Toen ik nog eigen ondernemer was, heb ik geprobeerd om cybersecurity bij het kleinere mkb aan de man te brengen. Natuurlijk om er geld mee te verdienen maar óók omdat ik vind dat iedereen het recht heeft om zich te wapenen tegen online criminaliteit. Ik merkte echter dat er onvoldoende budget voor cybersecurity beschikbaar was. Maar ik leg graag nog eens uit waarom het kleinere mkb toch zou moeten investeren in cybersecurity.
Eerst, ‘het kleinere mkb’: dat zijn bedrijven met minder dan 50 mensen in dienst. Dat zijn dus ook bedrijven met 2 mensen in dienst en ja, ook zzp’ers. De IT-infrastructuur van deze bedrijven is vaak ontstaan vanuit een paar computers richting een hele lading aan computers, laptops, telefoons en tablets. Het kleinere mkb is dus een relatief kleine organisatie die niet per se heel erg heeft nagedacht over IT maar zich wel realiseert dat het onmisbaar is.
Waarom u geen geld steekt in cybersecurity (vermoedelijk dan)
In de afgelopen jaren heb ik vooral veel argumenten gehoord tégen investeren in cybersecurity door kleine organisaties. Die loop ik even bij langs:
‘Wij zijn niet interessant voor criminele hackers!’
Inderdaad het meest gehoorde argument om niet wat geld vrij te maken voor cybersecurity. Ten eerste: u bepaalt niet of u interessant bent. Dat doen anderen wel voor u. Dat geldt in alle situaties en dus in deze situatie ook. Het mogelijke feit dat u een zwakke beveiliging heeft maakt u zelfs interessant.
Verder draait het niet altijd om uw eigen bedrijf. Er kunnen werknemers zijn die voor hackers het doelwit zijn. Uw organisatie wordt dan simpelweg gebruikt als vehikel voor een hacker.
Bedenk als laatste wat de motivatie kan zijn voor een hacker. Zo zijn er criminelen die hacken geldelijk gewin, hackers die een ideëel doel nastreven en hackers die het doen omdat het kan. Juist die laatste groep is het gevaarlijkst want ze zijn onvoorspelbaar en je kunt hun motivatie moeilijk wegnemen.
Dus zonder u te kennen zeg ik: u bent interessant voor criminele hackers.
‘Wat is nou het ergste wat mij kan overkomen?’
Lees dat argument wel even in de context van cybersecurity graag…
Hier is de vraag van belang hoe afhankelijk u van IT bent. En die afhankelijkheid zal de afgelopen jaren sterk toegenomen zijn, of u dat nu wilt of niet. Gegevens van klanten, werknemers, leveranciers en uw bedrijf zijn digitaal opgeslagen. Er moet digitaal gecommuniceerd worden en van u wordt een zekere online aanwezigheid verwacht. Het is niet langer mogelijk om een fatsoenlijke onderneming in leven te houden zonder gebruik te maken van IT.
Een paar scenario’s:
Een criminele hacker krijgt toegang tot gegevens van uw klanten. U beschikt over gevoelige informatie zoals medische, strafrechtelijke, financiële of fiscale gegevens. De hacker heeft de gegevens in handen maar u weet dat nog niet want het ‘mooie’ van digitale data is dat je het oneindig en vaak spoorloos kunt kopiëren. Toch komt u er na verloop tijd achter dat zo’n hack heeft plaatsgevonden. Kunt u zich realiseren wat voor PR-blunder u begaat en wat voor schade er al is aangericht? U zult uw klanten en andere benadeelden moeten inlichten want het komt ooit boven water. Hoeveel klanten raakt u kwijt? U kunt zelf uitrekenen hoeveel dat kost of misschien zelfs wel niet. Denk bijvoorbeeld aan de recentelijke hack bij Uber.
Stel, een criminele hacker heeft op afstand een laptop van uw werknemer overgenomen. Nog steeds hebben we te maken met een kleine organisatie waar werknemers vaak meerdere petten op hebben en dus vaak ook (onnodig) uitgebreide toegangsrechten hebben. De hacker heeft nu dezelfde toegangsrechten en kan gedurende lange tijd met u meekijken. Of de hacker kan besluiten om uw infrastructuur te misbruiken waardoor u ongewild een stuk gereedschap voor de hacker bent geworden. Dat gebied is juridisch nog een vaag terrein. Dit alles is moeilijk te waarderen in euro’s maar het is wel erg ongewenst.
