Cybersecurity: hoe goed is jouw bedrijf beschermd?
Inzicht is de sleutel tot de oplossing
1 Cybersecurity: hoe goed is jouw bedrijf beschermd?
Inhoud
Voorwoord
3
1
Resultaten onderzoek cybersecurity in het MKB
5
2
Verhalen uit de praktijk
8
3
Ransomware: gijzeling in de virtuele wereld
10
4
Veilig wachtwoord, een open deur?
13
5
Tot slot
15
31
2
Voorwoord
Het gebruik van ICT en internet groeit al jaren explosief in Nederland. Ruim 61% van de werknemers in Nederland gebruikt internet tijdens hun werkzaamheden. Door de steeds groter wordende afhankelijkheid van digitale systemen en netwerken ontstaan er nieuwe bedrijfsrisico’s voor ondernemers. Digitale veiligheid is een ondergeschoven kindje Sommige ondernemers weten niet waar te beginnen met cybersecurity en schuiven het daarom op de lange baan. Anderen denken dat het voor hun bedrijf zo’n vaart niet zal lopen, dat ze geen interessant doelwit zijn. Maar ze vergeten daarbij dat een virus niet per se een persoonlijke aanval is, criminelen schieten met hagel om zoveel mogelijk te raken. Cyberproblemen worden bovendien niet alleen door cybercrime veroorzaakt, ook door menselijke fouten, technisch falen en calamiteiten. Kortom, in deze tijd kun je als ondernemer niet meer om digitale veiligheid heen.
3 Cybersecurity: hoe goed is jouw bedrijf beschermd?
Vergroot je kennis Definitie cybersecurity: met dit e-book In dit e-book bedoelen Om je te helpen je kennis we met cybersecurity over cybersecurity te of digitale veiligheid het vergroten, bieden we je beveiligen tegen gevaar of dit e-book aan. Hierin schade door verstoring, lees je over de meest uitval of misbruik van ICT. voorkomende vormen van cybercrime, krijg je praktische adviezen en handige tips om de basis van je beveiliging op orde te brengen. Daarnaast delen wij de resultaten van een onderzoek dat wij samen met onze partner Capgemini hielden onder ruim 500 ondernemers in het Midden- en Kleinbedrijf. Meer inzicht helpt ondernemers om risico’s aan te pakken Samen met Capgemini zijn wij het erover eens: om cybersecurity kun je in deze tijd niet meer heen als ondernemer. Daarom pakken wij graag samen met jou jouw risico’s aan. Maar alleen als je wéét welke risico’s jouw bedrijf loopt, kun je
Voorwoord
maatregelen treffen om ze te voorkomen of te beperken. We hopen dat dit e-book jouw inzicht in cybersecurity vergroot. Wil je alvast een snelle inschatting van hoe jouw bedrijf ervoor staat? Met de CyberPreventieCheck heb je in 1 minuut al inzicht in de cyberrisico’s van jouw bedrijf. Wij wensen je veel leerzaam leesplezier! Sjak van Nieuwkuijk, namens de Interpolis Preventiedesk
4 Cybersecurity: hoe goed is jouw bedrijf beschermd?
1 Resultaten onderzoek cybersecurity in het MKB
In het MKB staan veel digitale belangen op het spel. Ongeveer de helft van de door ons ondervraagde bedrijven gebruikt digitale betalingsvormen zoals creditcardbetalingen of online betalingsmogelijkheden.
Ondernemers onderschatten het risico van digitale dreigingen Ongeveer 65% van de deelnemers aan ons onderzoek verwacht dat het cyberrisico dat zij lopen de komende 5 jaar gelijk blijft.
Ook bewaart ongeveer de helft van de ondervraagde bedrijven intellectueel eigendom of vertrouwelijke gegevens. 40% van de bedrijven maakt gebruik van persoonsgegevens, terwijl ongeveer 20% gebruik maakt van computergestuurde machines. Cyberaanvallen,
Ik verwacht dat het bedrijfsrisico dat ik loop met betrekking tot cybersecurity binnen nu en vijf jaar...
