Sleutel tot veiligheid: een dag van een cybersecurityexpert

Wie heeft er tegenwoordig nog een plakkertje met wachtwoorden aan het scherm hangen? Te veel mensen, zo ziet René van Etten, oprichter en CEO van ThreadStone Cyber Security. Gelukkig zijn MKB-bedrijven zich steeds bewuster van het belang van informatiebeveiliging. Maar het moet beter. En daar helpt René graag aan mee…

Pas op voor broodjeaapverhalen

Zo’n nulmeting is best spannend, en belangrijk, omdat het direct duidelijk is waar en bedrijf staat met de digitale beveiliging. Soms is de uitkomst best schokkend. Ondernemers denken vaak dat ze niet interessant zijn voor cybercriminelen. Dat cybersecurity iets is voor de IT-afdeling of dat ze veilig zijn omdat ze een Mac van Apple gebruiken. Dit zijn allemaal broodjeaapverhalen. We stellen veel verdiepende vragen en gaan actief op zoek naar kwetsbaarheden. Ik herhaal vaak: ‘Denk niet dat het jou niet zal overkomen.’ Dat zeg ik ook tegen deze ondernemer. ‘Je doet toch ook je voordeur op slot?’ 

Netwerksystemen zijn net als het huis

Ik vind de vergelijking met een huis altijd heel verhelderend. Vroeger had je alleen een simpel slot op je deur, daarna kwamen alarmsystemen en camera’s, hekwerken en zelfs een herdershond. Maar voor de IT-omgeving van veel organisaties geldt: er hangt vaak nog een touwtje uit de brievenbus om binnen te komen. Veel IT-partijen missen de gespecialiseerde kennis van cybersecurity. Bij deze ondernemer zit het technisch gelukkig wel goed. Maar er is wel iets anders aan de hand. Informatiebeveiliging gaat namelijk niet alleen om techniek, maar óók om beleid en bewustzijn. 

20% tot 30% van medewerkers trapt in phishingtest

We doen veel om ondernemers te ondersteunen op het gebied van cybersecurity. Een phishingcampagne uitsturen, bijvoorbeeld. Soms gaan we zelfs fysiek langs bij bedrijven als mystery guest. Dan kijken we of we kunnen binnendringen en ergens achter een pc kunnen plaatsnemen. Dat lukt vaker dan je denkt. Bij deze ondernemer bleef het trouwens bij het versturen van een e-mail naar medewerkers met daarin een linkje. Wie klikt? Daar krikken we het bewustzijn enorm mee op; eigenlijk zou je dat 4 keer per jaar moeten doen. De resultaten liegen er niet om: een kwart van de medewerkers klikte op de link en liet persoonsgegevens achter. En misschien wel het ergste: de ondernemer zelf ook!

Zonder de juiste procedures loopt de productie gevaar

Phishing is echt een groot gevaar. Als cybercriminelen gegevens binnen hengelen en de beveiliging is niet op orde… dan ben je echt het haasje. De ondernemer schrikt ervan. Gelukkig zijn wij het maar. Toch is dit wel echt een wake-up call.  Zo ook voor de ondernemer die we vandaag bezochten. We spreken af dat we maandelijkse een e-learning leveren en de phishingtest vaker te herhalen. ‘Ook een backup is cruciaal,’ leg ik uit. Die hebben ze. Ongeveer. Want het gaat niet alleen om het hebben van een backup. Is deze recent en volledig? Wat is de grootte? Als een backup een paar terabyte groot is en ergens in de cloud staat, duurt het herstel soms dagen en staat de productie hartstikke stil.

Leg een chocoladereep op het toetsenbord

‘Dit is een proces, geen eenmalige actie,’ vertel ik de ondernemer. Dat weet hij nu ook. Cyberveiligheid vereist echt continu onze aandacht. Van ransomware (gijzeling van je bestanden) tot verlies van klantgegevens: er kan zoveel misgaan. Beveiliging is een proces dat je moet integreren in je dagelijkse operaties. Zaken als een continuïteitsplan kunnen helpen om de ondernemer voor te bereiden. Ik geef vaak als tip: probeer positief gedrag te belonen. Zie je iemand de computer vergrendelen voor diegene wegloopt? Leg een chocoladereep op het toetsenbord. Het gaat echt om het creëren van een cultuur waarbij iedereen een actieve rol speelt in cybersecurity. Dat we de ogen van klanten openen is wel een mooie beloning. Stap voor stap werken we aan een digitaal veiliger Nederland. 

In verband met de bescherming van privacy worden cases, plaatsnamen en namen van betrokkenen altijd gefingeerd.