cyberrisico Marit — Veelgestelde vragen over cyberrisico’s van morgen

"Wat betekenen alle ontwikkelingen in cybercriminaliteit voor een mkb-bedrijf?"

FAQ Cyberrisico's van morgen

Cyberrisico's van morgen

Cybersecurity 10 dec 2020 5 minuten

Veelgestelde vragen

Krijgen we cybercrime ooit onder controle?

Het is complex, maar zeker mogelijk. Dat we méér moeten doen tegen cybercrime blijkt wel uit de cijfers. Want digitale misdaad groeit nog steeds. Sommige bedrijven kampen dagelijks met tientallen of zelfs honderden aanvallen. Als ze hun preventie goed op orde hebben, kunnen ze elke aanval afslaan. De vraag is dus eigenlijk: hóé krijgen we cybercrime onder de duim? Zolang bedrijven niet opletten, kunnen internetcriminelen hun gang gaan.
Misdaad loont alleen als de inspanning kleiner is dan de opbrengst. Concrete maatregelen minimaliseren de kans op een hack. Een sterke, dagelijks onderhouden firewall is een absolute must. Maar vergeet vooral het belang van goede back-ups niet. Voor als het toch een keer misgaat. Dan is uw relatie tenminste snel weer in business.
Neem bijvoorbeeld de populaire gijzelingssoftware. Hierbij versleutelen criminelen computerbestanden. Die blokkering wordt opgeheven indien ‘losgeld’ wordt betaald. Veel bedrijven geven daar gehoor aan. Maar wat als het bedrijf van uw relatie een dagelijkse back-up heeft? Dan heeft zo’n digitale gijzelingsactie niet veel zin. Want dan kan uw relatie alsnog bij zijn gegevens.

Wat is het belangrijkste wapen van cybercriminelen?

Cybercriminelen spelen in op angst. Bijvoorbeeld de angst om niet snel genoeg gehoor te geven aan een leidinggevende. CEO-fraude is daarop gebaseerd. Een medewerker krijgt een e-mail van de baas dat er met spoed geld moet worden overgemaakt naar een te vertrouwen bedrijf. Bedrag en rekeningnummer staan er al bij. Of de medewerker dit even snel kan overboeken. Maar in werkelijkheid is de e-mail niet van de baas. En het rekeningnummer natuurlijk van de crimineel. Bioscoopketen Pathé verloor zo miljoenen euro’s door CEO-fraude. Een ander voorbeeld is de schrik als een bank e-mailt dat ze een account gaat sluiten. Veel mensen klikken op de bijbehorende link, waarmee criminelen toegang krijgen tot hun systeem.

Als iedereen toch last krijgt van cybercrime, heeft preventie dan nog wel zin?

Jazeker, preventie is het beste wapen in de strijd tegen hackers. Niet iedereen die ermee te maken krijgt wordt ook slachtoffer. En dat verschil zit hem in preventie. Als financieel adviseur kunt u zich daarmee onderscheiden. Dat begint met informatie. Met bewustwording. Zodra u het gesprek over cyber aangaat, zet u de eerste, belangrijke stap. Door de rol als bewaker van de bedrijfscontinuïteit naar u toe te trekken. Een gijzeling met ransomware kan een bedrijf immers dagen platleggen. Ga met de relatie om tafel. Bespreek wat de ondernemer al heeft geregeld. En wat er nog gedaan moet worden. Voorkomen is immers beter dan genezen. Want als het om cybercrime gaat, is genezen helaas maar al te vaak geen optie.

Moet een bedrijf altijd aangifte doen van cybercrime?

Aangifte doen is absoluut noodzakelijk. Ten eerste voor de opsporing. Hoe klein de pakkans ook is, uiteindelijk lopen zelfs cybercriminelen een keer tegen de lamp. Maar ook omdat de politie ermee geholpen is. Die verzamelt alle bruikbare aangiften om patronen te herkennen. Om zo, in samenwerking met beveiligingsexperts, oplossingen te verzinnen. Een voorbeeld daarvan is het project Nomoreransom.org (no more ransom). Een nuttig initiatief van opsporingsdiensten en IT-bedrijven. Op de site zijn sleutels voor gegijzelde gegevens te vinden. Geen overbodige luxe, want iedereen die de weg weet kan ransomware-software bestellen via het dark web. Met zo’n goedkoop pakketje legde een 18-jarige jongen uit Oosterhout vorig jaar de Belastingdienst plat. En niet te vergeten: ook de verzekeraar wil natuurlijk dat er aangifte is gedaan als uw relatie zich op de dekking wil beroepen.

Kan mijn relatie te maken krijgen met bedrijfsspionage?

Reken maar! Waarschijnlijk niet direct, maar zeker indirect. Dataminers behoren tot de slimste jongetjes van de klas. Ze ‘delven’ naar data, hoe meer hoe beter. En tussen al die gegevens leggen ze verbanden. Dat gebeurt op de marketingafdeling van grote bedrijven, maar ook in het criminele circuit. U kunt zich vast voorstellen dat wachtwoorden van medewerkers van grote technologiebedrijven een hoop geld waard zijn. Die zijn dan ook optimaal beveiligd. Maar die medewerkers kopen ook weleens iets online, maken een kappersafspraak of loggen om andere redenen in op de website van een lokaal bedrijf. Als ze daarbij hetzelfde wachtwoord gebruiken als op hun werk, dan heeft een dataminer een geweldige dag. Voor hen heeft elk willekeurig bestand waarde, ook de bestanden van uw relatie. Door zoveel mogelijk data aan elkaar te koppelen, kunnen ze complete profielen samenstellen van soms wel miljoenen nietsvermoedende mensen. En die profielen verkopen ze door. Aan hackers, maar ook aan criminelen die zich bezighouden met identiteitsfraude. Zo is het mogelijk dat het hacken van een vooraanstaande multinational begint met een databestand afkomstig van uw relatie.