3%
32%
diefstal van gegevens of uitval van het netwerk kunnen daarom ernstige imago- of financiële schade veroorzaken.
stijgt gelijk blijft daalt
5 Cybersecurity: hoe goed is jouw bedrijf beschermd?
65%
1 Resultaten onderzoek cybersecurity in het MKB
Van alle risico’s waarvan ondernemers wakker liggen komen cyberverstoringen op de 6e plaats en moedwillige cyberdreigingen op plaats 9. Hier is werk aan de winkel! Slechts 32% verwacht dat dit risico stijgt. Deelnemers die aangaven te verwachten dat het cyberrisico stijgt, maakten al eens een cyberverstoring of -dreiging mee. Het inzicht van ondernemers in cyberrisico lijkt beperkt Bewustwording van de afhankelijkheid van ICT-middelen en toepassingen en de daaraan verbonden risico’s is noodzakelijk. Een eenvoudige audit of check kan deze blinde vlek bij de ondernemer wegnemen. Ondernemers nemen onvoldoende maatregelen Een aantal basale zaken, zoals het gebruik van firewalls en antivirussoftware, wordt wel toegepast maar is in veel gevallen niet afdoende om cybercriminaliteit te voorkomen. Onjuist gebruik van wachtwoorden is de achilleshiel. Hackers delen hun kennis over veelgebruikte wachtwoorden met elkaar. Op internet circuleren zelfs lijstjes van veelgebruikte
Bedrijfsrisico's in het MKB Verzwakking van de economie
82
Toenemende concurrentie
80
Personele calamiteiten
77
Veranderingen in weten regelgeving
77
Bedrijfseconomische calamiteiten
77
(Niet moedwillige) verstoring of uitval van ICT door menselijk falen, brand of wateroverlast
71
Natuurlijke calamiteiten
67
Ongelukken met uw auto(’s) of andere vervoersmiddelen
67
(Moedwillige dreigingen van criminelen) verstoring, uitval of misbruik ICT
66
Prijsrisico grondstoffen
64 0%
6 Cybersecurity: hoe goed is jouw bedrijf beschermd?
50%
100%
1 Resultaten onderzoek cybersecurity in het MKB
wachtwoorden. Doordachter gebruik van wachtwoorden is zeker een quick win. Beter inzicht in de risico’s verlaagt de kans op incidenten De groeiende afhankelijkheid van ICT in onze maatschappij brengt een grotere impact bij verstoring met zich mee. Toepassingen beperken zich allang niet meer alleen tot de computer op het bureau, maar zitten ook in de productieomgeving,
7 Cybersecurity: hoe goed is jouw bedrijf beschermd?
TIP
Kies voor wachtwoorden met minimaal 8 tekens, voeg (hoofd)letters, leestekens en cijfers toe en wissel ze regelmatig.
logistiek, mobiele apparaten, auto’s, televisies en ga zo maar door. Met beter inzicht in de risico’s die zijn bedrijf loopt, kan de ondernemer de kans op incidenten en de impact ervan verlagen. En dat vraagt lang niet altijd om grote investeringen. Met relatief eenvoudige middelen en discipline in het up-to-date houden van genomen maatregelen wordt de drempel voor verstoringen en cybercriminelen al een stuk verhoogd. Download het volledige rapport ‘Cybersecurity in het MKB’.
