Het computersysteem van Blanken Controls werd door een onzorgvuldige werknemer onder vuur genomen door hackers. ‘Ik dacht altijd dat we het goed voor elkaar hadden, maar er waren nog veel verbeterpunten op het gebied van data-beveiliging.’
Cybercrime is een groeiend probleem voor ondernemers. Iedere dag worden duizenden bedrijven onder vuur genomen door cybercriminelen en onderzoek toont aan dat deze ‘misdaad’ de komende jaren alleen maar toeneemt. Zo zal volgens Cybersecurity Ventures de ravage aan IT-systemen, reputatieschade, omzetverlies en bestuurlijke boetes door datalekken oplopen tot jaarlijks 6 miljard dollar wereldwijd in 2021.
Niet iedere ondernemer is zich bewust van de omvang en impact van een cyberaanval. Ook zijn velen niet op de hoogte van de meldplicht datalekken. Deze meldplicht geldt sinds 1 januari 2016 en houdt in dat bedrijven die persoonsgegevens verwerken een ernstig datalek moeten melden bij de Autoriteit Persoonsgegevens (AP). Een ondernemer die het nalaat een melding te maken van een lek riskeert een boete die kan oplopen tot 820.000 euro.
Ook directeur Willem Dikker Hupkes van Blanken Controls heeft nooit een seconde stilgestaan bij het potentiële gevaar van een datalek. “Totdat mijn bedrijf slachtoffer werd van cybercrime. Inmiddels weet ik dat het in het mkb een serieus probleem aan het worden is.”
Onzorgvuldige medewerker
Blanken Controls is een onderneming die meet- en regelapparatuur levert aan bedrijven in onder andere de voedingsmiddelen-, industriële en farmaceutische branche. Met klanten als AkzoNobel, Ikea en McDonalds is het Loenense bedrijf een grote speler, met veel vertrouwelijke klantinformatie.
Vorig jaar opende een stagiair vanachter zijn pc een zipfile, wat catastrofale gevolgen had. Het hele computersysteem van Blanken Controls werd namelijk bijna platgelegd door dat ene bestandje. Dikker Hupkes: “Ik kan het een stagiair moeilijk kwalijk nemen dat hij een bestand heeft geopend. Maar het was wel een fout die ons zo’n 5.000 euro aan herstelkosten, productieverlies en onrust binnen het bedrijf heeft gekost.”
Cybercriminelen
Nadat de stagiair de zipfile had geopend, begin het virus zich als een lopend vuurtje te verspreiden in het netwerk van Blanken Controls, waaraan tal van vaste pc’s en laptops zijn aangesloten. Dikker Hupkes realiseert zich dat snelheid geboden is en zet meteen de externe systeembeheerder aan het werk om de verspreiding van het virus tegen te gaan. Die onmiddellijke actie zorgt ervoor dat de schade beperkt is gebleven.
“We hebben het relatief snel opgelost, door de server direct stop te zetten en per werkplek de pc of laptop op te schonen”, legt Dikker Hupkes uit. “Maar je voelt je wel gegijzeld tijdens zo’n periode. Hoewel je cybercriminelen niet ziet, is het toch een inbraak.”
Risk management
Naar aanleiding van de hack bij Blanken Controls heeft Dikker Hupkes een grondige scan laten uitvoeren van alle online activiteiten, de software- en hardware-apparatuur en de beveiliging van privacygevoelig materiaal om te kijken of er data was gelekt. Gelukkig bleek dat niet het geval te zijn, maar de Blanken Controls-topman schrok wel van de uitkomst.
Dikker Hupkes: “Ik dacht altijd dat we het goed voor elkaar hadden, maar uit die scan kwam naar voren dat er nog ontzettend veel verbeterpunten waren op het gebied van data-beveiliging. Wij hebben de beveiliging inmiddels behoorlijk aangescherpt. Zo laten wij bijvoorbeeld ieder jaar, als onderdeel van risk management, ethische hackers proberen ons systeem binnen te dringen om te kijken waar nieuwe zwakke plekken zitten.”
Bang voor datalekken
Dikker Hupkes heeft ondertussen met tal van collega-ondernemers gesproken over het incident en komt tot de conclusie dat de digitale wereld voor veel bedrijfseigenaren een te onbekend domein is. Zelf was hij ook nooit bang voor een datalek, omdat de Blanken Controls-directeur er simpelweg te weinig vanaf wist.
“Cybercrime is een ver-van-mijn-bed-show voor de meeste ondernemers”, concludeert Dikker Hupkes. “Ik heb me veelvuldig laten voorlichten over wat je kunt doen om geen slachtoffer van cybercrime te worden. Belangrijk is dat je preventief in plaats van reactief bezig bent. Zo kun je bijvoorbeeld je werknemers laten voorlichten door specialisten.”
En naast het verplicht melden van een datalek, mag je ook aangifte doen van deze digitale inbraak. “Ik heb er ook niet aan gedacht om aangifte te doen”, aldus Dikker Hupkes. “Voornamelijk omdat ik dacht dat, in mijn geval, de politie niet veel kan uitrichten. De regelgeving rondom cybercrime loopt altijd achter op de nieuwe toepassingen die criminelen inzetten. Het blijft een catch-22-situatie.”