‘Wat me opvalt, is de angst’, vertelt Erik van Daatselaar, portfolio lead cybersecurity bij Vodafone Business. ‘We boden ondernemers recent op een evenement een gratis securityscan aan. Een flink aantal reageerde letterlijk: ik durf hem niet te doen, want ik ben een beetje bang wat eruit komt. De struisvogel met zijn kop in de grond. Anderen zeiden juist: bij mij is alles op orde. Maar de resultaten vertellen vaak een ander verhaal.’
Een volwaardige industrie
De urgentie is reëel, stelt Van Daatselaar: hacken is niet zomaar een hobbyactiviteit meer. ‘De hackersindustrie is gewoon een business is geworden. Het zijn bedrijven die heel goed renderen, met aandeelhouders, met werknemers en hooggespecialiseerde tools.’
‘Je kunt tegenwoordig phishingplatforms kopen, complete pakketten met klantenservice voor als slachtoffers niet weten hoe ze met bitcoin moeten betalen. Er zijn darkwebshops waar je klantdata kunt kopen. Het is hooggeautomatiseerd én gefocust.’
Die professionalisering heeft gevolgen. Het aantal cyberaanvallen neemt toe — één op de vijf Nederlandse bedrijven leed in 2024 schade als gevolg van een cyberaanval — én de methodes worden geraffineerder door de inzet van AI en automatisering.
‘De enige mensen die zich geen zorgen hoeven te maken over hackers zijn bedrijven die toch al omvallen’, stelt Van Daatselaar. ‘Iedereen die omzet heeft, heeft te maken met geld én dus potentiële hacks. Toch denken veel mkb-ondernemers: dit overkomt mij niet. Mijn bedrijf is te klein, mijn data te oninteressant.’
Telefoons worden vergeten
De menselijke factor blijft volgens Van Daatselaar het grootste risico. ‘Je kunt praten over ingewikkelde zaken, maar als jij makkelijke wachtwoorden hebt zonder multifactorauthenticatie, dan staat de digitale voordeur wel heel wijd open.’
‘De beveiliging op laptops is meestal wel goed geregeld, met de nodige firewalls, programma’s als Microsoft Defender en DNS/URL-filters, die kwaadaardige websites eruit filteren. Daar letten veel organisaties wel op. Maar mobiele toestellen, die evenveel toegang bieden tot data, worden véél minder beveiligd. Terwijl je júist op momenten dat je net wakker wordt of ’s avonds voor het slapen gaan minder scherp bent en makkelijker op een linkje klikt.’
‘Hackers kiezen zelden een specifiek doelwit’
Xander Koppelmans, ondernemer uit Goes, dacht dat hij zijn zaken op orde had. Zijn reclamebureau draaide goed, had firewalls, antivirussoftware en back-upse Tot hij op een donderdagochtend in 2015 zag hoe mappen op zijn servers verdwenen.
De hack vernietigde niet alleen al zijn data, maar ook zijn back-ups. De directe schade bedroeg 260.000 euro, de indirecte schade liep op tot meer dan een miljoen. Na tien maanden bezweek hij onder de druk en kwam in een burn-out terecht. Zijn bedrijf ging failliet, hij raakte zijn huis, kantoorpand én uiteindelijk ook zijn huwelijk kwijt.
‘Wat mensen vaak niet beseffen, is dat hackers zelden specifiek een doelwit kiezen’, vertelt Koppelmans nu tijdens lezingen. ‘Ze gebruiken geautomatiseerde scripts en zodra jouw beveiliging zwak is, ben je een doelwit. We lopen als het ware met een portemonnee in onze kontzak door de digitale koopgoot.’
Neveneffecten een eyeopener
Patricia Antersijn, mkb-ondernemer en distributeur van PCM Nederland & België, herkent die kwetsbaarheid. ‘Je kunt je als ondernemer lullig voelen als je de zaken niet op orde hebt. Maar het gaat dus niet specifiek om jouw bedrijf. Gegevens worden vroeg of laat ergens gehackt en alsmaar doorverkocht. Degene die het in handen krijgt, heeft geen idee meer waar het vandaan komt.’
‘Je denkt vaak alleen aan data, maar als je nadenkt over de neveneffecten, dan is dat wel een eyeopener’, stelt Antersijn. ‘Met alleen de data die wij hebben zal dat nog wel loslopen. Maar de nevenschade, daar heb ik geen reëel beeld van.’’
