Randsomware-aanvallen, datalekken, hoge boetes; de afgelopen maanden zijn grote bedrijven die hiermee te maken kregen uitvoerig in het nieuws gekomen. Maar ook het mkb loopt grote risico’s indien de cybersecurity en het naleven van de AVG intern niet op orde zijn. Gelukkig weet NewDay op een overzichtelijke manier de risico’s in kaart te brengen en om te zetten in een praktische oplossing.

Cyber security

Het mkb is de afgelopen jaren steeds meer aan het automatiseren geslagen. Dat is volgens Alex Klaassen van IT Risk organisatie NewDay een positieve ontwikkeling. “Maar ik merk ook dat ondernemers op het gebied van cybersecurity flink achterblijven. Gemak en efficiëntie staan vaak voorop, maar daar betaal je de prijs voor in de vorm van diverse IT-risico’s. En die risico’s zijn nu actueler dan ooit. Sinds het uitbreken van de coronacrisis zijn er onder andere meer en nieuwe randsomware-aanvallen gedaan. Ook thuiswerken via remote desktop via een onvoldoende beveiligde verbinding is een veel genomen risico. Vergeet niet dat hacken tegenwoordig een serieus businessmodel is. Criminelen die zich hiermee bezighouden, verdienen makkelijk geld met weinig stappen. En op het moment dat het slachtoffer beveiligingsmaatregelen onderneemt en het de hacker iets meer moeite kost, is het nog steeds lucratief! Nu denken mkb’ers vaak wel aan het maken van een technische back-up, maar dat is bij een hack echt niet voldoende. Wat nu als de hacker je data op de bestaande servers vernietigt en de data op je back-up versleutelt? Ga je dan vijftig bitcoins betalen of je hele infrastructuur opnieuw opbouwen?”

Privacywetgeving

Een ander actueel thema is het naleven van de Algemene verordening gegevensbescherming (AVG). Organisaties die de AVG overtreden, riskeren een boete van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet. Ook kan de Autoriteit Persoonsgegevens, die controleert of de AVG wordt nageleefd, een dwangsom of een verwerkingsverbod opleggen, of een berisping of een waarschuwing afgeven. Alex: “Vanuit de privacywetgeving moet je kunnen aantonen dat je een grondslag hebt om de persoonsgegevens die binnen je bedrijf aanwezig ook daadwerkelijk te verwerken.”

Als het verwerken van de gegevens een hoog privacy risico oplevert voor de mensen van wie de organisatie gegevens verwerkt, dan ben je verplicht om een data protection impact assessment (DPIA) uit te voeren. “Met dit instrument worden vooraf privacy risico’s van een gegevensverwerking in kaart gebracht. Ook kan het aanstellen van een Functionaris gegevensbescherming (FG) verplicht zijn. Bijvoorbeeld wanneer er bijzondere informatie over iemands gezondheid, ras, politieke opvatting of geloofsovertuiging wordt verwerkt. Of wanneer de gegevens worden gebruikt voor bijvoorbeeld profilering van mensen, het maken van risico-inschattingen, cameratoezicht of personeelsvolgsystemen.”
 

Actueel dossier

In aanloop naar de inwerkingtreding van de AVG op 25 mei 2018 hebben veel bedrijven de nodige stappen ondernomen, “maar deze stappen waren te vaak vooral cosmetisch van aard”, zegt Alex. “Men liet een blik op het personeelsregister en de klantgegevens werpen, of liet de jurist een nieuw contract en een privacyverklaring opstellen. Of men huurde een ethical hacker in om te toetsen of er lekken in de beveiliging waren. Dat zijn allemaal gefragmenteerde oplossingen. Privacy is echter te omvattend om eendimensionaal aan te pakken, het is vervlochten met je bedrijfsvoering. Bovendien hebben veel bedrijven na de invoering van de AVG de aandacht voor dit onderwerp (deels) losgelaten. Maar een ondernemer moet wel te allen tijde met een actueel dataregister kunnen aantonen dat hij of zij zorgvuldig met persoonsgegevens omgaat. Dat geldt ook voor elke nieuwe bedrijfsactiviteit waarbij een nieuwe verwerking van persoonsgegevens plaatsvindt.”

