Solimas-directeur Gerard de Weerd is gepassioneerd door cybersecurity- en informatiebeveiliging. Hij is daarnaast ook lid van het Platform voor Informatiebeveiliging. Het zal je dan ook niet verbazen dat het bij Gerard ieder jaar al aan het eind van de zomer begint te kriebelen: oktober is namelijk Cybersecurity Maand. Naast de aandacht die we bij Solimas hieraan gegeven hebben, heeft Gerard een bijdrage geleverd aan de SIDN Podcast door samen met CyberSterk Business Developer Daisy Rasing en Chris van ’t Hof te praten over informatiebeveiliging voor het MKB. De hamvraag: hoe maak je je als organisatie cyberweerbaar?
In de podcast worden verschillende cybersecurity- en informatiebeveiligingsscenario's behandeld aan de hand van een fictief MKB-bedrijf. Dit familiebedrijf zit in de bouw en de website is 16 jaar geleden eens gemaakt door een handig neefje. Dat dit niet helemaal veilig en verantwoord is snapt men ook wel, dus de meest belangrijke applicaties zijn uitbesteed aan SaaS-leveranciers. Daar draaien de loonadministratie, de facturatie en de inventaris en men vertrouwt erop dat dat allemaal goed zit. Binnen het familiebedrijf is er een hoop onderling vertrouwen waarbij iedereen een beetje zijn eigen manier van werken heeft. De onderneming bestaat uit 50 medewerkers en heeft nog eens 50 freelancers tot haar beschikking. Men heeft een hoop kennis van fysieke risico’s in de bouw en maakt daarover uitgebreide risk assessments, maar weet niet veel van IT-security. Waarom zouden ze ook? Dat hebben ze immers allemaal uitbesteed aan een goede SaaS-leverancier.
Dit is deel 3 van onze blogserie over informatiebeveiliging. Wil je de rest ook teruglezen? Kijk dan hier:
‘Ik ben geen bank, dus mij gebeurt niets’
Maar hoe houd je cyberweerbaarheid nu tot de menselijke maat? Volgens Gerard is het vooral belangrijk om na te denken over wat een aanval betekent voor de continuïteit van je organisatie. ‘Het is niet óf je een keer wordt geraakt, het is meer wannéér je wordt geraakt. Als dat gebeurt, en dan heb je het over weerbaarheid, hoe elastisch is je organisatie om daarop te kunnen anticiperen? Lig je daar een week van plat en alles gaat gewoon door, dan is het risico misschien wel aanwezig maar is de impact relatief laag. En dan moet je je afvragen of je daar veel geld in wilt steken.’
Veel MKB’ers maken volgens Gerard de gevaarlijke aanname: ‘Ik ben geen bank, dus mij gebeurt niets.’
Maar dat ligt toch echt anders: ‘En dat klopt ook wel, je bent geen bank. En bij een bank heb je dat een aanvaller maanden de tijd neemt om zijn aanval uit te zetten en die haalt daar vervolgens ook, als het lukt, een hoog resultaat uit. Maar in het MKB wordt niet heel gericht een aanval opgezet maar die wordt gewoon keer duizend de markt in gestuurd en je wordt gewoon geraakt want je zit erbij.’ Ook kunnen medewerkers op een verkeerde link klikken waarvan zij niet weten dat het een verkeerde link is.
Niemand heeft een cyberrijbewijs
Het is van groot belang om mensen in je organisatie te trainen en te informeren over waar je op moet letten, vertelt Gerard. Maar hackers zijn vaak slimmer dan hun slachtoffers: ‘Tegelijkertijd weet een hacker waar mensen op worden getraind, dus die gaat natuurlijk andere methoden toepassen om ze toch te verleiden iets te doen wat je eigenlijk niet moet doen.’ Ook CEO-fraude – waarbij hackers zich voordoen als de CEO van het bedrijf om medewerkers er via een mail toe te verleiden snel een grote som geld ergens naartoe over te boeken – komt steeds meer voor en kan voor veel mensen lastig te herkennen zijn. Cybercriminelen doen soms weken onderzoek naar het taalgebruik van de CEO van een organisatie om ervoor te zorgen dat ze medewerkers een e-mail kunnen sturen die bijna niet van echt te onderscheiden is. Als je goed naar het afzendadres kijkt kom je er echter al snel achter dat iemand je probeert op te lichten, vertelt Daisy. Hackers maken veelal gebruik van gangbare templates, waarbij de voor- en achternaam van het e-mailadres kloppen, maar het sending domain aan de achterkant wél anders is.
Het allerbelangrijkste is volgens Gerard en Daisy dan ook om ervaringen te delen, zodat mensen van elkaar kunnen leren. We maken allemaal fouten, zegt Daisy: ’Dat is absoluut niet erg. Maar wel delen, want daar leren we allemaal van.’ Gerard vult aan: ‘We zijn allemaal mensen. Deel dat met elkaar, leer van elkaar. Als je dat onder de tafel houdt dan leidt dat niet tot verbetering.’