2 Verhalen uit de praktijk
Volgens de politie en de overheid werd vorig jaar 40% van de Nederlandse ondernemers slachtoffer van cybercrime. Niemand loopt echter met de cijfers te koop, dus de omvang van de schade is moeilijk te bepalen. Naar verwachting gaat het om vele tientallen miljoenen euro’s. Het meest onderschatte risico van cybercrime is de indirect schade, zoals de tijd die het je kost om het lek te dichten en de schade te herstellen. En vergeet de reputatieschade niet. Die is vaak onherstelbaar en heeft een enorme impact op de bedrijfscontinuïteit. Daar weten de volgende ondernemers alles van …
8 Cybersecurity: hoe goed is jouw bedrijf beschermd?
Financiële sector aantrekkelijk voor internetcriminelen Notaris De Groot had nooit gedacht dat zijn kantoor een aantrekkelijk doelwit kon zijn voor hackers. Want wat is er nou saaier dan een notariskantoor? Voor hem was het een ver-van-mijn-bed-show, totdat hij aan den lijve ondervond dat hacken al lang niet meer het domein is van verveelde pubers op zolderkamers. Zonder dat De Groot of zijn medewerkers er ook maar iets van merkten, wist een cybercrimineel namelijk de beveiliging van het computernetwerk te kraken en door te dringen tot het boekhoudsysteem. Daar snuffelde hij op zijn gemak rond, op zoek naar een op stapel staande transactie waarmee een groot geldbedrag gemoeid was. Toen hij die gevonden had, paste hij, vlak voor het passeren van de akte, het rekeningnummer van de begunstigde aan in het boekhoudsysteem. Met 1 simpele druk op de entertoets, maakte notaris De Groot op de dag van het passeren van de akte het daarbij behorende geldbedrag over. Naar het rekeningnummer van de crimineel … Inmiddels heeft notaris De Groot de beveiliging van zijn boekhoudsysteem goed op orde, maar het kostte hem de nodige moeite om deze flater uit de publiciteit te houden!
2 Verhalen uit de praktijk
Intellectueel eigendom en andere ‘bedrijfsgeheimen’ Cybercriminelen zijn niet alleen uit op geld, maar steeds vaker ook op vertrouwelijke informatie zoals intellectueel eigendom en bedrijfsgeheimen. Bijna alle bedrijven hebben hun kennis tegenwoordig opgeslagen op een harde schijf of in een cloud. Dat dat niet altijd even veilig is, weet een Nederlands bedrijf dat hijskranen ontwikkelt inmiddels als geen ander! Jarenlang werkten ze gedreven aan het ontwerp van een nieuw type hijskraan. Eindelijk waren ze klaar en presenteerden ze vol trots hun nieuwe uitvinding op een beurs in Duitsland. 50 meter verderop blijkt een Aziatisch bedrijf met exact dezelfde uitvoering te staan. Tijdens het R&D traject is meegekeken en alle informatie is digitaal gestolen. En tot overmaat van ramp kan de kraan door het Aziatische bedrijf ook nog eens tegen lagere kosten gebouwd worden. Een enorme domper voor de mensen die er jarenlang met hart en ziel aan werkten.
9 Cybersecurity: hoe goed is jouw bedrijf beschermd?
TIP Een firewall houdt de meeste aanvallen van hackers, computervirussen, spyware en ransomware buiten. Stel firewalls daarom goed in!
Gijzeling van bedrijfssystemen Een van de medewerkers van een postorderbedrijf ontving een mail met een link. Nadat hij op die link klikte, blokkeerde het hele bedrijfssysteem. De directie kreeg vervolgens het verzoek om een bedrag over te boeken om zo de blokkade ongedaan te maken. Daar gingen ze niet op in, want ze realiseerden zich wel dat dan het hek van de dam was. Maar ze maakten wel veel kosten om alles weer op orde te krijgen. In het volgende hoofdstuk leggen we het begrip ‘ransomware’ verder uit en geven we je tips om te voorkomen dat jouw bedrijf er slachtoffer van wordt.
