11 okt
Voor wie dacht dat oktober alleen de stoppen-met-roken-maand is: deze maand is European Cyber Security Month. In Nederland vinden verschillende activiteiten plaats onder de vlag Alert Online (www.alertonline.nl; overigens is dat een aardige, laagdrempelige website om eens door te struinen voor wie geïnteresseerd is in het onderwerp).
In het kader van Alert Online heb ik op 3 oktober samen met NextTech Security en Isatis CyberSoft een presentatie gehouden in het stadion van FC Den Bosch. In de zaal een gemêleerd publiek, met ondernemers en adviseurs. Mijn presentatie vanuit ThreadStone had vooral als doel om de aanwezigen bewust te maken waar het om gaat bij cyberweerbaarheid binnen het MKB.
Checklists: vooral techniek
Elke ondernemer die een beetje slim googelt, vindt hiervoor zo allerhande checklists op internet. Het Digital Trust Center van onze overheid heeft bijvoorbeeld een checklist met 5 hoofdpunten. Nuttig, dat zeker. Maar wat ons opvalt is dat ook hier de aandacht voor techniek de boventoon voert. Waarmee cyberweerbaarheid vooral het feestje (als alles goed gaat) en in ieder geval de verantwoordelijkheid lijkt te zijn van IT-afdelingen en/of -adviseurs.
In onze optiek moeten we veel breder gaan kijken, zoals we ook al bepleitten in onze reactie op de CBS Cybersecuritymonitor 2019.
Meer inzicht
Want het gaat niet alleen om een goede virusscanner. Om het versterken van je firewall. Om het dichten van mogelijke gaten in je VPN. Het gaat er juist in het MKB om dat er inzicht is. Bij het management en bij medewerkers. Inzicht in: wat zijn de dreigingen dan voor ons netwerk (en eh… hoe ziet ons netwerk er nu eigenlijk precies uit)? Waarin zou voor ons de pijn kunnen zitten? Wat kan ik zelf doen om ons bedrijf beter te beschermen?
Op de website van Alert Online staat een filmpje dat treffend duidelijk maakt wat ik bedoel. Hierin komt de eigenaar van een autobedrijf aan het woord, dat in april van dit jaar slachtoffer is geworden van een ransomware-aanval. In de video legt hij open en eerlijk uit wat dit hem en zijn bedrijf heeft gekost. Inmiddels is die schade, zo weten wij, al opgelopen tot 60 duizend euro. Wat betekent dat deze ondernemer zich afvraagt of hij niet voordeliger uit was geweest als hij de afpersers de gevraagde 6.000 dollar had betaald… (De verstandigste keuze is om dat nooit te doen: je houdt er het criminele systeem mee in stand én je weet niet of het bij die eerste losgeldsom blijft.)
Bekijk hier de video: https://www.alertonline.nl/nieuws/2019/ransomware-slachtoffer-schoolderman-speelt-open-kaart
In onze praktijk zien wij regelmatig dezelfde dingen terugkomen, als het gaat om cyberweerbaarheid van het MKB. We publiceerden onze top 3 in een persbericht, waar ook het ontbreken van een goede back-up in staat. Uit onze top 3 blijkt dat juist de mens meestal de zwakste schakel is. Dat begint al bij het (ontbrekende) bewustzijn van het belang van cyberweerbaarheid.
De moraal van mijn oktoberverhaal: cyberweerbaarheid van het MKB is belangrijk. Want de formule is simpel:
een groeiende kans X forse financiële en operationele impact = een niet te onderschatten risico.
De afdekking van dat risico hoort niet alleen bij een IT-adviseur te liggen. En dat kunnen de 1,7 miljoen MKB-bedrijven die ons land rijk is, zich beter bij voorbaat realiseren dan wanneer zij de pijn daadwerkelijk gaan voelen.