Joris den Bruinen (HSD) waarschuwt MKB voor struisvogelhouding
Cybercriminelen kijken niet zozeer naar wat er te halen valt, maar hoe makkelijk ze ergens binnenkomen. Joris den Bruinen van The Hague Security Delta (HSD) ziet het probleem verschuiven van grotere bedrijven – die hun security aardig op orde hebben – naar kleinere. “Denk niet dat jouw data voor criminelen niks waard is”, waarschuwt hij het MKB. “Die gegevens zijn cruciaal voor je eigen bedrijfsvoering, dáár gaat het ze om.”
We spreken Joris den Bruinen, sinds een kleine twee jaar algemeen directeur van The Hague Security Delta (HSD), via een videoverbinding over een probleem dat door het toegenomen thuiswerken meer en meer nijpend wordt: de beveiliging van ICT-systemen en bedrijfsdata van kleinere ondernemingen. “Bij ondernemers in het MKB zie ik te vaak een symbolische 'struisvogelhouding': het feit dat je de digitale dreiging zelf niet ziet wil niet zeggen dat je geen gevaar van cybercrime loopt. Maar volgens recent onderzoek op basis van gegevens van de fraudehelpdesk van de Kamer van Koophandel zijn juist MKB-ondernemers steeds vaker het slachtoffer van digitale oplichting en andere vormen van cybercrime. Grotere bedrijven zijn inmiddels redelijk tot goed beveiligd en daarom kiezen cybercriminelen een ander doelwit. Ze verleggen hun werkterrein.”
Redenen tot zorg
Den Bruinen ziet in het MKB drie misverstanden over cybercriminaliteit. “Veel MKB'ers denken nog steeds: waarom zouden ze naar mij komen, bij banken en andere grote bedrijven is toch veel meer te halen? Maar dáár is de beveiliging inmiddels op orde. Het is net als met fysieke inbraken, de inbreker gaat naar het huis met de minste sloten en beveiliging. In het digitale domein wordt met de modernste tools door cybercriminelen tegenwoordig precies de bedrijven eruit gepikt met de minste digitale bescherming. Dus is je cybersecurity onvoldoende, dan weten ze je te vinden en komen ze een keer binnen.”
Daar komt bij dat MKB-ondernemers nog dikwijls denken dat hun bedrijfsgegevens voor criminelen überhaupt niet interessant zijn. “Terwijl het bij een aanval met ransomware juist gaat om de waarde van bedrijfsgegevens voor het getroffen bedrijf zélf”, corrigeert Den Bruinen. “Laatst nog hoorde ik het schrijnende verhaal van een freelance fotograaf die zo'n aanval fataal werd. Hij werd ziek en overspannen en ging uiteindelijk failliet. Hij had zijn backups niet goed georganiseerd en kon niet meer bij z'n foto's. Door te betalen zou hij 80 procent van z'n materiaal terugkrijgen, maar wat bleek: hij kreeg niet 80 procent van z'n foto's terug, maar elke (individuele) foto voor slechts 80 procent. Al z'n foto's hadden zwarte gaten, daar kon hij niks meer mee.”
Ten derde realiseren veel kleinere organisaties zich volgens Den Bruinen onvoldoende dat ze in ketens werken, waar soms zeer hoogwaardige technologische samenwerking plaatsvindt. “Jouw gegevens zijn misschien minder interessant voor kwaadwillenden, maar gegevens en ook technologische kennis van een gerelateerd bedrijf kunnen (deels) in jouw systemen zitten. Ook al heb je een klein staalverwerkingsbedrijf of een eenmanszaak als grafisch ontwerper, wellicht ben je betrokken bij een offertetraject waarin je samenwerkt met grotere partijen, of werk je op een andere manier samen met partners waar wél wat te halen valt.” “Overigens is dit ook waarom de grotere bedrijven een verantwoordelijkheid hebben in de cyber weerstand van hun volledige bedrijfsketens.
