Cybersecurity 101 voor het MKB

Vergaderruimte met zakenlieden die naar een grote laptop met slot kijken
Cybersecurity 101 voor het MKD in vogelvlucht
Cybersecurity 101 voor het MKD in vogelvlucht

Cybersecurity is van groot belang voor het MKB, maar blijft toch vaak achter bij investeringen. Toch zijn er simpele maatregelen die je als ondernemer kunt nemen. Zo voorkom je dat je bedrijf onverhoopt ten onder gaat aan cybercrime.

De grootste cyber-dreigingen voor het MKB zijn:

  • Ransomware
  • Phishing
  • Business Email Compromise

De belangrijkste maatregelen tegen deze aanvallen zijn zelfs voor de kleinste bedrijven haalbaar:

  • Bewustwording: als je een valkuil herkent, trap je er niet zomaar in.
  • Tweestapsverificatie: met alleen een gebruikersnaam en wachtwoord hebben cybercriminelen vrij spel.
  • Encryptie: wat criminelen niet in kunnen zien, kunnen ze ook niet verkopen of op internet publiceren.
  • Back-ups: met een back-up raak je nooit al je gegevens kwijt.
  • Mobiele beveiliging: we bewaren bijna ons hele leven in onze broekzak, dat blijft een risico.

Cybercriminaliteit is een serieuze business met een voorspelde wereldwijd kostenplaatje van 10 triljoen dollar in 2025. Dat is een getal met 12 nullen. Dat is veel meer dan er in de drugsindustrie wordt verdiend.

Er zijn veel vormen van cybercriminaliteit, maar ze hebben allemaal één ding gemeen: het gaat altijd om een digitale aanval. Dit kan datadiefstal zijn, maar bijvoorbeeld ook een phishing e-mail of business e-mail compromise (BEC). De impact van dit soort aanvallen varieert van downtime van je website tot serieuze financiële schade of zelfs reputatieschade.

Vooral voor bedrijven vormt cybercrime een groot probleem. Criminelen denken vaak flink wat geld te kunnen vangen door bedrijven aan te vallen, waardoor jouw business een groot risico loopt.

De eerste stap naar een veiliger internetleven voor jou én je bedrijf is educatie. Daarom leggen we hier de basis van internetcriminaliteit gericht op het MKB uit. Heb jij een klein of middelgroot bedrijf? Hier vind je alle informatie over cybersecurity die je nodig hebt en vind je verschillende manieren om je te beschermen tegen cybercrime.


De impact van internetcriminaliteit

Zak met geld en pijl naar beneden op ComputerschermCybercrime heeft vaak een grote nasleep. Wanneer gegevens zoals wachtwoorden of andere data eenmaal zijn gestolen, kunnen ze op het dark web worden doorverkocht. Zo word je meerdere keren slachtoffer van één en dezelfde misdaad. Dit kan uiteindelijk veel geld kosten, ook voor bedrijven.

Het Ponemon Institute publiceert jaarlijks een onderzoek over de kosten van cybercrime. In 2021 is de gemiddelde schade van een datalek in 2021 gestegen van 3,8 miljoen dollar naar ruim 4,8 miljoen dollar. Tijdens de coronacrisis is het aantal voorvallen ook explosief gestegen.

De kosten van internetcriminaliteit binnen het MKB

Cybercrime kost bedrijven binnen het MKB miljoenen euro’s. Dit is inclusief de kosten voor downtime, het herstellen of vervangen van systemen en het trainen van personeel na een aanval.

Dit zijn wereldwijde cijfers, maar dat betekent niet dat Nederlandse ondernemers veilig zijn. Uit onderzoek van het CBS blijkt dat ongeveer 60% van de bedrijven te maken krijgt met cybercrime. Eén op de vijf daarvan is daadwerkelijk slachtoffer. Jaarlijks loopt de Nederlandse economie naar schatting 8,8 miljard euro schade op.

Eén van deze Nederlandse slachtoffers is een sleutelspeciaalzaak. De eigenaar van deze zaak had zijn online systemen niet goed beveiligd. Hierdoor konden hackers gemakkelijk klantgegevens en sleutelcodes buitmaken. De politie ontdekte dat er veel inbraken waren op plekken die hun sloten bij deze zaak hadden aangeschaft en zo kwam de hack aan het licht. De zaak heeft zijn deuren uiteindelijk moeten sluiten.

Een paar simpele veiligheidsmaatregelen hadden dit kunnen voorkomen, maar dat advies kwam voor dit bedrijf te laat. Zo zie je maar dat geen enkel bedrijf veilig is.