3 Ransomware: gijzeling in de virtuele wereld
Losgeld geëist voor gijzeling van computersysteem Het woord zegt het eigenlijk al. Ransomware is een chantagemethode waarmee criminelen losgeld (ransom) vragen voor ‘gijzelingen’ in de virtuele wereld. Anders dan in de echte wereld gijzelt men niet een persoon, maar een computersysteem of één of meerdere bestanden. En dat gebeurt op een vernuftige manier. Welke vormen van ransomware zijn er? Er is ransomware dat de vorm van een antivirusprogramma aanneemt. Het laat je weten dat er een virus op je computer is aangetroffen en dat je direct moet handelen om erger te voorkomen. Om het probleem op te lossen moet je een programma ‘kopen’. Maar wat je op zo’n moment eigenlijk doet, is losgeld betalen. Een andere – veel voorkomende – manier is aan het begin van dit artikel beschreven. Wees ook voorzichtig met het downloaden en installeren van
10 Cybersecurity: hoe goed is jouw bedrijf beschermd?
programma’s en software via internet. Want ook daar kan ransomware in versleuteld zijn. Ransomware wordt ook vaak verstopt in advertenties. Je hoeft niet eens altijd bewust op een advertentie te klikken: criminelen verstoppen hun kwaadaardige programmatuur op ‘onzichtbare’ plekken op sites. Alleen al door een bezoek aan de pagina waarop de advertentie staat, raakt je computer besmet. Een ‘drive-by-download’ noemt men dat. Kan ik voorkomen dat ik slachtoffer word van ransomware? Ransomware kun je overal in het digitale verkeer oplopen, besmetting is helaas nooit volledig te voorkomen. Een besmetting met ransomware zegt trouwens niets over het (surf)gedrag van de computergebruiker. Soms raken computers besmet via een reguliere website die door criminelen is gehackt. Wel bevatten pagina’s met veel (seks)advertenties gemiddeld genomen vaker ransomware, websites van bekende ‘sterke merken’ hebben er vaak minder last van.
3 Ransomware: gijzeling in de virtuele wereld
Hoe kan ik de kans op besmetting verkleinen? • Zorg ervoor dat je je besturingssysteem en programma’s altijd up-to-date houdt. • Surf alleen op het internet met antivirusprogramma. • Open geen onbekende bijlagen van e-mails. • Geef nooit je gebruiksnaam, wachtwoord, of inlogcodes af. • Wees alert bij het downloaden van bestanden. Zorg dat je computers goed beveiligd zijn Maak het cybercriminelen zo lastig mogelijk: • Installeer een virusscanner, spamfilter en anti-spyware. • Maak duidelijke afspraken met je medewerkers over het bezoeken van websites en social media. • Beperk zo mogelijk de rechten van gewone gebruikers om zelf software te installeren op bedrijfscomputers. Beperk de zogenaamde ‘admin-rechten’ tot degenen die ze echt nodig hebben.
11 Cybersecurity: hoe goed is jouw bedrijf beschermd?
WEL
NOOIT DOEN: LOSGELD BETALEN Betalen aan de cybercriminelen geeft je geen enkele garantie dat bestanden of de toegang tot je computers worden hersteld. Het maakt vaak alleen de kwetsbaarheid van je bedrijf groter: men weet dat je bereid bent om losgeld te betalen en dat maakt je een interessant slachtoffer, ook in de toekomst.
DOEN: DE POLITIE WAARSCHUWEN Doe aangifte van cybercriminaliteit, dat kan bij ieder politiebureau in Nederland. Je kunt ook anoniem melding doen. Dit kan via Meld Misdaad Anoniem: 0800 7000 of op meldmisdaadanoniem.nl.
3 Ransomware: gijzeling in de virtuele wereld
Toch besmet? Zo verwijder je ransomware Veel ransomware is te verwijderen zonder gegevens kwijt te raken, maar voor de meeste ransomware geldt wel een specifieke aanpak. Soms werkt een gewone anti-virusscanner, maar meestal moet je (voor Windows) in de veilige modus werken om de malware succesvol te verwijderen. Op internet zijn verschillende stappenplannen te vinden, bijvoorbeeld op fraudehelpdesk.nl, pcwebplus.nl en computerworld.nl. Twijfel je? Haal er dan een deskundige computerreparateur bij.
