Een verouderd wachtwoord of een knullige serverfout. Cybercriminelen maken gretig gebruik van zwakke punten in de digitale infrastructuur van bedrijven. Met gemiddeld zo’n 80.000 euro schade tot gevolg. En een groeiend probleem, zo wijzen onderzoeken keer op keer uit. Waar zitten de grootste risico’s? Een achtergrondverhaal met dramatische voorbeelden.
Wat steek je hiervan op?
- Zorg dat je website beveiligd is en voorzien van de juiste certificaten
- Zorg voor een goed en gekwalificeerd antivirusprogramma
- Plan elk kwartaal een gesprek in met je IT-partner voor een update
Wereldwijd zijn vorig jaar ruim 1,4 miljard digitale bestanden ontvreemd, een groei van 86 procent ten opzichte een jaar geleden, meldde databeveiliger Gemalto onlangs. Ons land staat met Duitsland op een gedeelde twee plek wat betreft het aantal Europese datalekken. Alleen in het Verenigd Koninkrijk staat het er nog slechter voor. Dat kan leiden tot een fikse kostenpost, becijferde branchegenoot Kaspersky Lab op basis van onderzoek onder Europese ondernemingen.
78.000 euro per incident
De kosten per security-incident in het mkb zijn gemiddeld 78.700 euro, waarbij blijkt dat bedrijven gemiddeld 44 procent meer betalen wanneer een cyberinbraak pas na een week of later ontdekt wordt. De meeste kosten worden gemaakt voor overwerkend personeel. En er blijken extra uitgaven nodig voor verloren omzet, extra IT-securitymaatregelen, de inhuur van externe adviseurs en het aannemen van nieuw personeel.
Gehackt
Ongeveer 60 procent van de ondernemingen heeft in meer of mindere mate te maken met cybercriminaliteit, blijkt uit peilingen van MKB-Nederland. Heel veel ondernemers zijn zich daar echter niet van bewust, merkt Coen van den Berg, projectleider van het programma Veilig Zakelijk Internetten van de belangenbehartiger.
Vaak leeft de perceptie dat het vooral plaatsvindt bij grote bedrijven zoals in het bankwezen. “In een focusgroep-sessie gaf iedereen aan niet met cybercriminaliteit te maken te hebben. Toch bleek meer dan de helft wel eens te zijn gehackt. Dat wordt dus – ten onrechte – als iets anders gezien dan cyber crime.”
Backups
Wat gaat er nu mis? Volgens een recent rapport van het Rathenau Instituut (hier kun je het gehele rapport lezen) is de basisbeveiliging vaak niet op orde. Het ontbreekt aan sterke wachtwoorden, regelmatige updates van beveiligingssoftware en het maken van voldoende backups van belangrijke bestanden. Indien bedrijven wel maatregelen nemen, blijken die door een gebrek aan kennis niet altijd passend te zijn. Dat kan leiden tot schijnzekerheid.
Een veel voorkomend punt is een kwetsbare website, weet Van den Berg. Bijvoorbeeld door een aanmeldformulier dat niet goed is beveiligd, waardoor kwaadwillenden bij gegevens achter de site kunnen komen. Of er wordt een ‘aanmeldbom’ verstuurd, die de systemen overbelast en platlegt.
Malware
Verder leidt ook het werken met verouderde systemen en niet tijdig – of zelfs helemaal niet – vervangen van wachtwoorden tot problemen. “Cybercriminelen zitten vooral achter personeelsgegevens aan, veelal financieel van aard. En zoeken voortdurend naar openingen om in systemen te komen. Via malware, hacking en phishing, zoals dat ook bij particulieren het geval is.”
Beperkt inzicht
De onderzoekers van Rathenau Instituut onderstrepen ook de parallel tussen kleinere bedrijven en de burger: zij hebben over het algemeen maar een beperkt inzicht in de risico’s die ze lopen. Daarbij speelt mee dat ze over onvoldoende middelen, kennis (of toegang tot kennis) beschikken om passende maatregelen te nemen. Hierdoor zijn zij niet in staat om te beoordelen of oplossingen die vanuit de markt worden geboden hen de juiste oplossing bieden.
Het Centraal Planbureau wijst op een “kennisasymmetrie tussen ICT-leveranciers en –gebruikers”. Met tot gevolg dat ondernemers niet goed weten welke beveiligingsoplossingen zij moeten kiezen. En ze hun beslissing vooral baseren op de prijs.
Serverfout
De schade ontstaat veelal door relatief kleine fouten, zo wijzen praktijkvoorbeelden uit. Door een serverfout bleken backup-bestanden van het personeelsinformatiesysteem van een coöperatie – die liever niet met naam genoemd wordt – via internet benaderbaar. Het centrale wachtwoord was nooit aangepast en er kon simpelweg met ‘admin – admin’ ingelogd worden met volledige rechten op het systeem.
Cybercriminelen vanuit de andere kant van de wereld kopieerden zo gegevens van alle personeelsleden – inclusief bankrekeningnummers, BSN-nummers, adresgegevens, geboortedata, de salarisontwikkeling en notulen van functioneringsgesprekken. En voegden bovendien enkele nieuwe personeelsleden toe.
Tonnen schade
Pas ruim tweehonderd dagen later zag de afdeling personeelszaken van één van de coöperatieleden dat er salaris werd overgemaakt naar een onbekend personeelslid. Navraag wees uit dat het een fictief personeelslid is. Er bleek al zeven maanden salaris te zijn uitgekeerd aan vijf fictieve medewerkers. Met een totale schade van zo’n 100.000 euro.
