Cybercrime: Ik zie, ik zie wat jij niet ziet…

Cybercrime: Ik zie, ik zie wat jij niet ziet…

Voor veel kleinere (maar ook grotere) ondernemers lijkt de digitale kant van hun bedrijf zoiets als hun bedrijfswagen. Die moet het doen, toonbaar zijn en hij mag niet teveel geld kosten. Gepraat over waarom een bepaalde band nou beter is of iets zuiniger maar wel wat duurder, waarom je beter deze bougies kunt nemen dan deze, waarom je beter nu iets kunt vervangen –“Dan wordt de beurt wel iets duurder maar dat betaald zich terug mevrouw/meneer”- en niet pas als het kapot is: je begrijpt het, hoort het maar wordt er als ondernemer niet snel warm van. Die bus moet vooral rijden. En ja, ook graag veilig en niet te duur, dat spreekt.

Warmlopen voor cybersecurity

Als we zo naar de ontmoetingen kijken die we tijdens onze bijeenkomsten en webinars hebben met ondernemers én met hun IT-medewerkers, dan lijkt het er wel op dat dit speelt. Cybersecurity is geen issue waar je, als je tenminste geen IT-ondernemer bent, warm voor loopt. Ten eerste: zolang het niet fout gaat voel je er niks van als het niet in orde is, ten tweede: de digitale wereld is maar voor een stukje zichtbaar: je CAD-systeem, de administratie, website, mail, social media als je daar als bedrijf actief op bent. Maar daarnaast heb je waarschijnlijk als bedrijf nog allerlei apparatuur zonder beeldscherm die aan het internet hangt, camera’s, klimaatbeheersing. Of het zijn machines, van draaibanken tot voedersystemen. Al die systemen genereren data en gebruiken data, vaak over-en-weer. Allemaal digitale deuren van je bedrijf die wel of niet op dicht zijn en op slot zitten. En waar je er meestal vrij kien op bent of ‘savonds de deur en het hek van je bedrijf goed op slot gaan, is de digitale deur vaak buiten beeld van de ondernemer.

Een bedrijf met een omzet van enkele miljoenen per jaar. Dit bedrijf is actief in de maakindustrie. Er wordt gewerkt met machines die makkelijk een bedrag aantikken van enkele tonnen. Mijn collega en ik zitten aan tafel naar aanleiding van een security-audit. Er moeten een paar zaken vervangen en aangepast worden conform de huidige normen. We praten hier over een kostenpost van hooguit enkele tientjes per maand. Voor de tijd die er verstreken is met over- en weer discussiëren over de prijs en de noodzaak hadden ze het eerste jaar al terugverdiend. 

Overgaan tot actie

We hebben het er onder collega’s vaker over. Want voor cybersecurity-mensen is dat natuurlijk onbegrijpelijk. Dat je daar zo weinig aandacht aan besteedt. Waarschijnlijk net als voor de monteur in de garage die niet begrijpt dat je de achterbanden niet meteen ook vervangt of die beurt nog niet laat doen. En de ondernemer die denkt: “Makkelijk lullen maar ik moet het wel eerst verdienen.”

Ik heb me regelmatig afgevraagd wat daar nog meer achterweg komt en vooral: hoe verander je dat? Mijn indruk is dat het te maken heeft met drie dingen:

  • Het is een onzichtbaar risico en daarmee voor de ondernemer moeilijk in te schatten. De noodzaak wordt niet of onvoldoende gevoeld. “Het zal wel loslopen” is dan een geruststellende aanname.
  • Een goede digitale beveiliging kost geld en “je koopt er niks voor”. Soms wordt er ook doelbewust een risico genomen om kosten te besparen.
  • In de waan van de dag -zeker in deze tijd- heeft digitale beveiliging geen prioriteit.

Een goed voorbeeld uit de praktijk is ransomware. Achteraf zie je vaak dat veel schade voorkomen had kunnen worden door een goede digitale basishygiëne in acht te nemen. Het rijtje is inmiddels bekend (backups, passwords, updates etc.). Dat vraagt een investering in tijd en geld. Voor veel MKB-bedrijven gaat het dan niet eens om grote bedragen is onze ervaring, maar je moet ze wel doen en vooral: er tijd voor vrij maken.

Andermans geld

Natuurlijk realiseer ik me heel goed dat andermans geld uitgeven heel eenvoudig is. Zo heb ik een tijd geleden een audit gedaan bij een onderneming in Limburg. De aanbevelingen waren niet gering. Zijn antwoord luidde dan ook: “Neem jij dan voor mij ook het geld mee?” Tja, daar zat ik dan met mijn goed bedoelde advies! 

Ons devies is eigenlijk dat cybersecurity een standaard onderdeel zou moeten zijn van de bedrijfsvoering net zoals als een BHV plan met instructies, oefeningen, blus- en EHBO middelen. Daarin kun je dan ook je investeringen plannen en prioriteiten stellen. Wat moeten we nu doen, wat kan later en welk risico lopen we dan?

Het grote verschil zit hem er dan in dat je er bewust mee bezig bent in plaats van dat je erop vertrouwt dat “Het jou niet overkomt” of “Jij niet interessant bent voor een hacker”. Zo houdt je grip op de situatie.

Erik van der Heijden

Ethical Hacker