Januari 2022
Help, ik ben gehackt!
Mkb laat deur open staan voor cybercriminelen
De afgelopen twee jaar is cybercriminaliteit bij kleine en middelgrote bedrijven explosief toegenomen. Vooral bij thuiswerkers en nieuwe digitale systemen in tijden van corona, grepen cybercriminelen hun kans. Cyberweerbaarheid staat bij het management van mkb-bedrijven niet hoog genoeg op de agenda, zegt de European Union Agency for Cybersecurity (ENISA). De resultaten van het Europese onderzoek dat zij uitvoerden, zijn onrustbarend. Het aantal slachtoffers neemt toe, maar serieuze risicoanalyses en responsplannen blijven uit.
Het rapport ‘Cybersecurity for SMES, challenges and recommendations’ van het European Union Agency for Cybersecurity (ENISA) laat zien dat mkb-bedrijven onvoldoende bewust zijn van de risico’s van cybercrime, maar ook dat de kosten van goede beveiliging een belemmering vormen. Verder blijkt er bij deze bedrijven doorgaans te weinig cybersecurity-kennis aanwezig en geeft het management er maar geringe prioriteit aan. Daarnaast zijn de meeste mkb’ers ervan overtuigd dat cybercrime iets is wat alleen grote bedrijven overkomt. Helaas, niets is minder waar.
Terwijl het aantal fysieke diefstallen drastisch afnam tijdens de pandemie, groeide het aantal digitale inbraken in diezelfde periode dramatisch. In het eerste halfjaar van 2021 steeg het aantal meldingen van cybercriminaliteit bij mkb-bedrijven in Nederland met ruim 75 procent ten opzichte van 2020. Vergeleken met dezelfde periode in 2019 verviervoudigde het zelfs.
Nederland doet het relatief slecht op het gebied van cyberweerbaarheid. Maar liefst 68 procent van de bedrijven scoort een onvoldoende als het gaat om cyberbeveiliging. En ruim 60 procent van ondernemend Nederland is al eens slachtoffer geweest van cybercriminelen. Hoe dat zit bij de technische bedrijven, is niet bekend. De ransonware-aanval bij Hoppenbrouwers Techniek in juli jongstleden was gek genoeg een van de weinige die ruimschoots aandacht kreeg. De meeste bedrijven die slachtoffer worden, komen er niet mee naar buiten.
Schade
Omdat Hoppenbrouwers met een security operations center (soc) werkt, een externe cyberbeveiliger, werd de aanval snel opgemerkt, nog voordat er om losgeld werd gevraagd. Alle computers zijn meteen afgeschakeld en vervolgens opgeschoond. Omdat er recent nog een back-up was gemaakt, was het bedrijf maar een paar uur aan gegevens kwijt.
Vaak leidt een hack in het ICT-systeem van een organisatie doorgaans tot enorme schade. Het bedrijf kan vaak tijdelijk niet functioneren, met alle financiële gevolgen van dien. Er kan bedrijfsschade zijn vanwege het uit de lucht zijn van de website, herstelkosten om die weer te laten functioneren, kosten van forensisch onderzoek, verweerkosten bij claims voor privacy-aansprakelijkheid of het betalen van losgeld bij ransomware. Het gemiddelde schadebedrag per incident ligt in Nederland rond de 60.000 euro. Niet alleen vanwege de kosten is cyberweerbaarheid van het grootste belang. Cybercrime kan ook leiden tot reputatieschade en het verlies van cruciale gegevens. Immers, geen bedrijf kan meer functioneren zonder toegang tot digitale archieven, e-mails of virtuele ontwerpen.
Vaak leidt een hack in het ICT-systeem van een organisatie tot enorme schade, zoals het betalen van losgeld bij ransomware.
Management
Cyberweerbaarheid begint bij het prioriteren en uitzetten van beveiligingsbeleid. Het management zal eerst het belang ervan moeten onderkennen en ervoor moeten zorgen dat het onderwerp hoog op de agenda komt te staan. Vaak kijken bedrijven als eerste naar technologische oplossingen, waaronder beveiligingssoftware, serverbeveiliging, back-ups, tweestaps-verificatie en het structureel updaten van programma’s en software. Dat is allemaal uiteraard heel belangrijk, maar nog belangrijker is om eerst een risicoanalyse uit te voeren. Door de systemen en data in het bedrijf te inventariseren, wordt duidelijk welke vitale processen en data kwetsbaar zijn en welke absoluut beschermd moeten worden. Professionele bedrijven kunnen helpen bij het kwantificeren van de cyberrisico’s met op scenario’s gebaseerde schademodellen, het benchmarken van potentiële kosten van cyberincidenten en het beoordelen van de cyberbeveiliging.
