Vergaderruimte met zakenlieden die naar een grote laptop met slot kijken

Cybersecurity 101 voor het MKB

Laatst bijgewerkt: 2 mei 2019
Leestijd: 10 minuten, 17 seconden

Cybercriminaliteit is een serieuze business met een voorspelde omzet van 6 biljoen dollar in 2021. Dat is meer dan er in de drugsindustrie wordt verdiend. Er zijn veel vormen van cybercriminaliteit, maar ze hebben allemaal één ding gemeen: het gaat altijd om een digitale aanval. Dit kan een data-hack zijn, maar bijvoorbeeld ook een phishing e-mail of business e-mail compromise (BEC). De impact van dit soort aanvallen varieert van downtime van je website tot serieuze financiële schade of zelfs reputatieschade.

Vooral voor bedrijven vormt cybercrime een groot probleem. Criminelen denken vaak flink wat geld te kunnen vangen door bedrijven aan te vallen, waardoor jouw business een groot risico loopt. De eerste stap naar een veiliger internetleven voor jou én je bedrijf is educatie. Daarom leggen we hier de basis van internetcriminaliteit gericht op de MKB uit. Heb jij een klein of middelgroot bedrijf? Hier vind je alle informatie over cybersecurity die je nodig hebt en vind je verschillende manieren om je te beschermen tegen cybercrime.


De impact van internetcriminaliteit

Zak met geld en pijl naar beneden op ComputerschermCybercrime heeft vaak een grote nasleep. Wanneer gegevens zoals wachtwoorden of andere data eenmaal zijn gestolen, kunnen ze op het dark web worden doorverkocht. Zo word je meerdere keren slachtoffer van één en dezelfde misdaad. Dit kan uiteindelijk veel geld kosten, ook voor bedrijven. Het Ponemon Institute publiceert jaarlijks een onderzoek naar de kosten van cybercrime. In 2019 is deze vorm van criminaliteit met 12% gegroeid ten opzichte van 2017. Dit staat gelijk aan een groei van ongeveer 1,3 miljoen dollar. Als we op grotere schaal kijken, zijn de kosten van cybercrime in de afgelopen vijf jaar zelfs met 72% gestegen.

De kosten van internetcriminaliteit binnen het MKB

Cybercrime kost bedrijven binnen het MKB miljoenen euro’s. Dit is inclusief de kosten voor downtime, het vervangen van systemen en het trainen van personeel na een aanval. Dit zijn wereldwijde cijfers, maar dat betekent niet dat Nederlandse ondernemers veilig zijn. Uit onderzoek van het CBS blijkt dat ongeveer 60% van de bedrijven te maken krijgt met cybercrime. Eén op de vijf daarvan is daadwerkelijk slachtoffer. Jaarlijks loopt de Nederlandse economie naar schatting 8,8 miljard euro schade op.

Eén van deze Nederlandse slachtoffers was een sleutelspeciaalzaak. De eigenaar van deze zaak had zijn online systemen niet goed beveiligd. Hierdoor konden hackers gemakkelijk klantgegevens en sleutelcodes buitmaken. De politie ontdekte dat er veel inbraken waren op plekken die hun sloten bij deze zaak hadden aangeschaft en zo kwam de hack aan het licht. De zaak heeft zijn deuren uiteindelijk moeten sluiten. Een paar simpele veiligheidsmaatregelen hadden dit kunnen voorkomen, maar dat advies kwam voor dit bedrijf te laat. Zo zie je maar dat geen enkel bedrijf veilig is.

Waarom is het MKB vaak slachtoffer van internetcriminaliteit?

Middelgrote en kleine bedrijven zijn vaak het doelwit van internetcriminelen. Dit komt omdat ze de perfecte ‘middenweg’ zijn tussen gemakkelijk en winstgevend. Ten eerste is de informatie die van bedrijven gestolen kan worden vaak meer waard dan die van losse personen; je hebt meteen hele databases aan persoonsgegevens en andere data die kan worden uitgebuit.

