Cybercrime: onderschatting is het grootste gevaar
15 december 2016 13:30
Onderschatting blijkt het grootste gevaar voor het mkb bij Cybercrime. Mkb’ers zijn het grootste slachtoffer van cybercrime, dat op jaarbasis circa
€ 8,8 miljard kost. Cybercrime is criminaliteit met ICT als middel én doelwit. Naar schatting wordt 1 op de 3 mkb-ondernemers op de een of andere manier slachtoffer van cybercriminaliteit. Wat zijn inmiddels voor het mkb de lessons learned?
Ondernemers in het mkb onderschatten dat hun bedrijf een interessant doelwit voor cybercriminelen kan zijn. Vaak weten zij onvoldoende waartegen zij zich moeten bewapenen. Daardoor beveiligen zij zich niet tot onvoldoende tegen cybercrime. In dit artikel zaaien wij geen angst. Dat is nergens voor nodig. De focus is juist om meer inzicht en bewustwording te bieden door de ervaring van geleerde lessen met jullie te delen. Voorkomen van cybercrime lukt vaak al met vrij eenvoudige maatregelen. Daarnaast is per 2016 sprake van de Meldplicht datalekken en dat kan ook een goede reden zijn om de beveiliging van de bedrijfsdata te controleren.
Op uitnodiging van Hét Ondernemersbelang kwam een tiental specialisten met verschillende expertises bijeen om met elkaar te brainstormen over hoe de onderschatting van cybercrime in het mkb is te veranderen in bewustwording. De goede zorgen en expertise van de gastheer, Ronald Prins, van Fox-IT stimuleerde een enerverende en dynamische discussie over cybercrime tussen Kai Schut van BeOne Development, Edo Bodt van Microplus, Vanessa Hadinegoro van ETL Nederland Accountants en Adviseurs, Aad van Boven van SecureMe2, Robert Jan van Eenennaam van SKE Advocaten, Kees Hoogenraad van Zicht risico- en verzekeringsadviseurs, Jan Martijn Broekhof van Guardian360°, Robert van der Vossen van CYCO cybercrime cover en tot slot Christiaan Baardman van het Gerechtshof Den Haag.
Cybercrime & Paradox
Ronald Prins van Fox-IT trapt af: “Het aantal beveiligingsincidenten neemt sterk toe. Denk aan digitale oplichting, fraude, bedrijfsspionage en afpersing. Incidenten hiervan zijn dagelijks in het nieuws. Aan de ene kant zien wij de groeiende impact van aanvallen met ransomware (gijzelingssoftware); aan de andere kant is sprake van geavanceerde malware (een samentrekking van het Engelse malicious software als kwaadaardige software, soms schadelijke software). Elk bedrijf dat is gehackt kan erover meepraten en wat voor verstrekkende gevolgen dat heeft voor de bedrijfswaarde.” Vanessa Hadinegoro van ETL Nederland vult aan: “Vanuit onze rol als accountant en adviseurs wijzen wij onze klanten erop dat cybercrime een steeds groter probleem wordt. Waarbij het herstellen van hack- of ransomsoftware over het algemeen hoge kosten met zich meebrengt.”
Robert van der Vossen van CYCO cybercrime cover wijst op een paradox bij de toename van beveiligingsincidenten: “De toenemende en blijvende innovatie in het mkb creëert meer cyberrisico’s, denk hierbij ook aan de ontwikkeling en toename van het Internet of Things. Wij zien heel duidelijk dat de Modus Operandi van cybercriminelen veelal sneller evolueert dan de security van de partijen die zij aanvallen. In de praktijk ervaren wij dat er binnen bedrijven beperkte budgetten beschikbaar zijn om cyberrisico’s te voorkomen. Ook het nieuwe werken met de ‘bring your own device’ cultuur vormt een belangrijk risico. Cybercriminelen zullen net als andere criminelen de weg van de minste weerstand zoeken. Vaak blijken mobiele devices, zoals de laptop, smartphone of de iPad, minder goed te beveiligen omdat deze zich buiten de kantooromgeving bevinden.”
Onderschatting
Alle deskundigen zijn het over één ding eens: onderschatting van cybercrime is het grootste gevaar en zal het grootste beveiligingsprobleem worden voor bedrijven.