Waarom is het MKB vaak slachtoffer van internetcriminaliteit?

Middelgrote en kleine bedrijven zijn vaak het doelwit van internetcriminelen. Dit komt omdat kleine en middelgrote bedrijven de perfecte ‘middenweg’ zijn tussen gemakkelijk en winstgevend. Ten eerste is de informatie die van bedrijven gestolen kan worden vaak meer waard dan die van losse personen; je hebt meteen hele databases aan persoonsgegevens en andere data die kunnen worden uitgebuit.

Aan de andere kant worden MKB’s door internetcriminelen ook wel gezien als ‘laaghangend fruit’. Dit komt doordat er binnen deze bedrijven vaak minder middelen zijn om in cybersecurity te investeren. Ook hebben bedrijven in het MKB vaak minder (goede) beveiligingsprotocollen waardoor de criminelen gemakkelijker hun slag kunnen slaan.


De meest voorkomende vormen van cybercrime binnen het MKB

Als je weet waar je voor op moet passen, kun je jezelf beter beschermen. Dat is ook zo bij cybercrime. Er worden steeds nieuwe vormen van cybercrime ontdekt. Elke seconde zijn criminelen op zoek naar nieuwe manieren om belangrijke gegevens van bedrijven en personen te ontfutselen.

Dit betekent dat het heel lastig is om je hier als bedrijf tegen te wapenen. Toch zijn er een paar vormen van cybercrime die erg effectief blijken en daardoor in overmaat gebruikt worden. Wij zetten de meest voorkomende varianten van cybercrime binnen het MKB voor je op een rijtje.

Ransomware

Ransomware is het meest gevreesde type cybercrime. Als je apparaat geïnfecteerd raakt met ransomware, worden al je lokaal opgeslagen bestanden, de bestanden in het netwerk en soms zelfs je bestanden in de cloud gecodeerd door het frauduleuze programma. Al je data is dan als het ware ‘gegijzeld’.

Eenmaal versleuteld, verschijnt er een waarschuwingsbericht op je computerscherm waarin staat dat je binnen X dagen een bedrag aan de hacker moet betalen. Doe je dat, dan krijg je de speciale sleutel om de bestanden te decoderen. Omdat we hier te maken hebben met criminelen, is de kans groot dat je de sleutel niet krijgt, zelfs als je betaalt.

Ransomware slaat voor bedrijven vaak in als een bom: ze kunnen niet verder met hun dagelijkse werkzaamheden, omdat alles door de software gegijzeld wordt. Dit kost ontzettend veel geld, waardoor een groot deel (1 op de 5) van de bedrijven uiteindelijk failliet gaat.

Onderzoek wijst uit dat er elke 11 seconden een nieuwe ransomware-aanval op een bedrijf plaatsvindt. Ook de allergrootste bedrijven zijn niet veilig, zoals we eind 2021 bij Mediamarkt hebben gezien. Hoewel grote bedrijven beter beschermd zijn, zijn ze ook een groter doelwit. Wel zien we nog vaak dat de manieren van inbreken dezelfde zijn als bij het MKB.

Phishing

Vishaak door browserwindow met wachtwoordDe meeste cybercrime-technieken maken misbruik van ons natuurlijke gedrag als mens. Phishing is veruit het meest populaire voorbeeld hiervan. Hierbij gebruiken criminelen e-mails en speciale links om computers te hacken of te infecteren met malware. Zo jagen ze op logingegevens, gevoelige bedrijfsinformatie of zelfs informatie over de accounts van klanten.

Phishing gebeurt vooral via e-mail, maar komt ook telefonisch (Vishing) of via sms (SMShing) voor. In principe is ieder apparaat binnen je bedrijfsnetwerk gevoelig voor phishing, zolang het door een mens bestuurd wordt.

In 2021 heeft 76% van de bedrijven wereldwijd te maken gehad met een phishing-aanval. Voorbeelden van phishing zijn e-mails die zogenaamd van je bank afkomen en je vragen via een bijgesloten link een nieuw wachtwoord in te stellen. Ook e-mails en berichten waarin men zich voordoet als een veelgebruikte dienst of een van je klanten met een link naar een externe website komen vaak voor. Zodra je op deze links klikt (of een bestand downloadt) wordt er allerlei spyware en malware op je computer geïnstalleerd. Dit kan vervolgens het hele bedrijfsnetwerk besmetten.

