Het is een zin die Edwin van Andel nog dagelijks hoort: ‘Ik ben niet interessant genoeg voor hackers, ik heb niks.’ De ethical hacker en CTO van Zerocopter, zucht. ‘Dat maakt geen bal meer uit. Hackers hacken alles wat ze zien. Als ze ergens binnen zijn, verkopen ze het door of versleutelen ze het. Vakantiefoto’s? Honderdvijftig euro. Bedrijfsdata? Drie ton. Als jij een internetverbinding hebt, loop je dat risico.’
‘Het blijft een grote misvatting dat hackers alleen grote bedrijven aanvallen’, stelt Koos Freriks, Product Manager Cyber Security bij VodafoneZiggo. ‘Die halen het nieuws, een mkb’er met tien man niet. Die lost het stilletjes op, of gaat failliet. Kleinere bedrijven zijn juist aantrekkelijk: makkelijker te hacken dan een multinational met een securityteam.’
Zelden budget, wél zorgen
‘Veel mkb’ers bellen ons pas als het al mis is gegaan’, zegt Freriks. ‘Bestanden versleuteld, facturen die niet meer verstuurd kunnen worden. Dan is de schade al veel groter dan preventie ooit had gekost.’
Wat Van Andel opvalt bij het mkb? ‘Vooralsnog is er nooit budget. Dat is stap één. Ondernemers worden gedreven door wat ze zien en cybersecurity is onzichtbaar — totdat het misgaat. Ze weten dat ze niet gehackt willen worden, maar hoe ze dat voorkomen, daar ligt de focus niet.’
Goedbedoelde workarounds
En dan zijn er nog de goedbedoelde workarounds die gaten creëren, ziet Van Andel. ‘We deden eens een test bij een bedrijf dat officieel geen wifi had’, stelt Van Andel. ‘Bleek dat de directeur een nieuw bureau had gekregen, geen kabels meer wilde en zijn zoon een router bij de Mediamarkt had gekocht. Mensen willen gewoon niet belemmerd worden in wat ze doen.’
‘Het probleem zit in twee dingen’, voegt Freriks toe. ‘Apparaten die op je netwerk zitten zonder dat jij het weet, en software die medewerkers gebruiken zonder dat de organisatie er zicht op heeft. Je kunt je niet beschermen tegen iets wat je niet weet dat er is.’
‘AI wordt nooit moe’
Kunstmatige intelligentie maakt het leven van cybercriminelen intussen ook nog aanzienlijk makkelijker, ziet Van Andel. ‘De tone of voice van bedrijven is eenvoudig te kopiëren, aanvallen worden geautomatiseerd. Er zijn nu bots die zelf hacken, getraind op bekende kwetsbaarheden. En het belangrijkste: een AI-bot wordt nooit moe.’
Wat Van Andel ook zorgen baart: medewerkers die bedrijfsdata in ChatGPT blijven gooien. ‘Een halve directory uploaden voor een snelle samenvatting — dat is iemand anders z’n computer waar jij nu je data inhangt. Je weet niet wat ermee gebeurt, je weet niet wie er allemaal toegang heeft. Doe het daarom met nepdata, of zorg dat je een template gebruikt.’
Twee cultuurproblemen
Van Andel ziet twee hardnekkige cultuurproblemen in de manier waarop bedrijven met cybersecurity omgaan. Het eerste: de afrekencultuur rond phishing. ‘We blijven medewerkers trainen met phishingtests en ze aanspreken als ze fout klikken. Maar het is bijna niet meer te doen om phishing te herkennen. De regel zou moeten zijn: meld álles waar je over twijfelt. Als je daar een bonus aan koppelt in plaats van een straf, draai je het om.’
Het tweede cultuurprobleem: de stilte na een hack. ‘Bij een fysieke inbraak praten we erover. Deur opengetrapt, computers gejat. Maar bij ransomware niet altijd. Waarom behandelen we dat anders? Als iemand opstaat en zegt: dit is ons overkomen, dan helpt dat de rest van de wereld. Schrijf op wat er precies is gebeurd, zodat anderen kunnen leren.’
NIS2: meer verplichtingen, onduidelijke handhaving
De nieuwe Europese NIS2-richtlijn, die in Nederland via de Cyberbeveiligingswet naar verwachting in het tweede kwartaal van 2026 wordt geïmplementeerd, trekt de kring van ‘kritieke’ sectoren breder. Meer bedrijven vallen straks onder verplichte beveiligingseisen.
Download het e-book over NIS2 / Vodafone Business
‘Onder de oude NIS-richtlijn bepaalde de overheid welke organisaties onder de wet vielen’, zegt Freriks. ‘Dat model verdwijnt. Organisaties beoordelen voortaan zelf of zij in scope zijn en nemen zelf passende maatregelen. Wie dat uitstelt, loopt niet alleen juridisch risico, maar ook reputatierisico richting de keten.’