Specialisme voor het mkb

De diensten die NewDay aanbiedt om bedrijven te helpen bij het op orde brengen en houden van cyber- security en naleving van de privacywetgeving, zijn gebaseerd op zeer specialistische kennis. Deze wordt normaal gesproken met name voor grote bedrijven, organisaties zoals ziekenhuizen en overheidsinstellin-gen zoals gemeenten ingezet. Alex benadrukt echter dat hij met NewDay ook het mkb wil helpen. “Middel- en kleine organisaties zijn vanwege onze kennis, expertise en klantenkring soms bang dat ze een lawine aan informatie over zich heen krijgen. Voor deze partijen hebben we juist een aantal standaardtools ontwikkeld die een gedegen risicoanalyse maken op het gebied van privacyrisico’s, cybersecurity, compliance en/of IT-security. Aan de hand van die analyses weet je concreet welke onderdelen al goed geregeld zijn, welke bedrijfsonderdelen risicogebieden vormen en hoe je deze risico’s het beste af kunt dekken. Bij het maken van deze analyse kan een multidisciplinair team worden betrokken van juristen, ethical hackers, data-analysten en informatiebeveiligingsdeskundigen. Indien nodig schakelen we ook een communicatiedeskundige in om de boodschap op de juiste manier te verwoorden en deze intern te verspreiden. Uiteindelijk komt er, afhankelijk van de omvang van de bedrijfs-activiteiten en de gevonden risico’s, een document op tafel te liggen met een plan van aanpak en een duidelijk takenpakket per afdeling. Zo kan een hr-manager voor de privacy-aspecten rond het personeelsbestand bepaalde kpi’s ontwikkelen, bijvoorbeeld welke onderdelen relateren aan de privacywetgeving.”

IT-audits

Naast het controleren of bedrijven zelf voldoen aan de huidige eisen op het gebied van cybersecurity en het naleven van de AVG, kunnen ook bedrijven die in-formatiesystemen aanbieden aan derden bij NewDay terecht. “Aan de hand van een IT Audit of EDP Audit vellen we op een onafhankelijke en deskundige manier een oordeel over de kwaliteit van de ICT-beveiliging, signaleren we tekortkomingen en geven we advies over mogelijke verbeteringen. Denk aan een ISAE 3402-ver-klaring voor IT-dienstverleners waarmee zij onder andere kunnen aantonen dat zij met hun producten en diensten voldoen aan bepaalde wet- en regelgeving en die van de partners. Bedrijven die producten en diensten met een Di-giD-aansluiting leveren aan de overheid, moeten jaarlijks een DigiD audit laten doen. De audit moet worden uitgevoerd onder verantwoordelijkheid van een register IT auditor.”

Column

De komende edities zal Alex in een column nader ingaan op deze onderwerpen. “Met dit verhaal en de columns wil ik het mkb een duidelijk beeld geven van de risico’s die zij lopen en hoe NewDay hierbij kan helpen. Ik hoop hiermee de zogenoemde risk appetite van ondernemers aan te spreken. Ik begrijp maar al te goed dat een ondernemer onderneemt voor eigen rekening en risico. Maar als je pas tot actie overgaat wanneer je ervaringsdeskundige bent geworden, is de schade natuurlijk al berokkend.”

Ben je benieuwd naar het magazine van Noord-Limburg Business? Kijk dan op deze link!

Zo, corona zit er weer op. Degenen die het willen, zullen inmiddels wel gevaccineerd zijn. De meeste maatregelen zijn afgeschaft of in ieder geval versoepeld en, naast dat velen van ons zich al het verheugen op de komende versoe-pelde zomermaanden, is ook het denken aan het ‘normaal’ weer begonnen.

Wat gaat dat ‘normaal’ worden? Weer het ‘oude’ normaal of nemen we iets mee van de afgelopen periode? De meningen lopen uiteen. Niet meer naar kantoor, want dat is overkomelijk gebleken. Ook niet meer in de file om allemaal op hetzelfde moment ongeveer op dezelfde plek te zijn. Er schijnt zelfs alweer nagedacht te worden over een nieuwe belasting die de financiële tegemoetkoming te belasten die sommige werkgevers aan hun werknemers betalen. Zelf denk ik dat de mensen althans de meesten van ons in de kern sociale wezens zijn en dat we elkaar straks weer snel zullen opzoeken. Gelukkig maar! Ook denk ik dat veel mensen echte gewoontedieren zijn en dus ook weer snel in gebruikelijke patronen zullen belanden.