Tijdens corona werken veel mensen thuis. Hierdoor is phishing nog populairder dan voorheen, omdat het voor bedrijven minder opvalt als er iemand van buiten het bedrijfsnetwerk op een account inlogt. Criminelen zijn dan ook zeer geïnteresseerd in de inloggegevens van medewerkers en bedrijfs-VPN’s. Deze toegang kunnen ze vervolgens misbruiken of doorverkopen aan bijvoorbeeld ransomware-bendes die toegang tot bedrijfsnetwerken inkopen.

Business E-mail Compromise

Business Email Compromise fraude (BEC-fraude) is nog een vorm van oplichterij die misbruik maakt van natuurlijk menselijk gedrag. Het doel is om een werknemer (vaak iemand die lager op de hiërarchische ladder zit) grote sommen geld over te laten maken naar de bankrekening van de cybercrimineel. Dit krijgen aanvallers voor elkaar door zich voor te doen als senior-manager. Ze gebruiken hiervoor vaak eerst phishing e-mails om toegang te krijgen tot de e-mailbox(en) en agenda(‘s) van de persoon die ze proberen te imiteren. Hierdoor kunnen ze belangrijke informatie over hun slachtoffers verzamelen.

Wanneer de tijd rijp is, sturen ze een e-mail vanuit het account van de senior medewerker of spoofen ze een e-mailadres. In dat laatste geval creëren ze een e-mailadres dat sterk lijkt op het origineel. Dus in plaats van [email protected] zou de aanvaller bijvoorbeeld [email protected] kunnen gebruiken. Veel mensen merken het verschil in e-mailadres niet op en geloven direct dat het een echt verzoek is van een senior-manager binnen het bedrijf.

Om het slachtoffer verder onder druk te zetten, gebruiken aanvallers vaak urgente taal: “Dit bedrag MOET vóór 12.00 uur worden overgemaakt of het bedrijf verliest een groot contract!” Daar wil je als medewerker natuurlijk niet verantwoordelijk voor zijn, dus maak je het geld zonder al te veel vragen over. Volgens de FBI hebben criminelen alleen al in 2020 1,8 miljard dollar door middel van BEC-fraude.


5 manieren om jouw bedrijf te beschermen

Technologie ontwikkelt zich ontzettend snel. Hierdoor lijkt het misschien alsof vechten tegen cybercrime dweilen met de kraan open is. Toch zijn er een aantal simpele maatregelen die je kunt nemen op het gebied van cybersecurity. Hierdoor verminder je de kans op en de impact van een cyberaanval aanzienlijk.

Bewustwording

De eerste stap is om iedereen binnen het bedrijf bewust te maken van internetcriminaliteit en de gevaren hiervan. Deel informatie over dit onderwerp, bespreek voorbeelden van phishing e-mails en verspreid een checklist met punten waaraan je phishing kunt herkennen. Spoor medewerkers ook aan om bij twijfel een collega te vragen mee te kijken. Maak je medewerkers dus bewust van de meest veelvoorkomende cyber-valkuilen.

Daarnaast kun je als bedrijf een cybersecurity-seminar aan je medewerkers aanbieden en extra aandacht besteden aan veilig thuiswerken. Als je kunt voorkomen dat jij of je medewerkers in social engineering-trucs trappen, dan scheelt dit al 40-60% van de gevallen waarbij criminelen via een onoplettende medewerker binnen weten te komen.

Geavanceerde authenticatie

Twee-Staps-VerificiatieJe hebt misschien weleens gehoord van tweestapsverificatie (2FA) en de voordelen ervan. Bij tweestapsverificatie moet je twee stappen doorlopen vóór je kunt inloggen in je account. Eerst voer je je wachtwoord in. Daarna krijg je bijvoorbeeld een code op je mobiele telefoon die je moet invoeren om in te kunnen loggen.

Deze technologie is niet perfect, maar zorgt er wel voor dat logingegevens minder gemakkelijk kunnen worden misbruikt. Zelfs als het wachtwoord in handen van een crimineel komt, hebben ze nog altijd de tweede code nodig om in te loggen. Daarom is het handig om hier binnen je bedrijf gebruik van te maken. Vooral voor medewerkers met betaalbevoegdheid of accounts met meer rechten zou 2FA eigenlijk een verplichting moeten zijn.

Back-ups

Ransomware zorgt ervoor dat je jouw documenten en bestanden niet meer kunt gebruiken. Je kunt de impact van dit soort aanvallen verkleinen door regelmatig een back-up van alle bedrijfsbestanden te maken.

