Veilig zakendoen 2022: test een worst case scenario

De dreiging uit de cyberhoek neemt toe. Ransomware beïnvloedt op dit moment zelfs onze nationale veiligheid. Wereldwijd gaat er volgens de FBI meer geld om in cybercriminaliteit dan in drugshandel. Petra Oldengarm, directeur van Cyberveilig Nederland, weet precies waar komend jaar de focus bij ondernemers moet liggen. “Elke ondernemer zou een worst case scenario-test moeten doen. Ben je daadwerkelijk op een aanval voorbereid en doen je back-ups het bijvoorbeeld wel?”

KVK Innovatie Top 100

Vind nieuwe klanten of een netwerk met je innovatieve product.

Schrijf je nu in

Trend 1: exponentiële groei

“Als we kijken naar de dreiging uit de cyberhoek, zien we dat ransomware exponentieel groeit. Het beïnvloedt zelfs de nationale veiligheid. De economische schade loopt komend jaar alleen maar op. Als ondernemer moet je hier rekening mee houden, want cybercriminelen kunnen jou ook hard treffen. Wat je hierbij goed moet beseffen is dat je geen target hoeft te zijn om slachtoffer te worden. Je denkt misschien dat er bij jou niks te halen is, maar ze kunnen toch bij jou terechtkomen. Hoe je hier mee om moet gaan? Door de risico’s zoveel mogelijk te beperken. In 2022 moet cybersecurity onderdeel zijn van je risicomanagement, op directieniveau. Natuurlijk is dat afhankelijk van de digitale middelen in je bedrijf. Maar stel jezelf de volgende vraag: als al je systemen uitvallen, hoe erg is dat dan? Slachtoffers van ransomware zijn gemiddeld 23 dagen uit de lucht. Kun je dat hebben? En hoeveel schade lijd je als je gegevens onbedoeld op straat komen te liggen?”

Petra Oldengarm

directeur Cyberveilig Nederland

Petra Oldengarm heeft de dagelijkse leiding over brancheorganisatie Cyberveilig Nederland. Ze heeft een achtergrond in de technische informatica en is al jaren actief in het cybersecuritydomein voor verschillende werkgevers, waaronder de AIVD, ECN en Hoffmann.

  • zelfstandig strategisch adviseur
  • Dutch Institute for Vulnerability Disclosure
  • gastdocent Universiteit Leiden
Slachtoffers van ransomware zijn gemiddeld 23 dagen uit de lucht. Kun jij dat hebben?

Trend 2: cybercrime professionaliseert

“Cybercrime professionaliseert in rap tempo en dat gaan we komend jaar opnieuw voelen. We gaan zien dat steeds meer cybercriminelen intensief samenwerken, waarbij iedere groep zijn eigen expertise heeft. Groep 1 schrijft de ransomware, groep 2 zorgt dat ze bij je binnenkomen, groep 3 gaat op zoek naar kwetsbare informatie in je bedrijfssystemen. Dan zorgt groep 4 voor versleuteling van je data op jouw servers en perst groep 5 je daadwerkelijk af. En dan is er ook nog groep 6: een heuse klantenservice voor de afhandeling van je betaling en vragen. De informatie die ze over je verzamelen gaat steeds verder. Je verzekeringen, je omzet, maar ook pressiemiddelen en gevoelige gegevens halen ze uit je systemen. Dit proces kan wel drie maanden duren, zonder dat je het doorhebt. En ook al betaal je het gevraagde losgeld, je weet nooit helemaal zeker of de cybercriminelen wel écht uit je systemen weg zijn."

"Bij het bepalen van de afperssom hanteren cybercriminelen vaak ‘keurig’ een percentage van je winst. Je komt ook steeds vaker openbare interviews tegen met ransomwaregroepen waaruit blijkt dat ze een eigen ‘ethisch’ kader hanteren. Zo hacken sommige groepen bijvoorbeeld niet bij zorginstellingen of goede doelen. Veel ondernemers zullen dit een gekke ethische norm vinden, maar deze criminelen zien hun activiteiten gewoon als business. Er zijn ondertussen meerdere grote ransomwarefamilies, waaronder REvil en Conti. Als bakker op de hoek kun je je hier misschien niet zo veel bij voorstellen en denk je wellicht: ik kom toch niet aan de beurt. Maar cybercriminaliteit gebeurt in het groot en in het klein. En bedenk ook: een grote bank kan het keurig op orde hebben, maar zijn toeleveranciers niet. We zien dat ransomwaregroepen hun aanvallen steeds vaker richten op bedrijven die een groter bereik in de keten hebben.”

