Adviseur speelt cruciale rol in bescherming tegen cybercrime
De meeste ondernemers zijn zich inmiddels bewust van cyberrisico’s, maar ongeveer de helft weet niet hoe te handelen als zijn bedrijf doelwit wordt van een cyberaanval. Ook het niveau van bescherming blijkt in de praktijk tegen te vallen. Hoewel 56 procent van de mkb’ers meent ransomware en ander digitaal onheil te kunnen weerstaan, schetsen IT’ers in de onderzochte bedrijven een heel ander beeld: 58 procent van de techneuten noemt zijn bedrijf onvoldoende beschermd.
Fotografie: Team Horsthuis
Verzekeraar Avéro Achmea presenteerde deze cijfers over cybercriminaliteit en mkb tijdens haar cyberevenement in de Bredase Koepelgevangenis, dat op maandag 28 januari werd gehouden. Rolf van Wegberg (TU Delft, onderzoek naar verdienmodellen cybercrime), Erik de Jong (chief research officer van Fox-IT), René van Etten (general manager ThreadStone Cyber Security) en Wopke de Jong (senior customer experience marketeer van Avéro Achmea) gingen onder leiding van misdaadjournalist John van den Heuvel in discussie.
Menselijk handelen
Hoewel hun boodschap voor de nabije toekomst niet meteen vrolijk stemde -digitale misdaad blijft groeien, criminelen worden geraffineerder en iedereen krijgt ermee te maken- klonken er ook hoopvolle conclusies. Zo is preventie een belangrijk wapen in de strijd tegen cybercrime. Concrete maatregelen als goede firewalls en back-ups kunnen de kans op een hack minimaliseren. Daarnaast stipten de experts keer op keer ‘menselijk handelen’ aan. Als dat enigszins in goede banen wordt geleid, beperken ondernemers het grootste risico.
Inspelen op angst
Cybercriminelen spelen volgens de discussiepartners in op angst. Zoals angst om niet aan een betalingsverzoek per e-mail van een leidinggevende te voldoen, waardoor CEO-fraude op de loer ligt. Een dergelijk digitaal misdrijf kostte bioscoopketen Pathé vorig jaar miljoenen euro’s. Een ander voorbeeld is de lichte paniek als een vermeende bank e-mailt dat ze een account gaat sluiten. Veel mensen klikken dan toch op de bijbehorende link, waarmee criminelen toegang krijgen tot het systeem. Interne gedragsregels over hoe om te gaan met e-mails, links, wachtwoorden en het delen van bedrijfs- en beroepsmatige informatie via sociale media kunnen naar inzicht van de specialisten problemen voorkomen. Slechts een A4’tje met wat basisprincipes zou al veel schelen.
Rolf van Wegberg benadrukte echter dat veiligheid niet moet gaan overheersen op de werkvloer. “Het is prima als bedrijven een beleid centraal vastleggen, maar medewerkers moeten er uiteindelijk mee kunnen werken. Dat vergt een delicate balans. Als je bijvoorbeeld het wachtwoordbeleid te stringent maakt, haken mensen af.”
Boerenverstand
Preventie is een onderdeel waarmee financieel adviseurs zich kunnen onderscheiden, zo gaven de gesprekspartners aan. Uiteraard dragen adviseurs een zorgplicht, het informeren over cyberrisico’s hoort daarbij, maar ze kunnen de rol als bewakers van de bedrijfscontinuïteit naar zich toe trekken. Een gijzeling met ransomware kan een bedrijf immers dagen platleggen. Ga met de klant om tafel, adviseerde René van Etten. “Bespreek hoe deze ondernemer het heeft geregeld en hoe het beter kan. Je komt al heel ver door gewoon in de organisatie je boerenverstand te gebruiken.”
Nog te veel mkb’ers denken: dat gebeurt mij niet, vertelde Wopke de Jong. “Maar onder meer de detailhandel verliest behoorlijke bedragen door cybercrime, je hebt het dan over 50.000 tot 250.000 euro.” De Jong sprak van een noodzakelijk evenwicht tussen structuur en cultuur binnen een bedrijf. “Bedrijfscultuur wordt wel eens vergeten, maar het is een onmisbaar onderdeel van risicomanagement. Structuur en cultuur moeten beide op 1 staan.”
Aangifte doen
Heeft aangifte doen bij cybercriminaliteit eigenlijk wel zin, vroeg dagvoorzitter John van den Heuvel. Absoluut, stelden de tafelgasten unaniem. Ten eerste omdat het vaak een eis is van verzekeraars, maar ook omdat de politie ermee geholpen is. De verkregen informatie heeft geleid tot een project als Nomoreransom.org, een initiatief van opsporingsdiensten en IT-bedrijven. Op de site zijn sleutels voor gegijzelde gegevens te vinden. Die ransomware, maar ook DDoS-aanvallen, is trouwens voor lage bedragen te koop op het dark web, zo liet Rolf van Wegberg in zijn parallelsessie over cybercrime van de toekomst zien. Met een goedkoop pakketje legde een 18-jarige jongen uit Oosterhout vorig jaar de Belastingdienst plat.
Op de Wanted-lijst
De grote cybercriminaliteit is echter niet in Nederlandse handen. Fox-IT heeft twintig tot dertig groepen uit het buitenland op de korrel, meldde Erik de Jong. “Spionage is vooral het terrein van China en Rusland. Cybercrime waarmee veel geld is gemoeid, komt met name op het conto van Oost-Europese en Russische criminelen. De pakkans is dus nihil, tenzij je de daders hun land uit lokt. Toch is aangifte doen geen verspilde moeite. De Russische topcybercrimineel Slavik gedraagt zich een stuk rustiger nu hij op de internationale Wanted-lijst staat. Daarnaast zijn er ook Nederlandse groeperingen, die kunnen natuurlijk wel worden gepakt.”
Meer informatie over het cyberevenement van Avéro Achmea: www.averoachmea.nl/cyber
Reactie toevoegen
Bedrijven doen nog te weinig aan digitale veiligheid
De Cyber Security Raad (CSR) constateert dat het Nederlandse bedrijfsleven nog te weinig doet aan digitale veiligheid, terwijl het wél verplicht is. De...
Nn start Nederlands Cyber Collectief
Nationale-Nederlanden is het Nederlands Cyber Collectief gestart. Het betreft een overkoepelend verbond dat gezamenlijke kennis en kracht inzet voor één...
Zo graag als het Verbond het mag hebben over innovatie, de cyberpolis is voor Nederlandse verzekeraars duidelijk nog een brug te ver. Terwijl steeds meer adviseurs...
De Boer prijst Cyber Protect van VKG
Een mooie innovatie. Zo omschrijft Verbondsdirecteur Leo de Boer in een tweet Cyber Protect van VKG en AXA Assistance. VKG introduceerde onlangs onder haar volmachtovereenkomst...