Aan de andere kant worden MKB’s door internetcriminelen ook wel gezien als “laaghangend fruit”. Dit komt doordat er binnen deze bedrijven vaak minder in cybersecurity wordt geïnvesteerd. Ook hebben bedrijven in het MKB vaak minder (goede) beveiligingsprotocollen waardoor de criminelen gemakkelijker hun slag kunnen slaan.


De meest voorkomende vormen van cybercrime binnen het MKB

Als je weet waar je voor op moet passen, kun je jezelf beter beschermen. Dat is ook zo bij cybercrime. Er worden steeds nieuwe vormen van cybercrime ontdekt. Elke seconde zijn criminelen op zoek naar nieuwe manieren om belangrijke gegevens van bedrijven en personen te ontfutselen. Dit betekent dat het heel lastig is om je hier als bedrijf tegen te wapenen. Toch zijn er een paar vormen van cybercrime die erg effectief blijken en daardoor in overmaat gebruikt worden. Wij zetten de meest voorkomende varianten van cybercrime binnen het MKB voor je op een rijtje.

Ransomware

Ransomware is het meest gevreesde type cybercrime. Als je apparaat geïnfecteerd raakt met ransomware, worden al je lokaal opgeslagen bestanden, de bestanden in het netwerk en soms zelfs je bestanden in de cloud gecodeerd door het frauduleuze programma. Al je data is dan als het ware ‘gegijzeld’. Eenmaal versleuteld, verschijnt er een waarschuwingsbericht op je computerscherm waarin staat dat je binnen X dagen een bedrag aan de hacker moet betalen. Doe je dat, dan krijg je de speciale sleutel om de bestanden te decoderen. Omdat we hier te maken hebben met criminelen, is de kans groot dat je de sleutel niet krijgt, zelfs als je betaalt.

Ransomware slaat voor bedrijven vaak in als een bom: ze kunnen niet verder met hun dagelijkse werkzaamheden, omdat alles door de software gegijzeld wordt. Dit kost ontzettend veel geld, waardoor een groot deel (1 op de 5) van de bedrijven uiteindelijk failliet gaat. Onderzoek wijst uit dat er elke 14 seconden een nieuwe ransomware aanval op een bedrijf plaatsvindt. In 2021 zal dit naar verwachting om de 11 seconden zijn.

Phishing

Vishaak door browserwindow met wachtwoordDe meeste cybercrime-technieken maken misbruik van ons natuurlijke gedrag als mens. Phishing is veruit het meest populaire voorbeeld hiervan. Hierbij gebruiken criminelen e-mails en speciale links om computers te hacken of te infecteren met malware. Zo jagen ze op logingegevens, gevoelige bedrijfsinformatie of zelfs informatie over de accounts van klanten. Phishing gebeurt vooral via e-mail, maar komt ook telefonisch (Vishing) of via sms (SMShing) voor. In principe is ieder apparaat binnen je bedrijfsnetwerk gevoelig voor phishing, zolang het door een mens bestuurd wordt.

In 2017 heeft 76% van de bedrijven wereldwijd te maken gehad met een phishing-aanval.Voorbeelden van phishing zijn e-mails die zogenaamd van je bank afkomen en je vragen via een bijgesloten link een nieuw wachtwoord in te stellen. Ook e-mails en berichten waarin iemand vraagt “ben jij dit?” met een link naar een externe website komen vaak voor. Zodra je op deze links klikt (of een bestand downloadt) wordt er allerlei spyware en malware op je computer geïnstalleerd. Dit kan vervolgens het hele bedrijfsnetwerk dwarszitten.

