'Onderschat nooit het gevaar van cybercriminaliteit!'
18 december 2023Geschreven door: INTO Business Zoetermeer.
Hoewel de meeste ondernemers zich wel degelijk bewust zijn van de gevaren van cybercriminaliteit in het algemeen, blijken ze zich er in veel gevallen toch nog te weinig tegen te beschermen. “Het lijkt erop dat ondernemers de risico’s van cybercriminaliteit vaak niet op hun eigen situatie betrekken. Dat is ten onrechte. Cybersecurity verdient de alertheid van íedere ondernemer. Continu!”
“Er moet echt meer gebeuren dan een sterk wachtwoord, veilige instellingen en het up-to- date houden van de software, al blijkt zelfs dat niet altijd het geval”, weet Rutger Leukfeldt, directeur van het kenniscentrum Cyber Security van De Haagse Hogeschool en lector van het lectoraat Cybercrime & Cybersecurity. “We zijn in 2017, op nadrukkelijk verzoek van onder andere de gemeente Zoetermeer en met ondersteuning van MKB-Nederland, gestart met het lectoraat, omdat door de digitalisering bij MKB-bedrijven de afhankelijkheid van IT-systemen enorm is toegenomen. Uit een 0-meting bleek dat toen al 1 op de 5 bedrijven slachtoffer was geworden van een cyberaanval met financiële schade tot gevolg. MKB-ondernemers bleken vaak te denken dat criminelen zich richten op grote bedrijven, dat zij niet zoveel risico lopen, omdat er bij hen toch ‘niets te halen’ valt. Maar vergis je niet: ook als je bedrijf een dag plat ligt door een cyberaanval heb je aanzienlijke schade.”
Schieten met hagel
“Cybercriminelen ‘schieten met hagel’”, weet Rutger. “Ze proberen overal ‘binnen’ te komen, niemand is ‘veilig’. Pas als ze ergens ‘binnen’ zijn, kijken ze of er iets te halen valt. Zo niet, dan richten ze zich op het volgende slachtoffer. Maar ondertussen ben je dan wel gehackt, met alle gevolgen van dien.”
“Om cybercriminaliteit terug te dringen, moeten we niet alleen de daders dwarsbomen en de bestrijding van cybercriminaliteit verbeteren, maar ook de mogelijkheden/kansen voor cybercriminaliteit beperken door ondernemers (en burgers) cyberweerbaar te maken”, legt Susanne van ’t Hoff-de Goede uit. Susanne is senior onderzoeker bij het lectoraat Cybercrime & Cybersecurity. “Uit onderzoek is gebleken dat bij ondernemers de kennis over cybercriminaliteit in de afgelopen jaren sterk is toegenomen. Met de ‘awareness’ zit het vaak wel goed. Ondanks die ‘awareness’ blijkt gedragsverandering echter veelal achterwege te blijven. Er is sprake van een ‘optimism bias’: een onrealistisch optimisme waardoor men gelooft zelf minder snel slachtoffer te worden van cybercriminaliteit.”
IT versus cybersecurity
“En als ondernemers het gevaar van cybercriminaliteit wél op zichzelf betrekken, denken ze helaas te vaak te gemakkelijk dat er op het gebied van cybersecurity voldoende maatregelen getroffen zijn”, vervolgt Susanne. “Ik wil benadrukken dat cybersecurity niet ‘afgevinkt’ kan worden. Het verdient continu aandacht.
Ondernemers moeten zich ook realiseren dat IT en cybersecurity niet hetzelfde zijn. Als een bedrijf de IT goed op orde heeft, zegt dat helaas nog niets over de veiligheid ervan. Het goede nieuws is dat je als ondernemer eigenlijk heel gemakkelijk met je cybersecurity aan de slag kunt. En dat er ook verschillende mogelijkheden zijn om daar de studenten van De Haagse Hogeschool bij in te schakelen. Toch moet iedere ondernemer zelf de eerste stappen zetten:
- Realiseer je dat iedereen risico loopt om slachtoffer te worden van cybercriminaliteit. De cijfers liegen er dus niet om: een op de vijf ondernemers heeft er mee te maken gehad, soms met vergaande gevolgen.
- Ga na wat er binnen jouw bedrijf gebeurt/ geleverd wordt op het gebied van Denk niet te gemakkelijk dat alles wel goed geregeld zal zijn, omdat je de IT hebt uitbesteed aan een professionele partij. Je moet er niet aan denken dat je gehackt wordt en er dan geen back-up-bestanden blijken te zijn, omdat daar nooit expliciet over gesproken is. Het zou niet de eerste keer zijn.
- Breng in kaart wat er (nog) zou moeten gebeuren op het gebied van cybersecurity. Doe hiervoor bijvoorbeeld een van de laagdrempelige (en gratis) ‘checks’ die hiervoor worden aangeboden door de overheid of
door MKB-Nederland (online). Kijk wat nodig is en vergelijk dit met wat er eventueel al gebeurt, zodat je weet welke acties nog ondernomen moeten worden. De check kun je ook laten uitvoeren worden door een hierin gespecialiseerd bedrijf.”