Waardoor ontstaat de onderschatting? Jan Martijn van Guardian360°: “Veel ondernemers denken dat zij niet interessant zijn voor cybercriminelen.” De deskundigen vallen Jan Martijn bij: “Het gebeurt altijd bij een ander”, “… Ik ben toch geen target”; …”Wat heb ik nu te verbergen?” “… Je bent nooit veilig ...” Robert vult aan: “Er wordt nog te weinig door ondernemers nagedacht, waarom hun data interessant zou kunnen zijn voor cybercriminelen”. Ronald geeft hierbij aan dat: “Toch nagenoeg dagelijks berichten in de media verschijnen over cybersecurity.” Robert vervolgt: “Om een einde te maken aan de onderschatting zou het goed zijn dat ondernemers een keer kunnen kijken door de bril van een cybercrimineel.” Robert Jan: “het is niet alleen de data waarom het gaat, maar het is dat cybercriminelen de platformen van ondernemers gebruiken om op andere plaatsen misdrijven te plegen.”
Alle specialisten bevestigen dat voor de meeste ondernemers informatiebeveiliging nog nauwelijks leeft. Het is dus gewoonweg niet voor iedereen vanzelfsprekend. Hier ligt een grote uitdaging voor zowel marktpartijen als voor onze overheid om bewustwording en inzicht te bieden in allerlei voorkomende beveiligingsrisico’s en cybercrime voorbeelden. En dan vooral informatievoorziening met support van ondernemers; het liefst zonder bangmakerij. Jan Martijn: “Het op orde hebben van je informatiebeveiliging kan nu juist een ‘unique selling point’ zijn.”
Onbewust onbekwaam?
Kai Schut reflecteert op de onderschatting: “Ik heb recentelijk op het Information Security Forum congres in Berlijn een lezing gehouden over de leercyclus van hoe mensen zich kunnen ontwikkelen van onbewust onbekwaam naar bewust onbekwaam naar bewust bekwaam en naar onbewust bekwaam. In het laatste geval van onbewust bekwaam zijn er automatismen in het handelen ontstaan. Ik stelde tijdens mijn lezing dat de ontwikkelingen tegenwoordig zo hard gaan en de complexiteit van de ontwikkeling dermate toeneemt, dat mensen die cyclus niet meer volledig doorlopen. Kortom, doordat wij steeds meer achter de feiten en ontwikkelingen aanlopen, lijkt er eerder sprake van onbewust onbekwaam dan van onbewust bekwaam. Het algemene bewustzijn met betrekking tot termen als phishing is er wel, maar als je specifiek doorvraagt over phishing mails en vraagt waar je een phishing mail aan kan herkennen, dan blijft het stil.” Vanessa herkent de beschrijving van Kai en vult aan: “Ze weten het dan ook echt niet”. Ook Aad van Boven van SecureMe2 bevestigt dat hij steeds vaker de door Kai beschreven leercyclus in zijn marktbenadering meeneemt: “Ik was onlangs bij een cybercrime informatieavond. Dat was eerst een uur angst pompen. Daarna een uur lang stellen dat je je tegen cyberangst kunt verzekeren. Dan gaat iedereen weer weg en vervolgens zie je veertig ondernemers vragend staan: ‘Wie geeft mij nu de drie gouden tips’, de clous, waar ik iets mee kan’. Ik vond het jammer dat juist deze gemotiveerde ondernemers vol met angst werden gestopt, in plaats van hun echt te helpen met oplossingen en tips. Wij hebben dus nog een grote slag te slaan om deze ondernemers te bereiken.” Aad stelt hierbij: “Dat mogelijk een oplossing voor ondernemers is om cybersecuritymaatregelen te gaan vertalen, als Unique Selling Point, van het is goed voor de business van de ondernemer.” Ronald vindt dat hier nog een stap voor zit: “Van alle klanten die we aansluiten op ons Security Operations Center om hun netwerk te monitoren, heeft 80% een cyberincident gehad. Bij cyberincidenten komen we met een bus vol beveiligingsspullen om een volgend incident te voorkomen. Die spullen gaan nooit meer weg bij deze klanten en zij vragen Fox-IT om te blijven monitoren.”
Ronald vervolgt: “Onderdeel van de onderschatting is dat als je zelf geen cyberincident hebt meegemaakt, er geen sprake kan zijn van een collectief en gedeeld bewustzijn. Misschien wordt de cybercriminaliteit ook niet zo’n groot probleem gevonden door het kleine aantal cybercrimerechtszaken. Hoeveel van die zaken komen er daadwerkelijk voorbij?”