Gaat er door cybercrime veel veranderen voor ondernemers?

Nogal, ja. De overheid legt steeds nadrukkelijker verantwoordelijkheid bij ondernemers. De AVG is daar een voorbeeld van. En er zal meer wetgeving aankomen. Lastig? Ja, maar het is zeker niet bedoeld om ondernemers dwars te zitten. In de strijd tegen cybercrime moet alles uit de kast worden gehaald. Want criminaliteit bestrijden is niet alleen een taak van de overheid.
Een stomerij die ’s avonds nooit zijn winkel afsluit, vraagt erom te worden bestolen. En als de dieven naast de kassa ook nog de maatpakken en galajurken van stomerijklanten meenemen? Dan heeft die ondernemer pas echt een probleem. Onverantwoorde bedrijfsvoering, zeggen we dan. Daar is iedereen het over eens. En die gedachte wordt in de wereld van cyber ook steeds meer omarmd. Zo werkt het namelijk ook met persoonsgegevens. Net als de maatpakken in de stomerij zijn de gegevens eigendom van de klant, niet van de ondernemer. En justitie stelt zich op het standpunt dat de ondernemer zich extra moet inspannen om die gegevens te beschermen.
Een voorbeeld. Een casino werd gehackt via de temperatuursensor van een aquarium. Die was aan het draadloze netwerk van het casino gekoppeld. Een apparaat dat vrij makkelijk te kraken was. Zo lukte het de hackers om bij de klantgegevens van het casino te komen. Met alle gevolgen van dien. In Europa kan de ondernemer aansprakelijk worden gesteld voor de schade. En een standaard aansprakelijkheidsverzekering voor bedrijven biedt geen dekking in het kader van AVG. Adviseer uw relatie daarom goed over degelijke preventie. En natuurlijk over de juiste verzekering.

Wat betekenen alle ontwikkelingen in cybercriminaliteit voor mijn relatie?

Veel, maar wat? Dat is verschillend. Voor een aannemer is continuïteit belangrijk. En een webwinkel heeft vooral te maken met vertrouwen en integriteit. Waar de een zijn systeem nodig heeft om personeel in te roosteren en projecten uit te voeren, moet de ander de privacy van zijn klanten kunnen garanderen. De overheid wil een zogenaamd veilig digitaal domein creëren. Om tegen cybercrime te kunnen optreden, is een integrale en toekomstgerichte aanpak nodig. Ondernemers in alle branches worden daarom steeds meer verantwoordelijk gemaakt voor beveiliging van hun digitale gegevens. Uw relatie moet dus zorgen voor beschikbaarheid, integriteit en vertrouwelijkheid.

Daarnaast gaat cybercrime niet meer alleen om diefstal van gegevens. Een steeds populairder verdienmodel is digitale afpersing. Naast dreigingen zoals ransomware zijn er steeds vaker voorbeelden in het nieuws over DDoS-aanvallen, waarbij het netwerk van een ondernemer wordt platgelegd door het te overbelasten. Dat gebeurt met zogenaamde botnets. Verzamelingen van honderdduizenden computers die allemaal tegelijk – soms wel dagenlang – willekeurige informatie opvragen van een server. U kunt het vergelijken met een bakker, die op een ochtend duizenden klanten voor zijn winkel heeft staan. Een voor een komen ze aan de toonbank en vragen dan om producten die een bakker niet verkoopt. De paar echte klanten die ertussen staan, moeten uren wachten op hun beurt. Natuurlijk haken die af en halen hun brood voor een keertje in de supermarkt. Maar als dat een week duurt? Hoeveel partijen brood kan de bakker onverkocht weggooien voor een faillissement in zicht komt? DDoS aanvallen zijn aan de orde van de dag. Vaak worden aanzienlijke sommen geld betaald om ervan af te komen. Alleen de reputatieschade is al enorm.

Wat kan ik als adviseur betekenen voor mijn relatie?

U kunt het verschil zijn tussen groeien en failliet gaan. Want het begint allemaal bij u. Bewustwording, informatieverstrekking en inzicht in concrete risico’s en tegenmaatregelen. U kent uw relaties, u weet uit welke hoek de bedreigingen komen. En wat de gevolgen kunnen zijn. Als adviseur bent u voor uw relaties de rots in de cyberbranding. Maar hoe dan? U weet inmiddels al veel meer dan u denkt. Heeft u in deze FAQ al feiten gelezen waar u nog nooit van had gehoord? Dan weet u waarschijnlijk wel waar u de antwoorden kunt vinden. Met andere woorden: u bent allang geen beginneling meer als het om cyber gaat. En daarom bent u de ideale sparringpartner voor uw relatie.

Als adviseur heeft u bovendien toegang tot uitgebreide documentatie over cybercriminaliteit. En tot gerichte opleidingen en trainingen die u in staat stellen uw relaties te adviseren. Hoe kunt u bedrijven aanzetten tot het back-uppen van hun systemen? En ervoor zorgen dat iedereen grondige securitymaatregelen neemt? Dat lukt alleen als u uw relaties ervan overtuigt dat niemand, ook zij niet, daar meer onderuit komt.