Trend 3: groot helpt klein

“Wat kun je als ondernemer het beste doen om je te weren tegen dit soort aanvallen? Hopelijk ben je hier al mee bezig en heb je de basis op orde. Zo niet, dan zijn er verschillende hulpmiddelen van overheidsorganisaties die je hierbij kunnen helpen, zoals de KVK Cybersecurity checklist. Wat elke ondernemer wat mij betreft in 2022 zou moeten doen, is een worst case scenario-test. Je denkt misschien dat je de deur goed op slot hebt gedaan, maar hoe zit het met de achteringang? Het is belangrijk om te controleren of je daadwerkelijk op een aanval bent voorbereid. Doen je back-ups het bijvoorbeeld wel? Waar staan ze? Hoe zijn ze beveiligd? Ransomwarecriminelen gaan vaak eerst op zoek naar je back-ups om die uit te schakelen. Het is dus verstandig meerdere backups te hebben, bijvoorbeeld twee digitaal en op verschillende plekken en één fysiek. Heb je alles ‘veilig’ in de cloud? Stel die vraag maar eens aan je cloudleverancier. En als het mis gaat, ben je dan snel in staat om te reageren? Wat staat hierover in je cloudcontract?"

"Stel in 2022 je eigen worst case scenario op en doe op basis hiervan een oefening. Bijvoorbeeld samen met andere ondernemers uit je branche, zodat je de kosten kunt verdelen en ook van elkaar kunt leren. Er zijn al grote bedrijven die dit georganiseerd hebben onder het motto ‘groot helpt klein’. Zij adviseren of geven workshops. Komend jaar zullen er naar verwachting meer van dat soort initiatieven komen.”

Trend 4: extra risico’s door thuiswerken

“Als gevolg van thuiswerken nemen bepaalde vormen van fraude toe. Zo zien we bijvoorbeeld CEO-, CFO- en CIO-fraude toenemen. Hierbij doen criminelen zich online voor als bestuurder van een organisatie en verleiden ze medewerkers om snel grote sommen geld over te schrijven. Op kantoor voeren bedrijven normaal gesproken bepaalde controlestappen uit als ze grote bedragen moeten overschrijven. Maar bij het thuiswerken slaan ze die stappen vaker over. De bedragen die in deze vorm van fraude omgaan, kunnen flink oplopen. Als je snel genoeg bent, kan je bank soms nog wat voor je doen, maar meestal niet."

"Ook vraagt het werken vanuit huis om extra maatregelen in de beveiliging. Bijvoorbeeld het toepassen van meerfactorauthenticatie, waarbij naast een inlognaam en wachtwoord een extra code nodig is voor toegang tot een bedrijfsnetwerk. Mijn advies: ga als ondernemer in 2022 massaal meerfactorauthenticatie aanzetten, zodat cybercriminelen minder kans op succes krijgen."

Trend 5: van schaamte naar sharing

“Wat ik ook zie, is een verschuiving van stilzwijgen naar de openbaarheid opzoeken. Voorheen schaamden ondernemers zich vaak om toe te geven dat ze afgeperst waren. Maar nu duidelijk is dat dit ons allemaal aangaat, treden steeds meer ondernemers naar buiten met hun verhaal. En ze betalen lang niet altijd het losgeld, ook dat is een duidelijke ontwikkeling."

"Gelukkig is er ook goed nieuws: de overheid is steeds breder en intensiever met cybersecurity bezig. Van Justitie tot Economische Zaken, van politie tot OM, van AIVD tot Buitenlandse Zaken. Wel is er sprake van veel versnippering. De regie op dit dossier moet wat ons als brancheorganisatie betreft beter. Daarnaast besteden steeds meer bedrijven aandacht aan hun cybersecurity en worden ze daarin volwassenen. Dat gezegd hebbende: de kloof tussen ondernemers die ermee bezig zijn en ondernemers die niks doen, wordt steeds groter.”