Het cybersecurity-noodpakket
Wat moet elke mkb-ondernemer morgen regelen? Van Andel geeft vijf concrete stappen.
- Oefen het scenario
En dat begint bij de vrijdagmiddagborrel. ‘Zet eens alle computers uit en zeg: we zijn gehackt. Wat nu? Wie bel je? De ICT’er? Fox-IT? Netwerkkabels eruit of erin? Als je dat één keer hebt geoefend, kun je een basis stappenplan maken. Niet opslaan op de computer, maar op een papiertje bij het koffiezetapparaat. Als er iets gebeurt, is er paniek. Als je het hebt geoefend, helpt dat.’ - Patch en update álles
‘Updaten, patchen en weer updaten. Als er een Windows-update uitkomt, gaan hackers die reverse-engineeren. Dan weten ze waar de fout zit. Wees én blijf daar alert op.’ - Scheid wachtwoorden
‘Vraag medewerkers om hun werkwachtwoorden niet hetzelfde te maken als hun privéwachtwoorden. Je Netflix-inlog mag niet hetzelfde zijn als je Outlook-wachtwoord.’ - Zet tweefactorauthenticatie aan
‘E-mailadres en wachtwoord is niet genoeg. Je wilt iets wat je hébt: via een token, een app, of een fysieke sleutel zoals een YubiKey van Yubico.’ - Denk logisch na
‘Je krijgt een mailtje over een PostNL-pakje op je werkmail. Je denkt niet na, je klikt. Maar waarom zou PostNL zoiets naar je werkmail sturen? Dat soort dingen gebeuren zo vaak, het is zo jammer. Logisch denken, dat is voor iedereen belangrijk.’
Vergeet je vertrokken medewerkers niet
Dan zijn er ook nog een paar open deuren, zien Van Andel en Freriks. ‘Accounts van vertrokken medewerkers sluit je direct af. Zorg dat alleen apparaten die jij kent toegang krijgen tot je netwerk én je accounts. VPN’s die mensen vergeten, admin-rechten van een LinkedIn- of Facebook-account die nooit zijn ingetrokken. Dat zijn open deuren.’
Voor apparaten: log in op je router en kijk wat er verbonden is. ‘Herken je iets niet, zoek uit wat het is’, zegt Freriks. ‘Voor software: vraag je mensen gewoon wat ze gebruiken. Dat levert altijd verrassingen op.’
Vergeet ook printers en de beamers niet, zegt Van Andel. ‘Printer kapot, nieuwe printer erbij — en de wifi staat standaard gewoon open. Dat soort apparaten worden veel te weinig meegenomen in het beveiligingsbeleid.’
En dan is er nog het probleem van schaduw-IT: systemen waar niemand meer van weet. ‘We deden eens een recon bij een grote klant’, zegt Van Andel. ‘Die dachten 75 development-servers online te hebben. Na twee weken met tien hackers kwamen we uit op 1.700 endpoints. Vijfhonderd daarvan waren volledig vergeten. Bij het mkb gebeurt hetzelfde op kleinere schaal.’
Backup: het ondergeschoven kindje
Een terugkerend thema: backups. ‘Die externe schijf verdwijnt in een la, of staat gewoon in het gebouw als er brand is’, ziet Freriks. ‘Handmatige processen falen op het moment dat je ze het hardst nodig hebt. Automatiseer het daarom: de meeste bedrijven werken al via clouddiensten voor mail en documenten en daar zit vaak al een back-upfunctie in die je gewoon aan moet zetten.’
Van Andel en Freriks pleiten voor een eenvoudige routine: één keer per week een backup op een externe schijf, die je mee naar huis neemt. ‘Test of je back-up ook echt werkt. Dus niet alleen of de bestanden er staan, maar of je ze ook echt terug kunt zetten naar de situatie van voor een aanval. Want een back-up die je niet kunt terugzetten is geen back-up.’
Veiliger dan de buren
Toch bestaat honderd procent veilig niet, stellen de cybersecurity-experts. ‘Dat hoeft ook je doel niet te zijn’, zegt Van Andel. ‘Maar veilig genoeg, zodat er niet zoveel kan gebeuren als het misgaat – dat is haalbaar. Kijk naar je kroonjuwelen, scheid je systemen en zorg voor segmentatie.’
De kern? ‘Elk security-product is ooit begonnen bij een hacker’, zegt Van Andel. ‘En ethical hackers zijn best lief. Gebruik hun kennis, want ze willen graag helpen.’
Dit artikel wordt u aangeboden door
Vodafone Business
Vodafone Business heeft alles in huis om jouw bedrijf digitaal op weg te helpen. Van vast internet & wifi, cloud telefonie tot IoT, 5G en beveiligingsoplossingen. Ook adviseert Vodafone Business dagelijks bedrijven hoe zij slimme oplossingen kunnen gebruiken om van elke locatie effectief te kunnen werken.
Meer info