Hoe veilig is jouw website?
Ontdek welke kwetsbaarheden jouw website heeft én ontvang praktische tips.
lees verderLaagdrempelige scan
Uit onderzoek tijdens het NL Changemakers-event onder 350 ondernemers bleek dat een derde van de ondernemingen duidelijke kwetsbaarheden vertoonde. 39 procent van de deelnemers behaalde een A-score op de Vodafone Security Scan, een laagdrempelig hulpmiddel waarmee ondernemers inzicht krijgen in de kwetsbaarheid van hun digitale voordeur: hun bedrijfsdomein.
Nog eens 28 procent scoorde een B. ‘Dat klinkt hoopvol, maar betekent ook dat bijna een derde van de ondervraagde bedrijven nog altijd duidelijke kwetsbaarheden vertoont’, zegt Van Daatselaar.
De Vodafone Security Scan fungeert dan ook als startpunt, géén eindpunt, stelt Van Daatselaar. ‘Een scan kan nóóit kwaad. De scan kijkt als het ware naar de buitenkant van een organisatie, naar URL’s én prikt op alle externe poorten die verbonden zijn met het IP-adres. Hij kijkt ook op het darkweb, wat er te vinden is over een organisatie en of er gehackte credentials zijn.’
Waarom ondernemers wegkijken
Toch staat cybersecurity bij veel mkb’ers niet hoog op de agenda. ‘Je bent met andere dingen bezig’, stelt Antersijn. ‘Als ik voor mezelf spreek: ik heb niet altijd zin om erin te duiken. Het is niet mijn corebusiness óf mijn specialiteit. Dan komt er een klant met een vraag en dan zakt cybersecurity weer als prioriteit op de to-do-lijst.’
Van Daatselaar ziet dat patroon vaker. ‘Ondernemers hebben wel het gevoel dat ze meer zouden moeten doen, maar weten niet zo goed waar ze moeten beginnen. Grote organisaties hebben een Chief Information Security Officer (ciso), middelgrote misschien ook wel, maar kleine organisaties hebben meestal een IT-professional die het erbij doet.’
Wat kunnen ondernemers dan wél doen? Voor mkb’ers pleit hij voor een soort deeltijd- of virtuele ciso die één keer per kwartaal met ondernemers praat. ‘Ga even rond de tafel zitten en bespreek: waar zitten de zorgen, hoe zet je jouw IT-omgeving in? Waar moet je geld en moeite insteken? Je moet het een vast agendapunt maken.’
Who you gonna call?
Basiszaken die volgens Van Daatselaar in ieder geval op orde moeten zijn: zorg dat al je apparaten gepatcht zijn met de laatste softwareversies, schakel multifactorauthenticatie in op álle accounts, segmenteer je wifi-netwerk zodat bezoekers niet op hetzelfde netwerk zitten als je bedrijfskritische systemen én regel een standaard back-up.
En bereid je ook voor op het worstcasescenario, adviseert Van Daatselaar. ‘Denk niet alleen na over hoe je je beschermt, maar ook over ‘wat dan?’. Wat als je aangevallen wordt? Wat is dan je noodplan? Bedenk van tevoren wat je moet doen. In de jaren tachtig belde je de Ghostbusters. Wie bel je nu?’
Onderdeel van bedrijfshygiëne
‘Bedrijfscontinuïteit is het allerbelangrijkste voor elke ondernemer’, stelt Jurjen IJska van Lindenaar & Co, een adviesbureau met tien medewerkers. ‘Wij hebben geleerd om cybersecurity echt te zien als een onderdeel van je bedrijfshygiëne. Net zoals je een fijne kantoorruimte wil hebben en de juiste verzekeringen afsluit: het zijn kosten die je moet maken om je license to operate te garanderen.’
Uiteindelijk gaat het om een simpele vraag: neem je cybersecurity serieus voordat het misgaat of pas nadat de schade is aangericht? ‘Als je je bedrijf serieus neemt, dan moet je erin investeren’, concludeert Van Daatselaar. ‘Je moet er budget voor vrijmaken. Niet op zondagmiddag in paniek, maar proactief, op vaste momenten in de week of in de maand.’



