bedrijven die de basis op orde hebben, zoals antivirussoftware en een goed wachtwoordbeleid, achterover leunen? Absoluut niet, vindt Kloeze. “Wie controleert bijvoorbeeld of software up-to-date is en dat patches tijdig worden doorgevoerd?’ En dan niet alleen op de computers, maar ook op de smartphones waarmee werknemers bedrijfsdata inzien en bewerken. ‘En wie zorgt ervoor dat mensen die ergens niet meer werken, ook geen toegang meer hebben tot bedrijfsgegevens? Heb je dat állemaal onder controle, dan zijn er nog steeds kwetsbaarheden die niet bekend zijn bij de fabrikant en wel misbruikt kunnen worden. Daar kun je, afhankelijk van de kwetsbaarheid, weinig aan doen.”

 Security-beleid is noodzakelijk

Kloeze vindt het belangrijk dat bedrijven niet een security-beleid opstellen vanwege scherpere wet- en regelgeving, maar omdat ze inzien dat het noodzakelijk is. “Als je beschikt over gegevens van andere personen, hoop ik oprecht dat je beseft dat security een hoge prioriteit moet hebben.” Volgens de security-onderzoeker zijn er genoeg stappen te nemen om je bedrijf minder aantrekkelijk te maken voor hackers. Voor bedrijven die vrezen slachtoffer van hacking te worden, heeft Kloeze nog een vijftal tips:

  1. Als iets te mooi is om waar te zijn, dan is het dat ook.
  2. Phishing-mails zijn helaas nog altijd erg effectief. Bel zelfs bij de kleinste twijfel de afzender op via een bekend telefoonnummer (dat niet in de mail staat). Vraag of hij/zij die mail ook echt heeft gestuurd.
  3. Laat eens een security-expert op kantoor langskomen voor een training, zodat ze kennis en vaardigheden opdoen om zich tegen cybercrime te wapenen.
  4. Zie digitale security niet als een IT-aangelegenheid maar als bedrijfsaangelegenheid en benader het ook op die manier.
  5. Stop geen usb-sticks, externe harde schijven of andere hardware in je computer zonder dat je het daadwerkelijk in handen hebt ontvangen van een betrouwbare afzender.

Daarnaast geeft Kloeze als advies: “Mijn advies is om een consultant te zoeken die wordt aanbevolen door mensen uit je netwerk. Kijk met hem of haar wat voor data je hebt en verwerkt. Vervolgens kun je samen beoordelen of er maatregelen getroffen moeten worden. Belangrijk is dat de consultant de wet- en regelgeving kan plaatsen binnen het Nederlandse en Europese recht, zodat je niet te weinig of onnodige maatregelen neemt.”

Bron: MT, 7 februari 2018.

Er zijn nog geen reacties geplaatst.

Plaats een reactie