Wat te doen?
Haal je kop uit het zand en doe aan risico-afdekking, is het dringende advies van de HSD. Den Bruinen heeft verschillende tips. “Maak om te beginnen de juiste risico-inschatting. We zien de wereld versneld digitaliseren en medewerkers doen vanwege corona steeds meer thuis. Maak een heldere analyse van de risico's daarvan. Begrijp bovendien goed dat technologieën als firewalls, endpoint protectie, monitoring en dubbele authenticatie slechts een deel van de oplossing zijn. Richt ook je processen goed in. Wie mag in welke systemen en wanneer, en wat als een medewerker de organisatie verlaat?”
Zet daarnaast je medewerkers in als menselijk schild. “Je zwakte – de menselijke kant ‘die op de verkeerde linkjes drukt’ in het verhaal – kan ook je sterkte zijn. Mensen moeten zich bewust zijn van de risico's die ook in een thuissituatie bestaan. Steek niet zomaar een 'stickie' ergens in. Zorg dat iedereen snapt dat dubbele toegangscontrole minder gebruikersvriendelijk is, maar noodzakelijk voor de digitale veiligheid. Thuis kan het gevoel van (on)veiligheid anders zijn dan op het werk. Niet alleen IT-mensen, maar álle mensen moeten zich trouwens bewust zijn van de risico's. En bewustzijn gaat niet alleen over 'u mag niet' en 'u zult niet', maar ook over incident response: dat een systeem onmiddellijk wordt stilgelegd bij (het vermoeden van) een cyberaanval en dat er een actieplan is, waarin de juiste mensen weten wat te doen in het geval het wel een keer mis gaat”
IoT-producten
Tot slot waarschuwt de HSD-directeur voor de risico's van een toenemend aantal IoT-producten, toepassingen die verknoopt zijn aan het internet. “Ook operationele technologie (OT) is een risico, denk aan warmtepompen in de tuinbouw of technologieën in bruggen en tunnels. Een warmtepomp kun je overal vandaan instellen, gewoon met een smartphone. Mensen werken meer thuis en worden bewust en bedoeld in staat gesteld om vanuit huis operationele technologieën en digitale producten en diensten te bedienen. Dat vergroot het risico op calamiteiten. Let wel: dit is iets anders dan de beveiliging van kantoorautomatisering. Je kunt het risico dat criminelen binnenkomen optimaal afdichten door de beveiliging van IT en OT op elkaar af te stemmen, of zelfs helemaal te integreren. Maar op dit moment zien we dat de meeste organisaties beide vormen van beveiliging voorlopig nog liever scheiden, vermoedelijk vanwege de snelheid waarmee digitalisering momenteel plaatsvindt en de terechte risico-afdekking”
De HSD is volgens Joris den Bruinen de logische partij om als aanjager en primus inter pares het bewustzijn en handelingsperspectief bij MKB bedrijven in 'niet-vitale' sectoren te stimuleren. Zoals bijvoorbeeld de tuinbouwsector samen met de Greenport en de zorgsector samen met Medical Delta en BioSciencePark Leiden. “The Hague Security Delta is begonnen in 2012 als een project van het ministerie van Economische Zaken, de provincie Zuid-Holland en de gemeente Den Haag, om te investeren in het digitale veiligheidsdomein. Inmiddels hebben we een ecosysteem van zo'n driehonderd bedrijven, kennisinstellingen en overheidsorganisaties. Onze uitvalsbasis is en blijft Den Haag; onze missie past goed in het Haagse profiel van vrede, recht en veiligheid; we zijn meer en meer een nationaal cluster met sterke verankering in Zuid-Holland. Met de juiste kennis willen we blijven werken aan nieuwe innovaties, de werkgelegenheid stimuleren, Nederland op de kaart zetten als (digitaal) kennisland, maar vooral: de digitale wereld veiliger maken.”
Door: Jeroen Bordewijk en Witold Kepinski
