Cybersecurity is niet alleen voor grote bedrijven iets om in te investeren. Hackers richten zich tegenwoordig juist steeds vaker op het mkb, vooral omdat de beveiliging daar doorgaans minder strak geregeld is. ‘In dit soort kleinere bedrijven is minder aandacht voor cybersecurity. Ze denken dat de data waarover ze beschikken niet interessant is. Dat is echt een misvatting. Alle data is interessant voor cybercriminelen. Ook persoonsgegevens van kleine bedrijven worden gebruikt voor toekomstige aanvallen’, aldus Doekhie. Zij werkte voorheen voor Fox-IT en is inmiddels eigenaar van haar eigen bedrijf No More Cybercrime.
Ook de cybercriminelen ontdekken AI
Het grootste misverstand over cybercrime? Denken dat het jouw bedrijf niet zal overkomen. Volgens cijfers van het CBS kreeg één op de vijf bedrijven in Nederland vorig jaar te maken met een cyberincident. Hierbij gaat de schade voor de ondernemer om meer dan enkel IT-problemen. Denk aan omzetverlies, reputatieschade, stilgevallen productie, kosten voor bijstand en verweer, aansprakelijkheidsclaims en – ook dat – slapeloze nachten. ‘We zien nu gelukkig wel dat cyberveiligheid vaker op de bestuurlijke agenda staat dan een paar jaar geleden. Er komen meer grote zaken in het nieuws en dat zorgt voor extra bewustzijn’, zegt Homans.
Tegelijkertijd zorgen phishingmails, nepfacturen en social engineering voor grote bedrijfrisico’s. Zeker nu cybercriminelen gebruik maken van AI. ‘Voorheen herkende je phishingmails nog aan slecht Engels. Nu zijn dit soort berichten, nepfacturen en WhatsApp-berichten dankzij AI bijna niet meer van echt te onderscheiden. Je moet extra goed opletten om niet in de val te trappen.’ De organisaties waarin cybercriminelen zich hebben verzameld opereren sowieso steeds professioneler. ‘Ze hebben een HR-afdeling, developers, witwassers en zelfs specialisten die alleen toegang tot bedrijven regelen. Die sleutels worden vervolgens weer doorverkocht aan andere criminelen die de aanval uitvoeren’, aldus Doekhie.
‘Een cyberaanval raakt niet alleen je systemen, maar ook het vertrouwen van klanten én medewerkers.’
Cees Jan Homans
Eerste uren na een hack cruciaal
Wat moet je nou doen als je bedrijf daadwerkelijk wordt gehackt? Je ordersysteem ligt op z’n gat, de administratie blijkt onbereikbaar en op alle computerschermen verschijnt dezelfde boodschap: your files have been encrypted. Volgens de experts is snel handelen essentieel. ‘Het is heel belangrijk dat je vooraf een incident response plan klaar hebt liggen, aldus Doekhie. ‘Dat is een draaiboek waarmee jouw organisatie een cyberincident snel en gestructureerd aanpakt. Het beschrijft hoe aanvallen worden gedetecteerd, geanalyseerd, beperkt en opgelost. Ook staat erin wie verantwoordelijk is, hoe communicatie verloopt en welke stappen nodig zijn om systemen te herstellen, schade te beperken en herhaling te voorkomen.’
Bij verzekeraar Hiscox werken ze met een alarmcentrale, een soort digitale brandweer. ‘Ondernemers die bij ons een cyberverzekering hebben afgesloten, kunnen hier 24/7 terecht. Zodra een melding binnenkomt, wordt direct onderzocht wat er precies is gebeurd, hoe de hackers zijn binnengekomen en welke systemen geraakt zijn. Daarnaast helpen onze specialisten met juridische ondersteuning en communicatie richting klanten en toezichthouders. Uiteindelijk wordt ook de gedekte schade vergoed, zoals omzetverlies of herstelkosten.’
Cultuur maak het verschil
Een groot deel van de cyberincidenten is het gevolg van menselijk handelen. Niet omdat medewerkers dom zijn, benadrukken de experts. Dit komt omdat cybercriminelen extreem geraffineerd te werk gaan. ‘Daarom is het zo belangrijk dat je medewerkers ondersteunt om signalen te herkennen’, zegt Doekhie. ‘Dat doe je door gedrag- en awarenesstrainingen aan te bieden. Die zijn minstens zo belangrijk als technische maatregelen. Hoe vaker medewerkers phishingmails zien tijdens trainingen, hoe groter de kans dat ze een echte aanval herkennen.’ Daar sluit Homans zich bij aan. ‘Cybersecurity draait uiteindelijk vooral om cultuur’, vertelt hij.
De financiële schade van cybercrime loopt al snel op. Soms is het enkele tienduizenden euro’s, maar er zijn ook voorbeelden bekend van bedrijven die miljoenen euro’s kwijtraakten. Daarbovenop komen reputatieschade én het risico dat gestolen data alsnog op het dark web belandt. Zelfs als er losgeld wordt betaald. Doekhie adviseert dan ook om dit niet te doen. ‘De kans dat je je bestanden daarmee terugkrijgt is groot. Maar dat je data echt verdwijnt en niet later ergens op het dark web verschijnt? Daar kun je niet op vertrouwen.’
De belangrijkste boodschap van het webinar is in ieder geval helder: wacht niet tot het misgaat en je niet weet wat te doen. Neem nu al de juiste maatregelen. Elke ondernemer heeft zijn pand verzekerd tegen brandschade. Daartegenover staat dat zo’n driekwart van de mkb’ers geen cyberverzekering heeft afgesloten. En dat terwijl de kans dat je bedrijf wordt gehackt 77 keer groter is dan de kans op brand. Laat die getallen maar eens op je inwerken.’
Bekijk The Dark webinar hier terug:
Dit artikel wordt u aangeboden door
Hiscox
Specialistische verzekeringen voor techbedrijven Hiscox is dé verzekeraar voor de technologiesector. Met 20 jaar ervaring in techrisico's, een claimaanpak die uitgaat van dekking en verzekeringen die meegroeien met jouw bedrijf.
Naar partner