Dat kreeg nog een staartje. Na een jaar waren 26 personeelsleden overgestapt naar een concurrent. Na forensisch onderzoek bleek: die concurrent kocht de gegevens via de zwarte markt en stuurde medewerkers van tijd tot tijd negatieve uitingen over de coöperatie. Daardoor werd de sfeer langzaam minder, kwam de concurrent beter uit de bus en stapte een tiende van het personeel over. Met een uiteindelijke schade van meerdere tonnen.
Sleutelcode
In een ander geval werd een sleutelmaker door de politie ervan verdacht betrokken te zijn bij inbraken met sleutels uit zijn praktijk. Zich van geen kwaad bewust, werkte de ondernemer mee aan fysieke inspectie en cameratoezicht. Zonder resultaat. Dat zijn administratiesysteem voor sleutelcodes vanuit huis veel sneller werkte dan in de winkel, gaf hem daarop een ander vermoeden.
Politieonderzoek wees uit dat de firewall bij één van de winkels is gehackt. De hacker leidde gebruikers van het systeem ongemerkt om naar een eigen pagina. Hij had alle sleutelcodes inclusief klantgegevens kunnen onderscheppen, en doorverkocht. Het verhaal ging als een lopend vuurtje, de klandizie nam snel af en er ging een streep door plannen voor een extra winkel. Met de sluiting van alle winkels tot resultaat, binnen zes maanden na de hack.
Verantwoordelijkheid
Om voorgenoemde situaties te voorkomen, besteedt het gros van de ondernemingen zijn IT-zaken uit en gaat er daarbij van uit dat ook de beveiliging daar belegd is. Dat is echter lang niet altijd het geval, weet Van den Berg. “De maker van je site of de partij die de hosting verzorgt, is veelal niet verantwoordelijk voor de veiligheid van je systemen. Dat is een vak apart. En zul je zelf maatregelen voor moeten nemen.”
Sinds enige tijd helpt MKB-Nederland met het in kaart brengen van dergelijke maatregelen, via een scan op kwetsbare zaken. Daarna wordt een actieplan gemaakt. “Wat uit zo’n scan naar voren komt, is per bedrijf verschillend. Maar je moet vrijwel altijd met een IT’er in gesprek”, aldus Van den Berg. “En driekwart van de bedrijven scoort een onvoldoende.”
Onafhankelijke ondersteuning
Ook het Rathenau Instituut merkt binnen het mkb een grote behoefte aan onafhankelijke advisering en ondersteuning om tot passende oplossingen te komen. ICT-leveranciers leveren weliswaar allerlei beveiligingsproducten en -diensten aan, maar mkb’ers zijn vaak onvoldoende in staat te beoordelen of die zaken voor hun situatie een goede oplossing bieden, aldus de onderzoekers. “De bakker op de hoek loopt immers andere risico’s dan hightech bedrijven of webwinkels.”
Om dit te verbeteren wordt door een grote groep belangenverenigingen gepleit voor een Digital Trust Centrum, dat met adviserende en ondersteunende functie kennis samen moet brengen.
Digital Trust Centrum
Dit kenniscentrum zou een adviserende en ondersteunende functie kunnen vervullen voor het mkb. Vanuit de volgende kernpunten:
- Gebruikmaken van de expertise van het Nationaal Cyber Security Centrum (NCSC)
- Schakelfunctie brancheorganisaties vanwege het grote aantal mkb-bedrijven
- Specifieke informatie die van toepassing is op branches, doorgegeven aan de brancheleden
- De overheid speelt een stimulerende en faciliterende rol
Reserveringen mislopen
Betrokkenen benadrukken dat problemen zich voordoen in alle sectoren. Zo wijst Van den Berg op een nogal eens over het hoofd geziene branche als de horeca. Waar de open wifi-netwerken (voor klanten) extra aandacht vergen. En ook verouderde bestellingsystemen zorgen voor risico’s.
Volgens de projectleider staat het allerminst hoog op de agenda van horecaondernemers om hier actie op te ondernemen. Totdat het klandizie kost. “Een ondernemer kwam na een scan erachter dat zijn verouderde systeem tot meldingen over een onveilige omgeving leidde bij klanten, die vervolgens geen reserveringen meer plaatsten. Dan zie je dat de portemonnee gelijk getrokken wordt om er iets aan te doen.”
Phishing
Wel wordt opgemerkt dat technologie alleen vaak niet de oplossing brengt. Het is menseigen om zich – tegen beter weten in – door phishing e-mails te laten verleiden tot het aanklikken van geïnfecteerde weblinks. Dat is des te pijnlijker doordat werk en privé steeds meer door elkaar lopen wat IT-gebruik betreft. Malware op de privé-computer of tablet kan zodoende ook de werkomgeving besmetten.
Dit maakt cyberveiligheid eveneens een organisatorische aangelegenheid. Bijvoorbeeld door te zorgen voor een open meldcultuur binnen het bedrijf, zodat medewerkers zonder angst voor represailles veiligheidsincidenten kunnen melden.
Prioriteit
Hoewel dit voor de hand liggend klinkt, is dit in de praktijk nog lang niet altijd het geval. “Digitale dieven kunnen hun buit hierdoor beter verzilveren of zelfs nogmaals toeslaan elders”, aldus Martijn van Lom, general manager van veiligheidssoftware-ontwikkelaar Kaspersky Lab Benelux, in een bijdrage op deondernemer.nl. Hij wijst daarbij op het belang van de Meldplicht Datalekken. Die niet zozeer draait om boetes of de functie van schandpaal, maar ervoor zorgt dat overheid, toezichthouders en wetshandhavers een goed beeld krijgen van wat er gebeurt. Dat kan ertoe leiden dat er prioriteit en budgetten worden toegekend aan cybersecurity. En dat lijkt in ieders belang.