Zorg er wel voor dat je een extern back-up systeem gebruikt. Wanneer deze verbonden is met je netwerk, kan de back-up namelijk ook geïnfecteerd raken met ransomware. Tijdens een aanval heb je hier dan niets aan. Bedrijven met veilige back-ups kunnen na een ransomware-aanval sneller weer aan de slag. Ze pakken simpelweg hun meest recente back-up en gaan met die bestanden weer aan het werk.

Encryptie

Laptop met SlotVersleuteling is het paradepaardje van de ransomware-crimineel, maar gelukkig kun jij het ook gebruiken om jezelf en je bedrijf beter te beschermen. Je kunt ervoor kiezen belangrijke data binnen je bedrijf te versleutelen. Ook wachtwoorden en andere gevoelige data kun je beter alleen gecodeerd verzenden. Zo kan deze data niet worden misbruikt als het onderschept wordt.

Versleuteling is belangrijk voor het opslaan van gevoelige informatie en persoonlijke gegevens op databases en op harde schijven, zoals die van een laptop. Zelfs bij een ransomware-aanval komt het van pas, want ze kunnen jouw data nog wel versleutelen, maar niet inzien en op het dark web te koop zetten. Zo ben je zowel tegen online diefstal als fysieke diefstal beschermd.

Het gebruik van encryptie en digitale certificaten kan ook op het web helpen. Het is altijd verstandig om online alleen data te verzenden wanneer er ‘https’ in de URL van de website staat. Dit betekent over het algemeen dat gegevens, zoals persoonlijke gegevens of wachtwoorden, veilig worden verzonden. Er zijn natuurlijk uitzonderingen. Sommige spoofwebsites maken gebruikers wijs dat hun website veilig is door HTTPS te gebruiken. Check dus altijd de URL om te kijken of je wel op de juiste, legitieme website bent.

Een VPN versleutelt je dataverkeer ook. Dit geeft meer zekerheid dan enkel het gebruik van HTTPS. Zo ben je online beveiligd tegen malware en diefstal. Bovendien kunnen je werknemers met een VPN ook vanuit thuis of andere locaties toegang krijgen tot het bedrijfsnetwerk, wat in veel situaties erg handig kan zijn.

Smartphone beveiliging

Jij bent niet de enige die gek is op je smartphone. Ook internetcriminelen zijn fan van deze kleine kastjes waar we ons hele leven op bewaren. Smartphones zijn vaak een kwetsbare schakel in de cybersecurity van een bedrijf. Ransomware wordt de laatste tijd ook veel op mobiele telefoons geïnstalleerd. Je telefoon wordt dan vergrendeld tot je een betaling doet.

Ook gangbaar zijn trojan horses die een zeer overtuigend loginscherm presenteren en jouw inloggegevens zo in real-time stelen. Uit een rapport van Verizon in 2018 bleek dat 85 procent van de organisaties van mening is dat mobiele telefoons een risico vormen voor hun bedrijf.

Een optie om je bedrijfsnetwerk te beveiligen tegen de kwetsbaarheden van smartphones is door een aparte (virtuele) LAN-omgeving te maken voor smartphones. Gelukkig kun je ook je mobiel beveiligen. Opnieuw is een VPN een goede oplossing. Daarnaast is het belangrijk het besturingssysteem up-to-date te houden en een goed wachtwoord of goede code te gebruiken. Vergeet deze tips niet door te spelen aan je medewerkers, zodat ook zij zich bewust zijn van de gevaren van cybercrime voor hun smartphones.


Bewustwording van cybersecurity is het halve werk

Cybercriminaliteit is een groeiend probleem, maar het is niet onoverkomelijk. Middelgrote tot kleine bedrijven zijn vaak het slachtoffer van online aanvallen. Daarom is het belangrijk om te zorgen voor goede bescherming. Ga er vooral niet vanuit dat jouw bedrijf geen doelwit zal zijn omdat je niet zo’n grote speler bent. Cybercriminelen willen enkel geld, en de grootte van het bedrijf speelt daar geen rol in. Alleen de kans dat het ze wat oplevert is belangrijk.

Wees je dus bewust van de gevaren en praat hierover met iedereen binnen het bedrijf. Maak back-ups en beveilig je gegevens. Gebruik tweestapsverificatie en vergeet ook je smartphone niet te beveiligen. Zo kan ook het MKB zich beschermen tegen internetcriminaliteit.

Cybersecurity analist
David is een cybersecurity-analist en een van de oprichters van VPNgids.nl. Sinds 2014 heeft hij internationale ervaring opgedaan in het werken met overheden, NGO's en de private sector als cybersecurity- en VPN-expert en adviseur. Meer over David.
Plaats een reactie
Een reactie plaatsen