Kroonjuwelen

Op het moment van schrijven van dit stukje is het vaderdag. Vanochtend ben ik feestelijk wakkergemaakt door opgewekt gezang van vrouw en kinderen, mijn kroonjuwelen. Nog interessanter en belangrijker zijn uw ‘kroonjuwelen’, zoals ze ook wel worden genoemd bij het beveiligen van uw belangrijkste ‘assets’. Deze belangrijkste assets zijn voor steeds meer bedrijven hun digitale informatie. We geven onderdelen daarvan de naam ‘kroonjuweel’ om daarmee aan te geven dat zij van enorme betekenis zijn voor bijvoorbeeld uw bedrijfscontinuïteit of uw onderscheidend vermogen vormen. Het is dus van belang juist deze ‘kroonjuwelen’ extra goed te beschermen. En toch zien we dat in deze periode van thuiswerken ook deze kroonjuwelen het soms zwaar hebben gehad. Ze komen steeds vaker in de verkeerde handen. Gek toch? Ik weet uit eigen ervaring als ouder dat wanneer het over mijn kroonjuwelen zou gaan, geen moeite te veel zou zijn. Zeker gek als je ziet welke soms zeer basale maatregelen grote probleem hadden kunnen voorkomen. Het is echt soms ronduit pijnlijk te zien hoe eenvoudig de weg is geplaveid naar de bewuste kroonjuwelen.

Misverstand

Een hardnekkig misverstand welke ik vaak tegenkom, is dat ‘kwaadwillende derden’ (hackers) via de meest geavanceerde technieken ‘maanden’ bezig zijn om bij u binnen te komen. Wellicht een teleurstelling voor u, maar in de praktijk is het (te) vaak kinderlijk eenvoudig. Een ander veel voorkomend misverstand is dat deze kwaadwillende ‘maar wat aan het experimenteren zijn’. Ook dat is niet waar. Er zitten veelal zeer professionele bedrijven achter met afdelingen, personeel, processen en procedures inclusief een helpdesk om u te ondersteunen bij bijvoorbeeld de aanschaf van bitcoins om hen te betalen. Met deze ‘business’ proberen derden met zo min mogelijk inspanning zo veel mogelijk geld te verdienen.

Simpele maatregelen

Dat kwaadwillenden derden makkelijk kunnen binnenkomen, is het slechte nieuws. Het goede nieuws is dat een paar vaak simpele en weinig kostende maatregelen het hen dusdanig moeilijk maakt, dat hun kostenbaten-afweging voor hen niet goed uitpakt. Middels een korte scan van één dag zijn deze risico’s en daarmee ook de mogelijke maatregelen voor u bloot te leggen. Ik hoop dat we inderdaad dadelijk weer naar het oude normaal terug kunnen, maar wel verrijkt met een hoger digitaal bewustzijn en expliciete zorg voor ons aller kroonjuwelen. Laat dit dan maar het nieuwe normaal zijn!

Ben je benieuwd naar het magazine van Noord-Limburg Business? Kijk dan op deze link!

In 2021 heb ik geprobeerd het bewustzijn van mijn lezer op het gebied van privacy en cybersecurity te vergroten door middel van beschouwende stukjes over mijn ervaringen en een inhoudelijke toelichting hier en daar. Inmiddels heb ik begrepen dat de ‘gemiddelde mkb’er’ (ik wist niet dat deze bestond) het vooral waardeert als er concrete tips worden gegeven die eenvoudig in de praktijk toepasbaar zijn. Nu ben ik zelf ook van mening dat veel cyberonheil vaak voorkomen had kunnen worden door soms in mijn ogen simpele maatregelen. Daarom staan deze simpele maatregelen dit jaar centraal in mijn columns.

De eerste maatregelen die mits goed uitgevoerd al heel veel hackers buiten de deur houdt, is het gebruik van een goed wachtwoord. Volgens het Virizon Data Breach Investigations Report zijn gecompromitteerde wachtwoorden goed voor 81% van alle hacks. Het National Institute of Standards and Tech-nology (NIST) heeft deze vraag naar wachtwoorden behandeld in een specifieke publicatie. Dus wat te doen:

1. Het gaat niet om de complexiteit van het wachtwoord, maar de lengte. Daarom wordt een minimale lengte van acht karakters geadviseerd.

2. Te frequente verplichte wijziging van wachtwoorden maakt de wachtwoorden slechter. Deze zijn te moeilijk te onthouden waardoor er patronen worden gebruikt die een hacker ook kan bedenken.

3. Laat het wachtwoord zien als het wordt ingevoerd. Dit voorkomt de typo’s, waardoor mensen weer kiezen voor te korte/simpele wachtwoorden.

5. Gebruik geen ‘wachtwoord hints’. Door onder andere social media of ‘social engineering’ zijn de antwoorden van deze hints makkelijk(er) te vinden.

4. Gebruik ‘multi-factor-authenticatie’.

Ben je benieuwd naar het magazine van Noord-Limburg Business? Kijk dan op deze link!