Het laatste scenario is een bekende: ransomware en cryptoware. Schadelijke software die uw data versleutelt waarna u met geld over de brug moet komen om de versleuteling (hopelijk) opgeheven te krijgen. Als ransomware uw data versleutelt dan kunnen de kosten hoog oplopen. U komt in de verleiding om de crimineel toch maar het geld te geven zodat er ontsleuteling plaatsvindt. Dat gebeurt nogal eens niet en u heeft geen idee of de integriteit van de data nog in orde is. Ik zal u niet verder vervelen met wat u kunt doen ter voorkoming van ransomware maar ik benoem het hier zodat u kunt uitrekenen wat de kosten ervan zijn. Slachtoffer zijn van ransomware kost in ieder geval een boel tijd want back-ups moeten teruggezet worden en alle werkstations/servers moeten gecheckt worden op aanwezigheid van ransomware.
‘Ik kan het geld wel voor wat anders gebruiken!’
Ik ook. Cybersecurity-kosten vallen meestal onder overhead net zoals de boekhouder, de loodgieter, de brandverzekering en de advocaat. Het is begrijpelijk dat u niet direct de geldsluizen openzet en dat u afhankelijk bent van beschikbare middelen. Ik ga u niet aanmoedigen om 10% van uw omzet te gaan steken in cybersecurity want dat is vermoedelijk niet nodig tenzij u zelf een internet- of hostingprovider bent. Zie cybersecurity als een verzekering met preventie: u geeft een beetje geld uit in de terechte veronderstelling dat het risico op een geslaagde aanval afneemt terwijl u tegelijkertijd de gevolgen verkleint in het geval van een geslaagde aanval.
Investeren in cybersecurity
Investeren bedoel ik in overdrachtelijke zin. Het is niet mijn bedoeling om u aan te zetten tot een investering waarover u moet gaan afschrijven.
Begin klein en laat u eerst eens adviseren. Bekijk samen welke risico’s u nu en in de toekomst loopt. Dan hebt u een goed beeld van waaraan u het beste geld kunt aangeven. De kans is groot dat uit zo’n advies-sessie naar voren komt dat u het beste kunt starten met bewustwording creëren bij u en de andere mensen in uw organisatie. Mensen zijn nogal eens ongewild de zwakste schakel. Ze trappen helaas snel in een goed opgezette phishing-mail, laten zich ertoe verleiden bepaalde gevoelige informatie af te geven en stoppen rustig een onbekende usb-stick in hun computer. Het volgen van zogenaamde awareness-trainingen zijn betaalbaar en leveren ook direct wat op omdat de opgedane kennis dezelfde dag nog ingezet kan worden.
Naast de awareness-trainingen is het de moeite waard om te laten inventariseren waar uw organisatie zich bevindt in de online wereld. Wat is er online te vinden over uw organisatie en infrastructuur? Wat staat er ‘open’ richting internet? Welke applicaties met gegevens waar u verantwoordelijk voor bent, zijn in die bekende cloud gestopt? Hebt u een overijverige SEO’er gehad die uw halve organisatie heeft laten indexeren op Google in de hoop dat u beter vindbaar bent geworden? Het zijn allemaal vragen die een antwoord nodig hebben. Ook dat hoeft niet veel kosten maar kan wel direct inzicht geven waarna u actie kunt ondernemen.
Waarom u niet moet investeren in cybersecurity (GDPR, GDPR, GDPR)
Doe het niet omdat die GDPR/AVG of andere wetgeving eraan komt, alstublieft… Als u uw investeringen laat leiden door wetgeving dan bent u geen eigen ondernemer meer. Daarbij, er schieten een lading consultants als paddenstoelen uit de grond die u bang maken met boetes en andere straffen. Ik heb consultants voorbij zien komen die u uit kunnen leggen wat de juridische gevolgen zijn zonder u daarbij uit te leggen welke echte technische praktische maatregelen u moet nemen. Natuurlijk praat ik een beetje wc-eend maar huur een cybersecurity-bedrijf in en niet alleen een consultant die verstand heeft van die GDPR. U koopt toch ook geen airbag zonder een auto eromheen?
Investeer in cybersecurity omdat u ervan overtuigd bent dat u het nodig heeft, niet omdat ik of een ander u het zeg(t) te moeten doen!
Deze bijdrage is geschreven door ethisch hacker Loran Kroeze en verscheen eerder op zijn eigen blog: https://www.lorankloeze.nl/2017/11/22/cybersecurity-en-de-euros-van-de-kleine-mkber/