Vervolgens is het zaak om cybersecurity-beleid op te stellen, waaraan de techniek, de medewerkers en de processen structureel gaan bijdragen. De ICT-afdeling kan bijvoorbeeld slimme tools inzetten, zoals firewalls en antivirussoftware, en de processen zo inrichten dat de kans op beveiligingslekken klein is. Door middel van monitoring kunnen dan verdachte patronen in het dataverkeer worden herkend en komen afwijkingen in systeemprestaties aan het licht. De techniek kan bescherming bieden, maar uiteindelijk is de mens altijd de zwakste schakel. Een link in een mail van een onbekende afzender is al snel aangeklikt, bij het thuiswerken kan een medewerker bedrijfsinformatie openen op een niet goed beveiligd privénetwerk. Bewustzijn ten aanzien van de cybersecurity-risico’s, de mogelijke gevolgen en de eigen verantwoordelijkheid zijn net zo belangrijk als het regelmatig maken van back-ups en het installeren van firewalls.
Zonder adequate bescherming zijn digitale systemen kwetsbaar voor cyberaanvallen
Thuiswerkers
Medewerkers moeten dus op de hoogte zijn van het cybersecurity-beleid en de veiligheidsregels, regelmatig trainingen volgen over risico’s en eigen gedrag, en ook thuis veilig kunnen werken. Thuiswerken werd lang de norm tijdens de pandemie en heeft ook nu nog vaak de voorkeur. Veel bedrijven hadden aan het begin van de lockdown niet de tijd of het budget om thuiswerkers te voorzien van beveiligde bedrijfslaptops. Lange tijd werkten mensen op hun eigen apparatuur thuis, met toegang tot bedrijfssystemen en het internet via privénetwerken. Overal stonden digi-deuren wagenwijd open en cybercriminelen grepen hun kans. Het is dan ook niet verrassend dat digi-dieven het de afgelopen twee jaar vooral vaak gemunt hadden op thuiswerkers. Bedrijven die hun medewerkers structureel de mogelijkheid blijven bieden om thuis te werken, zullen dat nu wel professioneler en veiliger moeten regelen.
Actieplan
Voorkomen is altijd beter dan genezen, maar 100 procent veilig krijg je het nooit. Criminelen vinden steeds slinksere, nieuwe wegen naar onze data en systemen, Beveiligingsupdates van hard- en software hebben in de regel altijd een achterstand. Er moet dus in elk bedrijf ook een actieplan klaar liggen voor als het mis gaat. Helaas blijkt uit het ENISA-onderzoek dat het mkb in de meeste gevallen geen plan, zoals een cyber incident response plan, op de plank heeft liggen. Een cyber incident response plan is een intern document dat duidelijk beschrijft wie welke rol op zich neemt en wat hen te doen staat bij het ontdekken van uiteenlopende soorten cyberincidenten. Zo is het bedrijf op elk scenario goed voorbereid en kan er snel actie worden ondernomen.
Dat laatste is cruciaal om de schade te beperken en de bedrijfsvoering zo snel mogelijk te kunnen hervatten. Communiceer het plan naar alle medewerkers en train regelmatig op de inzet bij incidenten, net als bij een brandoefening. Voor het inrichten van processen voor incidentopvolging en -afhandeling voor informatiebeveiligingsincidenten en voor bedrijfscontinuïteitsbeheer zijn overigens verschillende normen en leidraden voorhanden, zoals de NEN-ISO/IEC 27002, NEN-ISO/IEC 27035 en NEN-ISO/IEC 22313.
Snel actie ondernemen is cruciaal om de schade te beperken
Onder de pet
Bedrijven die slachtoffer worden van cybercriminaliteit, houden het in de regel onder de pet. ‘Dat is jammer,’ zegt Peter Zwakhals, specialist digitalisering bij Techniek Nederland. ‘Want zo is het ook moeilijker te bestrijden. Van voorbeelden als die van Hoppenbrouwers kunnen we met zijn allen heel veel leren. Hoe pijnlijk het ook is, je zult soms toch ook je klanten moeten inlichten dat er bij je is ‘ingebroken’. Wellicht zijn privacygevoelige klantgegevens in handen gekomen van de hackers. Je kunt er maar beter eerlijk over zijn,’ adviseert hij.
Als het gaat om kantoorautomatisering, lopen technische bedrijven tegen exact dezelfde risico’s en uitdagingen aan als in andere branches. Maar, behalve dat ze de deur van hun eigen bedrijf dicht moeten houden, zijn ze vaak ook verantwoordelijk voor de cyberveiligheid van systemen bij hun klanten. Zwakhals: ‘IoT-toepassingen, digitale gebouwbeheersystemen, monitoring en beheer-op-afstand nemen toe. Dat is een mooie ontwikkeling, maar er kleven ook gevaren aan als het gaat om cyberveiligheid. Digitale systemen zijn kwetsbaar voor cyberaanvallen. Met het risico dat criminelen complete klimaat- en verlichtingssystemen platleggen, de bediening van bruggen en sluizen overnemen of via de technische besturing binnendringen in andere klantsystemen.’