Weer is er een grote hack in het nieuws: VDL. Weer wordt een grote organisatie vrijwel lam gelegd en loopt de bedrijfscontinuïteit gevaar. Weer wordt er door diverse gremia gewaarschuwd voor dit gevaar en weer blijkt uit allerlei onderzoeken dat er zeker in het mkb te weinig wordt gedaan én dat soms de meest basale maatregelen ontbreken. Al enkele jaren wordt geroepen dat ‘het mkb’ een ‘sitting duck’ is voor hackers en toch blijven de cijfers van het aantal mkb’ers dat succesvol is gehackt constant en hoog. De aanbieders van diensten die hulp bieden bij bescherming tegen deze risico’s uiten zich ook veelal in dezelfde bewoordingen; het risico wordt pas echt serieus genomen op het moment dat het geen risico meer is maar een voldongen feit.

Hoe komt het toch dat zelfs een kleine moeite op dit vlak om dit soort risico’s inzichtelijk te krijgen en te verkleinen of te elimineren zo lastig blijkt? Dit heeft in een aantal gevallen een hele plausibele verklaring. Eén daarvan is het gebruik van maatwerk automatisering. Veel mkb’ers zijn niet gisteren hun bedrijfsprocessen gaan automatiseren. Daar zijn ze soms al jaren mee bezig. Al voordat ‘internet’ en ‘de cloud’ een breed en bekend fenomeen was. Samen met softwareleveranciers is jarenlang een grote hoeveelheid kennis en geld geïnvesteerd om een applicatie te bouwen die specifiek is voor de bedrijfsprocessen van deze mkb’er.

In deze applicaties zit dus heel veel kennis, tijd en geld én ze leveren ook vandaag nog steeds veel toegevoegde waarde voor de desbetreffende onderneming. Ze zijn vaak echter niet gebouwd met behulp van de laatste technologieën en zijn soms zelfs niet gebouwd ‘om aan het internet gehangen te worden’. Toch gebeurt dat. Men wil immers vooruit, maar men wil ook de gedane investering (en wellicht het concurrerend voordeel) niet weggooien. Dus is het vaak: “zo lang het goed gaat, gaat het goed”. In de IT is vaak niks zo permanent als een tijdelijke oplossing.

Het merendeel van de ‘gaten’ in de afweer hebben nog vaak hun oorsprong in ‘overblijfselen’ uit letterlijk de vorige eeuw. Veel (grotere) softwareleveranciers zijn zich dit bewust en accepteren het dus niet meer als je bij hun software niet tijdig een update doorvoert of een ‘security patch’ installeert. In een verouderde versie blijven hangen, kan in deze gevallen vaak niet meer. Maar in andere gevallen wel. En dan kunnen er geen updates meer ‘gedraaid’ worden. Want dat wordt dan een hele nieuwe systeemimplementatie en dan kunnen er ook geen security patches meer worden doorgevoerd, want die zijn niet ‘compatible’ met de software in productie. Zie hier een beknopt voorbeeld van een ‘sitting duck’ voor een niet te overijverige hacker.

Wat te doen? Allereerst begint het met goed inzicht in de specifieke situatie, de risico’s maar ook de mogelijke oplossingen met hun voor- en nadelen. Soms is het mogelijk om de verouderde applicatie ‘stand-alone’ te laten draaien (niet op het netwerk welke aan het internet is verbonden). Soms blijken er al standaardoplossingen te zijn die het maatwerk heel dicht naderen. Maar, zo hoor ik regelmatig, “daar hebben wij toch niet de tijd en kennis voor om dit allemaal goed uit te zoeken”. Natuurlijk kom ik graag helpen, maar veel belangrijker is volgens mij dat deze mkb’ers zich meer gaan organiseren op dit vlak. We zien dat er allerlei overlegstructuren zijn bij banken, verzekeraars, accountants, ziekenhuizen en overheden, etc om (specifieke) kennis te delen en zich zo beter te kunnen wapenen tegen deze gemeenschappelijke dreiging. En met een toenemend succes. In het mkb zijn deze nog steeds (te) schaars en (te) beperkt in omvang. Wanneer gaat de rasondernemer, waar de gemiddelde mkb’er zich op laat voorstaan, eens gezamenlijk iets ondernemen om dit gevaar te keren en kijkt deze daarbij over de schutting van de eigen onderneming? Ik hoop snel, en help graag elk initiatief op dit vlak te ondersteunen.

Ben je benieuwd naar het magazine van Noord-Limburg Business? Kijk dan op deze link!