Aangifte en rechtspraak
Robert Jan van Eenennaam van SKE Advocaten concludeert: “In de regio Rotterdam en Den Haag komt enkele keren per jaar een cybercrime rechtszaak voor. Wij adviseren ondernemers hierbij wel eerlijk, omdat voor aangifte doen van cybercrime geen advocaat nodig is. We bieden wel meerwaarde door via een eventueel strafproces de schade op de dader te verhalen. Dat gaat vele malen sneller dan via het civiele recht. Verder maken wij de ondernemer ervan bewust dat op basis van zijn aangifte er door de politie wel een aanhouding dient te worden gedaan. En als de politie iemand aanhoudt, moet die ‘dader’ ook nog geld hebben. Positief punt is wel dat Justitie dan de incasso van de schadevergoeding voor zijn rekening neemt. Aangifte doen is dus wel verstandig, omdat het strafrecht wel degelijk bescherming biedt. Naast de cybercrimezaken die wij als kantoor begeleiden zullen er verspreid in het land ongetwijfeld nog veel meer zaken zijn; helaas heb ik daar geen zicht op. Overigens dient de ondernemer zich wel goed te laten voorlichten om een kosten-batenafweging te kunnen maken en of de ondernemer zijn geld gaat terugzien. Ook een afweging voor wat betreft mogelijk negatieve publiciteit nemen wij mee in het advies.”
Christiaan Baardman, Coördinator Cybercrime van Landelijk Kenniscentrum van/voor de rechtspraak van het Gerechtshof Den Haag vult aan: “Als antwoord op de vraag van Ronald, ‘Hoeveel cybercrimerechtszaken komen er daadwerkelijk voorbij’ en kijkend naar de beroepsgroep advocaten zie je dat er nog nauwelijks advocaten zijn, slechts een handjevol, die zich toeleggen op cybercrime.” Christiaan vervolgt: “Cybercrime is geen ‘business’ voor advocaten. Ik zie advocaten zich ook niet profileren met expertise over cybercrime. De cybercrimezaken zijn er dus wel, maar wij als raadsheren zien slechts nog het topje van de ijsberg. De verhouding tussen impact van cybercrime op de samenleving en impact op de rechtspraak ligt volledig uit elkaar: echt zwart-wit. Er lijkt bijna sprake van een ‘cybercrime vrijstaat’. Maar laat ik gelijk duidelijk zijn; als wij als rechters meer zaken krijgen en deze goed oplossen dan wordt het cybercrimeprobleem helaas niet kleiner!”
Imago & compliant
Op basis van de procesanalyse en de paradox van cybercrime zijn de deskundigen van mening, dat een toename van rechtszaken ook bewijst dat de pakkans voor cybercriminelen zal toenemen.
Aad vult hierbij aan: “Wij zien dat er ook bijna altijd sprake is van een imago-aspect. Want organisaties willen best wel datalekken melden, maar zij melden hierbij niet dat hun netwerk heeft opengestaan voor de buitenwereld! Dat klinkt namelijk heel slecht; daarom melden zij dan maar dat sprake is van een gestolen laptop met data. Daarmee voldoet de ondernemer aan de wet en voorkomt de ondernemer de boete.” Robert vult aan: “Over het algemeen zijn ondernemers niet zo onder de indruk van de Meldplicht Datalekken. Daardoor ondersneeuwt het daadwerkelijke risico. Naar mijn mening is het doel niet om compliant te zijn aan de Meldplicht Datalekken, maar juist om als persoon of bedrijf veilig te zijn!” Wij zien hiertoe een toenemende dienstverlening in de productiebedrijven. Deze productieondernemers stellen dat hun risico is ‘downtime’, want alles is tegenwoordig verbonden met internet. Als wij deze ondernemer inzicht geven wat er allemaal vanuit zijn bedrijf wordt gedeeld op internet dan schrikt hij zich helemaal dood. Hij is zich dan hiervan niet bewust. Door al deze informatie te delen over internet denkt deze ondernemer zijn bedrijfscontinuïteit te borgen.” Jan Martijn adviseert: “Waar je als organisatie wel compliant mee kunt zijn, zijn informatiebeveiligingsnormen zoals de ISO27001 en de NEN7510. Wij toetsen kwetsbaarheden constant aan deze normen en helpen klanten daarmee compliant te blijven.
