‘Als je veiligheidsbeleid op orde is hoef je niet in de problemen te komen’
‘Stel dat het emailadres en wachtwoord dat je gebruikt hebt bij een webwinkel daar gelekt zijn,’ begint Lex Hoogenboom, ‘dan gaan hackers daarmee het web afstruinen op zoek naar connecties. Volkomen geautomatiseerd vinden ze data als je IP adres en andere sites waarmee je met dezelfde gebruikersnaam bent ingelogd. Uiteindelijk is er een kans dat ze op je bedrijfslogin uitkomen en een toegangspoging wagen.’ Zijn collega CarelJan Kuiter vult aan: ‘Dat is voor je cybersecuritybeleid het moment van de waarheid.’
‘Terwijl ICT zich steeds verder in ieder bedrijf vertakt,’ zegt directeur Barry Verdel, ‘raken wij als dienstverlener steeds verder betrokken bij de manier waarop (medewerkers van) onze klanten omgaan met veiligheid. In een bedrijf raken alle processen steeds meer verbonden – administratie, productie, financiën, logistiek – en tussen bedrijven en hun klanten en leveranciers ook steeds meer. Schurken kunnen op veel meer manieren dan vroeger binnenkomen en niet alleen schade aanrichten ín je bedrijf, maar ook in je verbindingen met derden. Lex is ICT solutions consultant en CarelJan ICT business consultant in ons bedrijf: Lex is de technische man, CarelJan is vooral bezig met beleid. Samen houden zij onze klanten veilig.’
Beleid en techniek moeten goed samenwerken
‘Met technische middelen verdedig ik je bedrijf, met als laatste loopgraaf een goede back-up’, zegt Lex. ‘Maar als je je veiligheidsbeleid en -bewustzijn goed op orde hebt’, vult CarelJan aan, ‘hoeft het helemaal niet zo ver te komen.’ Toch begint het denken over veiligheid voor veel ondernemers wel bij de techniek. Bij backups en firewalls kan iedereen zich wel iets voorstellen. ‘Veel van onze klanten gaan er van uit dat wij dat bij het leveren en beheren van systemen al helemaal voor ze regelen. Dat is ook zo, maar daar hoort wel bij dat je bij de instellingen keuzes kunt maken. Maar aan de andere kant is geen enkel systeem bestand tegen onverstandig gebruik, zoals zwakke wachtwoorden.’
Security-middagen en phishing-simulaties
Op verschillende manieren helpt Verdel zijn klanten nóg verder. CarelJan Kuiter: ‘Wij organiseren regelmatig security-middagen voor onze klanten. Met een presentatie willen wij bijdragen aan het veiligheidsbewustzijn. Daar doen wij – zoals men van ons gewend is – niet ingewikkeld over, maar maken wij het juist overzichtelijk en behapbaar.’ Het zijn leuke middagen, waarbij voor de een de schellen van de ogen vallen, terwijl een ander suggesties aangereikt krijgt om het net nog even beter in te richten. ‘Een andere manier van doen om een bedrijf bewust te maken van de risico’s is het uitvoeren van een phishing-simulatie. Daarmee laten wij zien hoe geniepig de schurken zijn die zich écht op jouw bedrijf richten. Maar wij laten er vooral mee zien hoe makkelijk het is om er eens ‘in te tuinen’.’ De dubbele aandacht voor veiligheidstechniek en -veiligheidsbeleid is voor de Verdellers de normaalste zaak van de wereld. ‘En het is voor onze opdrachtgevers heel handig dat ze voor beide bij ons terecht kunnen.’
‘Het is niet persoonlijk!’
Iedereen kent de kreet uit de maffia-films: ‘het is niet persoonlijk.’ ‘De meeste hackers werken puur opportunistisch,’ zegt Lex Hoogenboom. ‘Met geautomatiseerde overmacht proberen ze waar ze maar kunnen binnen te komen. Als dat dan een keertje lukt kijken ze wat er verder te halen is. Met een goed inlogprotocol met Multi Factor Authenticatie (Een inlogbevestiging via mobiel of mail. red.) kun je je daar al goed tegen beveiligen. Daaromheen zorgen wij als ICT beheerders van je systeem nog voor updates van de software, installeren end-point detectie en monitoren dat, en – als de nood écht aan de man is – hebben wij gezorgd voor goede, en schone, backups.’ Met de juiste technieken is daarmee het leeuwendeel van alle risico’s voldoende afgedekt. ‘Door de grote groei van connecties tussen bedrijven onderling en met derden is het hooguit meer werk geworden om dat op alle mogelijke plekken goed te doen. Maar dat hebben wij natuurlijk ook deels geautomatiseerd.’
Uiteindelijk moet er ook een ‘rode map’ zijn
‘Nadat wij binnen een bedrijf het veiligheidsbewustzijn hebben vergroot en de techniek correct hebben ingericht is er altijd ook nog een ‘rode map’, zegt’ CarelJan. ‘Die moet gewoonweg klaarliggen voor als er een écht probleem is. Dat houden wij ook weer lekker hands on. Maar alleen al het bespreken en vastleggen van procedures zorgt voor een grote verandering in het bewustzijn. En daarmee een verbetering van de veiligheid. Je moet alleen zorgen dat je jezelf – en eventuele nieuwe medewerkers – er vaak genoeg aan herinnert. Dat willen wij dan ook wel komen doen.’
Welke risico’s zijn er eigenlijk?
De meeste hackers zijn gewoonweg uit op je geld. Die breken in, leggen je bedrijf plat en eisen geld om blokkades weer op te heffen. De iets slimmere dief is erop uit om direct in je eigen boekhouding te infiltreren en je zo te beroven. Er zijn ook hackers die bij jouw bedrijf data of identiteiten stelen om weer elders te kunnen inbreken of roven.
Een tweede categorie – maar dat komt weinig voor – zijn de mensen die uit zijn op je intellectueel eigendom. Dat kan een externe zijn óf een eigen medewerker die bij vertrek van alles uit de server kopieert om elders mee verder te gaan.
De derde categorie is puur vandalisme. Jochies die puur voor de kick inbreken en schade aanrichten.
Bij alle gevallen loop je ook het risico dat boeven via jouw systeem bij (gegevens van) klanten of leveranciers terecht komen. En je loopt het risico dat je aansprakelijk wordt gesteld voor eventuele ontstane leveringsproblemen.
‘Bedrijven zijn wettelijk verplicht technische en organisatorische maatregelen te nemen. De nieuwe NIS 2 regelgeving introduceert daarbij bestuurdersaansprakelijkheid.’
Verdel digitaal partner
Schoolbaan 1, Roelofarendsveen
071 331 0184
[email protected]
www.verdel.nl