Business E-mail Compromise

Business Email Compromise fraude (BEC-fraude) is nog een vorm van oplichterij die misbruik maakt van natuurlijk menselijk gedrag. Het doel is om een werknemer (vaak iemand die lager op de hiërarchische ladder zit) grote sommen geld over te laten maken naar de bankrekening van de cybercrimineel. Dit krijgen aanvallers voor elkaar door zich voor te doen als senior-manager. Ze gebruiken hiervoor vaak eerst phishing e-mails om toegang te krijgen tot de e-mailbox(en) en agenda(‘s) van de persoon die ze proberen te imiteren. Hierdoor kunnen ze belangrijke informatie over hun slachtoffers verzamelen.

Wanneer de tijd rijp is, sturen ze een e-mail vanuit het account van de senior medewerker of spoofen ze een e-mailadres. In dat laatste geval creëren ze een e-mailadres dat sterk lijkt op het origineel. Dus in plaats van manager@jouwbedrijfsnaam.nl zou de aanvaller bijvoorbeeld manager@jouwbedrijfsnaams.nl kunnen gebruiken. Veel mensen merken het verschil in e-mailadres niet op en geloven direct dat het een echt verzoek is van een senior-manager binnen het bedrijf.

Om het slachtoffer verder onder druk te zetten, gebruiken aanvallers vaak urgente taal: “Dit bedrag MOET vóór 12.00 uur worden overgemaakt of het bedrijf verliest een groot contract!”. Daar wil je als medewerker natuurlijk niet verantwoordelijk voor zijn, dus maak je het geld zonder al te veel vragen over. Volgens de FBI hebben criminelen tussen 2013 en 2018 wereldwijd 12.5 miljard dollar buitgemaakt door middel van BEC-fraude.


5 manieren om jouw bedrijf te beschermen

Technologie ontwikkelt zich ontzettend snel. Hierdoor lijkt het misschien alsof vechten tegen cybercrime dweilen met de kraan open is. Toch zijn er een aantal simpele maatregelen die je kunt nemen op het gebied van cybersecurity. Hierdoor verminder je de kans op en de impact van een cyberaanval aanzienlijk.

Bewustwording

De eerste stap is om iedereen binnen het bedrijf bewust te maken van internetcriminaliteit en de gevaren hiervan. Deel informatie over dit onderwerp, bespreek voorbeelden van phishing e-mails en verspreid een checklist met punten waaraan je phishing kunt herkennen. Spoor medewerkers ook aan om bij twijfel een collega te vragen mee te kijken. Daarnaast kun je als bedrijf een cybersecurity-seminar aan je medewerkers aanbieden.

Geavanceerde authenticatie

Twee-Staps-VerificiatieJe hebt misschien weleens gehoord van twee-staps-verificatie en de voordelen ervan. Bij twee-staps-verificatie moet je twee stappen doorlopen vóór je kunt inloggen in je account. Eerst voer je je wachtwoord in. Daarna krijg je bijvoorbeeld een code op je mobiele telefoon die je moet invoeren om in te kunnen loggen. Deze technologie is niet perfect, maar zorgt er wel voor dat logingegevens minder gemakkelijk kunnen worden misbruikt. Zelfs als het wachtwoord in handen van een crimineel komt, hebben ze nog altijd de tweede code nodig om in te loggen. Daarom is het handig om hier binnen je bedrijf gebruik van te maken.

Back-ups

Ransomware zorgt ervoor dat je jouw documenten en bestanden niet meer kunt gebruiken. Je kunt de impact van dit soort aanvallen verkleinen door regelmatig een back-up van alle bedrijfsbestanden te maken. Zorg er wel voor dat je een extern back-up systeem gebruikt. Wanneer deze verbonden is met je netwerk, kan de back-up óók geïnfecteerd raken met ransomware. Tijdens een aanval heb je hier dan niets aan. Bedrijven met veilige back-ups kunnen na een ransomware-aanval sneller weer aan de slag. Ze pakken simpelweg hun meest recente back-up en gaan met die bestanden weer aan het werk.