Inventariseer je kwetsbaarheid op een A4’tje
“Op de website van Digital Trust Center van het ministerie van Economische Zaken vind je de vijf basisprincipes van veilig digitaal ondernemen. Die basisprincipes zijn opgesteld om ondernemers te helpen met de basisbeveiliging. Ondernemers die deze basisprincipes opvolgen, vergroten hun weerbaarheid tegen cyberrisico's die de bedrijfsvoering kunnen verstoren”, aldus Rutger. “Ik adviseer ondernemers om eens hun bedrijfsproces van A tot Z uit te tekenen op een A4’tje en daarbij aan te geven waar in dit proces IT een rol speelt.
Vraag je voor al die punten af hoe erg het is als je daar slachtoffer wordt van cybercriminaliteit. Je weet dan wat de risicovolste plekken zijn en die moet je beschermen. Onderneem daarna de benodigde actie! Of laat actie ondernemen door een specialist.”
Als Zoetermeerse ondernemer kun je daarbij de hulp van studenten uit de Dutch Innovation Factory inschakelen, bijvoorbeeld van de hbo-opleiding Information Security Management.
De specialisten van morgen
Bij de verschillende IT-opleidingen die door De Haagse Hogeschool en mboRijnland in DutchInnovation Factory worden aangeboden, worden studenten klaargestoomd voor een toekomst in de IT. “Onze studenten zijn de specialisten van morgen. Ze hebben weliswaar hun diploma nog niet behaald, maar ze hebben al meer kennis van IT en cybersecurity dan menig ondernemer in een andere branche. Ieder studiejaar voeren de studenten kleinere of grotere opdrachten uit in de dagelijkse praktijk van het bedrijfsleven.
We zijn als opleidingsinstituut altijd op zoek naar dit soort opdrachten en weten uit ervaring dat de studenten ondernemers uitstekend van dienst kunnen zijn bij veel automatiseringsvraagstukken, ook op het gebied van cybersecurity”, vertelt Sebastiaan Rieter. Hij is docent HBO-ICT bij De Haagse Hogeschool, locatie Dutch Innovation Factory, en verantwoordelijk voor het leggen van verbindingen tussen het onderwijs/de leerlingen en de zogenoemde ‘labs’, waar studenten zich bezighouden met de techniek van vandaag en morgen. “In onze ‘labs’ snijdt het mes aan twee kanten: bedrijven profiteren van de knowhow van de studenten en studenten leren van échte praktijkopdrachten en maken kennis met hun toekomstige werkveld. De opdrachten zijn heel gevarieerd en De Haagse Hogeschool denkt graag met de bedrijven mee hoe een opdracht zinvol kan worden ingevuld.”
Human factor in cybersecurity
“Als je het hebt over cybersecurity, dan zijn mensen geneigd om alleen aan de techniek te denken. Er is echter áltijd ook de menselijke factor die een rol speelt. Besef dat de techniek ‘op orde’ hebben (en houden!) niet voldoende is. Ook alle medewerkers moeten cybersecurity-bewust zijn. Zorg ervoor dat de cultuur binnen je bedrijf zo open is, dat medewerkers het je direct komen melden als er een hack is, zodat je direct alles in het werk kunt stellen om de schade te beperken”, besluit Rutger. Susanne vult aan: “Cybersecurity moet net zo ‘gewoon’ zijn als brandveiligheid en BHV. Mijn advies aan ondernemers is: stel een noodplan op voor wanneer alles uitvalt. Wat doe je dan? Waar staan je back-ups? Hoe kun je daar bij? En betrek bij het opstellen van dit noodplan niet alleen de IT-mensen, maar álle medewerkers: wat hebben zij nodig als het noodplan in werking moet treden?”
Daar sluit Sebastiaan nog graag op aan: “Als onderdeel van het Information Security Management-onderwijs kunnen studenten in opdracht van een bedrijf een ethische hack of zogenoemde ‘social engineering’-aanvallen uitvoeren, waarbij bepaald gedrag wordt uitgelokt. Zo wordt duidelijk of je systeem waterdicht is, of je als bedrijf zowel de techniek als de protocollen op orde hebt. Zo’n test is spannend, maar ook heel leerzaam. Zeker niet alleen voor de studenten!” Wil je samenwerken met studenten aan digitaliseringsvraagstukken? Meld je dan aan via: www.mkbdigiwerkplaats.nl/projecten. Wil je samenwerken aan challenges met HBO-ICT- studenten, meld je dan aan via: h.soekhai@hhs.nl.
Een challenge kan een innovatieve, multidisci- plinair(e) opdracht of project zijn waar studenten (minimaal) een semester hun volle aandacht aan geven: een product of te bouwen prototype, een onderzoek of een experiment. De inhoud van de challenge kan een specifieke focus hebben, maar mag ook uit meerdere elementen bestaan, zoals business, data, software en/of security.
Lees hier het hele magazine Winter 2023: lees hier.