‘Meestal komt dat door een samenspel van onvoldoende beveiligde hardware, software en menselijk handelen. De grote technische bedrijven die met Rijkswaterstaat en andere overheden werken, merken dat ze daar steeds meer voorwaarden aan beginnen te stellen. Alleen bedrijven die hun cybersecurity op orde hebben, mogen nog voor hen werken. De technische opleidingen moeten meer aandacht gaan geven aan cybersecurity en fabrikanten van slimme producten moeten zorgen dat die aan minimale veiligheidseisen voldoen. Zolang dat allemaal nog niet op orde is, zullen bedrijven echt zelf aan het werk moeten en maximale veiligheidsregels moeten betrachten.’
Cybercrime kent veel gezichten
De meest voorkomende cyberincidenten zijn phishing, computervirussen en -wormen en website-gerelateerde aanvallen. Van de Nederlandse doelwitten heeft een op de vijf te maken met een phishing-incident waarbij gegevens worden vernietigd. Hackers benaderen medewerkers van bedrijven hierbij vaak op een persoonlijke, geloofwaardige manier. Daarnaast zoeken ze zwakke punten in servers om kwetsbare bedrijven aan te vallen en te besmetten. Identiteitsfraude, ransomware, Botnet en DDoS-aanvallen komen steeds vaker voor.
Maatregelen bij ontwerp en installatie
Bij het ontwerpen van slimme systemen is een veilige ICT-architectuur van groot belang. De gateway die besturingssystemen voor gebouwen verbindt met het internet, mag slechts beperkt toegankelijk zijn. Wel voor een installatietechnisch bedrijf dat op afstand problemen kan oplossen, maar niet voor kwaadwillende buitenstanders. Dat kan bijvoorbeeld worden gerealiseerd door het systeem niet via een standaardpoort van de router, maar via een Virtual Private Network (VPN) te verbinden met internet. Die VPN-verbinding moet wel meerdere lagen van beveiliging bevatten. Ook het programmeren van routers en wifi-accesspoints is van belang.
Een andere mogelijkheid is het afnemen van specifieke diensten die fabrikanten aanbieden om die veilige verbindingen zonder VPN te realiseren. In zo’n geval checkt een speciale server van een fabrikant of de verbinding veilig is, waarna deze via ‘end-to-end-encryptie’ toegang geeft tot een gebouw- of woningautomatiseringssysteem.
Wie in een gebouw of woning ook een gastennetwerk aanbiedt, kan daar dan een specifiek VLAN voor inrichten, ofwel een ‘virtual local area network’. Die functioneert apart van het bedrijfsnetwerk, zodat gasten niet overal bij kunnen. Ook voor bepaalde slimme apparaten is het handig om een VLAN in te stellen. Zo kan, door het gebruik van een firewall, worden voorkomen dat deze apparaten toegang hebben tot het hoofdnetwerk.
Cyberverzekering Techniek Nederland
Schade als gevolg van een cyberincident is niet gedekt bij een normale computerverzekering. Techniek Nederland Verzekeringen biedt hiervoor een aparte cyberverzekering. Deze verzekering dekt de kosten van:
- schadevergoeding en juridische bijstand bij aanspraken van derden als gevolg van verlies van persoonsgegevens en/of bedrijfsinformatie, smaad, laster of plagiaat,
- kosten voor onderzoek door een toezichthouder en eventuele boetes,
- cyber-afpersing, zoals losgeld bij ransomware,
- vergoeding van de belkosten bij het hacken van een telefooncentrale,
- gederfde nettowinst bij netwerkonderbreking,
- de kosten van de inzet van een incident response team, dat zorgt dat u zo snel mogelijk weer aan de slag kunt.
Techniek Nederland
Om alarm- en camera-installaties bij klanten veilig te houden, biedt Techniek Nederland leden een Cyber Risico-scan aan. Daarnaast heeft Techniek Nederland verschillende adviezen en diensten op dit gebied. Zo kunnen leden korting krijgen op de diensten van 4iTrus, die ondersteuning bieden bij het voorkomen en verhelpen van schade door cybercrime. Ook is Techniek Nederland partner van het Digital Trust Center, dat is opgericht door de Nederlandse overheid om de cyberweerbaarheid van het mkb te versterken en concrete adviezen te geven.
Meer informatie:
Tekst: Astrid Zoumpoulis - Verbraeken
Fotografie: iStock
Meer weten over innovatieve technieken en ontwikkelingen?
Meld u dan nu aan voor onze gratis nieuwsbrief.