Encryptie

Laptop met SlotVersleuteling is het paradepaardje van de ransomware-crimineel, maar gelukkig kun jij het ook gebruiken om jezelf en je bedrijf beter te beschermen. Je kunt ervoor kiezen belangrijke data binnen je bedrijf te versleutelen. Ook wachtwoorden en andere gevoelige data kun je beter alleen gecodeerd verzenden. Zo kan deze data niet worden misbruikt als het onderschept wordt. Versleuteling is belangrijk voor het opslaan van gevoelige informatie en persoonlijke gegevens op databases en op harde schijven, zoals die van een laptop. Zo ben je zowel tegen online diefstal als fysieke diefstal beschermd.

Het gebruik van encryptie en digitale certificaten kan ook op het web helpen. Het is altijd verstandig om online alleen data te verzenden wanneer er https in de URL van de website staat. Dit betekent over het algemeen dat gegevens, zoals uw persoonlijke gegevens of wachtwoorden, veilig worden verzonden. Er zijn natuurlijk uitzonderingen. Sommige spoofwebsites maken gebruikers wijs dat hun website veilig is door https te gebruiken. Check dus altijd de url om te kijken of je wel op de juiste, legitieme website bent.

Een VPN kan je dataverkeer ook versleutelen. Dit geeft meer zekerheid dan enkel het gebruik van https. Zo ben je online beveiligd tegen malware en diefstal. Bovendien kunnen je werknemers met een VPN ook vanuit thuis of andere locaties toegang krijgen tot het bedrijfsnetwerk, wat in veel situaties erg handig kan zijn.

Smartphone beveiliging

Jij bent niet de enige die gek is op je smartphone. Ook internetcriminelen zijn fan van deze kleine kastjes waar we ons hele leven op bewaren. Smartphones zijn vaak een kwetsbare schakel in de cybersecurity van een bedrijf. Ransomware wordt de laatste tijd ook veel op mobiele telefoons geïnstalleerd. Je telefoon wordt dan vergrendelt tot je een betaling doet. Ook gangbaar zijn trojan horses die een zeer overtuigend loginscherm presenteren en jouw inloggegevens zo in real-time stelen. Uit een rapport van Verizon in 2018 bleek dat 85 procent van de organisaties van mening is dat mobiele telefoons een risico vormen voor hun bedrijf.

Gelukkig kun je ook je mobiel beveiligen. Opnieuw is een VPN een goede oplossing. Daarnaast is het belangrijk het besturingssysteem up-to-date te houden en een goed wachtwoord of goede code te gebruiken. Vergeet deze tips niet door te spelen aan je medewerkers, zodat ook zij zich bewust zijn van de gevaren van cybercrime voor hun smartphones.


Bewustwording van cybersecurity is het halve werk

Cybercriminaliteit is een groeiend probleem, maar het is niet onoverkomelijk. Middelgrote tot kleine bedrijven zijn vaak het slachtoffer van online aanvallen. Daarom is het belangrijk om te zorgen voor goede bescherming. Ga er vooral niet van uit dat jouw bedrijf geen doelwit zal zijn omdat je niet zo’n grote speler bent. Cybercriminelen willen enkel geld, en de grootte van het bedrijf speelt daar geen rol in. Alleen de kans dat het ze wat oplevert is belangrijk. Wees je dus bewust van de gevaren en praat hierover met iedereen binnen het bedrijf. Maak back-ups en beveilig je gegevens. Gebruik twee-staps-verificatie en vergeet ook je smartphone niet te beveiligen. Zo kan ook het MKB zich beschermen tegen internetcriminaliteit.

Hoofdauteur:

Meer artikelen uit het ‘Zakelijk’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen

Op zoek naar een VPN?

Bekijk ons overzicht met de meest betrouwbare, snelle en veilige VPN-services.
Uitgebreid getest door experts.

Bekijk welke VPN het beste bij je past