Bedrijfscontinuïteit
Kees Hoogenraad van Zicht risico- en verzekeringsadviseurs vult direct aan: “Bij onze dienstverlening is bedrijfscontinuïteit onze invalshoek. Ondernemers blijken helaas zich nog onvoldoende bewust wat de impact van cyberrisico’s kunnen zijn op hun bedrijfscontinuïteit. Hierbij speelt ook nog mee dat het type mkb-bedrijf, bijvoorbeeld een productiebedrijf of een dienstverlener, veelal geen enkel idee heeft bij wie hij voor welk (cyber) probleem moet zijn. De ondernemer ziet zijn provider als zijn eerste en enige houvast. Zijn reddingsboei, maar die ondersteunt hem alleen maar technisch. Vervolgens is heel mooi om te zien hoe vanuit onze risico-invalshoek de ondernemer zich bewust wordt van zijn cyberrisico’s. Hierdoor komen vaak alle oplossingen die jullie bieden op tafel.
Helaas is het voor de ondernemer zeer moeilijk in te schatten welke van al die oplossingen nu het best past voor zijn bedrijf.”
Edo vult aan: “Ik herken de door Kees beschreven rol van de provider. Ik adviseer mijn klanten om juist naast de provider voor de fysieke verbinding ook een managed service provider te kiezen, die niet alleen de (netwerk)technische kant, maar juist ook de organisatorische en procesmatige kant goed beheerst en beheert. Dan kun je ook, als ondernemer, gemakkelijker en beter vragen stellen over het beveiligingsniveau van het netwerk voor jouw bedrijf. En dat je dus weet en begrijpt als ondernemer dat jij goed beveiligd bent.”
Alle deskundigen bevestigen nogmaals dat onderschatting van cybercrime het grootste gevaar is en het grootste beveiligingsprobleem zal worden voor bedrijven. Daarom adviseren zij, net zoals vroeger een administrateur of een accountant belangrijk was als startende ondernemer, het vandaag de dag noodzakelijk is om ook een beveiligingsexpert direct te betrekken bij ondernemerschapsontwikkeling en de bedrijfsvoering. Aanvullend stelt Vanessa: “In het mkb is er maar een beperkt aantal bedrijven waar sprake is van een wettelijke controle en Informatiebeveiliging, Risico-inventarisatie en ICT zouden hiervan ook standaardonderdelen moeten gaan worden.”
CyberBusiness voor security
Jan Martijn: “Elk bedrijf dat persoonsgegevens bewaart, is een potentieel doelwit. Als ik nu kijk wat er op ons afkomt, zie ik vooral groei in bedrijven vanaf 75-100 medewerkers die, met name door angst voor boetes, datalekken willen voorkomen.” Vanessa: “Het blijkt dan wel dat deze ondernemers zich ertoe aangezet voelen om iets te gaan doen.” Jan Martijn vervolgt: “Dat klopt. Wij laten ondernemers zien dat door onze werkwijze van continue scanning alle onderdelen van netwerken 24 uur per dag in de gaten worden gehouden. Tevens zijn wij van mening dat goede informatiebeveiliging alleen door teamwork bereikt kan worden. Dat vereist nauwe samenwerking met onze partners en klanten.”
Samenvatting & conclusie:
Alle deskundigen zijn van mening dat de huidige gekozen cyberbeveiligingsoplossingen door ondernemers vaak tekortschieten tegen cybercrimedreigingen. Cybercrime vormt een bedreiging voor de economische groei of de bedrijfscontinuïteit van ondernemingen en kan wellicht zelfs gevolgen hebben voor onze persoonlijke veiligheid door, bijvoorbeeld, de groei en mogelijkheden van het Internet of Things. Ondernemers wordt geadviseerd kritisch naar hun data te kijken c.q. naar hun bedrijfsbeveiliging.
Tevens wordt geadviseerd om niet voor een standalone beveiligingsaanpak te kiezen, maar juist voor een integrale werkwijze. Aan startende ondernemers wordt geadviseerd om naast een administrateur ook gelijk met een beveiligingsexpert te starten. Cybercrime risico’s zijn het nieuwe en grootste gevaar die door geen enkele ondernemer meer mogen worden onderschat. Angst voor cybercrime is niet nodig. Een goede preventieve werkwijze wel, dat is de kritische succesfactor. Daarom sluiten de deskundigen af met enkele gouden security tips. «
Tekst: Cees de Reus // Fotografie: René Zoetemelk
Reacties op dit artikel
Reactie plaatsen? Log in met uw account.