12 Cybersecurity: hoe goed is jouw bedrijf beschermd?
4 Veilig wachtwoord, een open deur?
Zeg eens eerlijk: kies jij online steeds weer een ander, ingewikkeld wachtwoord? Of gebruik je keer op keer zorgeloos hetzelfde? Dat laatste is wel de meest makkelijke, maar niet de meest veilige weg. Zeker als je wachtwoord toegang geeft tot vertrouwelijke, privacygevoelige of financiële informatie. Regelmatig je wachtwoorden aanpassen is dus noodzakelijk. Dat lijkt een open deur, maar de praktijk wijst uit dat dit bij veel bedrijven wordt vergeten. Jouw wachtwoord is geld waard Criminelen kunnen met jouw wachtwoord je bedrijfsgeheimen of andere vertrouwelijke informatie stelen. Die verkopen ze aan hun opdrachtgever of aan de hoogste bieder. En hebben ze je pincode achterhaald, dan is het een koud kunstje om jouw geld naar hun eigen rekeningen door te sluizen.
13 Cybersecurity: hoe goed is jouw bedrijf beschermd?
Er zijn verschillende methodes om je wachtwoord te achterhalen Cybercriminelen gebruiken scripts dat automatisch ontelbare wachtwoorden uitprobeert. Net zolang tot het een keer ‘raak’ is. Of ze versturen e-mailberichten met malware om computersystemen te infecteren. Zo verkrijgen ze op afstand toegang tot het computersysteem. Ze kijken als het ware met je mee en gaan vervolgens met je wachtwoorden en vertrouwelijke informatie aan de haal.
TIP Een software-update is een gratis bescherming tegen beveiligingslekken. Voer daarom alle softwareupdates altijd direct uit!
Hackers delen hun kennis over veelgebruikte wachtwoorden met elkaar Op internet circuleren zelfs lijstjes van veelgebruikte wachtwoorden. Zorg dat je deze in ieder geval niet gebruikt. Dat geldt uiteraard ook voor de fabrieksinstellingen (0000)!
4 Veilig wachtwoord, een open deur?
Vermijd voorspelbare wachtwoorden De scripts die criminelen inzetten om je wachtwoord te achterhalen, werken volgens een bepaalde logica. Vermijd daarom altijd: • woorden of tekens in een voorspelbare volgorde (12345, abcde) • letters naast elkaar op he toetsenbord (qwert) • een herhaling van tekens (22222) • woorden uit een woordenboek, in welke taal dan ook • woorden die achterstevoren zijn gespeld en afkortingen Bescherm zeer waardevolle informatie met tweestapsautorisatie Met tweestapsautorisatie of -verificatie plaats je een extra slot op de deur. Je legt als het ware een extra beschermlaag aan. Stel je dit in, dan wordt bij het inloggen niet alleen gevraagd om een gebruikersnaam en wachtwoord als autorisatie. Maar bijvoorbeeld ook om een vingerafdruk of om een code die je per sms ontvangt.
14 Cybersecurity: hoe goed is jouw bedrijf beschermd?
Tips voor een sterk wachtwoord • Hoe korter het wachtwoord, hoe sneller het wordt gekraakt door automatisch scripts. Kies een woord van minimaal 8 tekens. • Kies een wachtwoord dat je niet zomaar vergeet. • Gebruik zoveel mogelijk verschillende tekens en symbolen (letters, hoofdletters, cijfers, leestekens). Vervang bijvoorbeeld een E door een 3 of een S door een $. • Sluit het woord af met een symbool. • Vervang je wachtwoorden regelmatig. En gebruik niet 1 standaard wachtwoord, maar varieer. Voor de toegang tot vertrouwelijke, financiële of privacygevoelige informatie gebruik je het liefst unieke wachtwoorden. • Zet een wachtwoordkluis op je computer. Hierin sla je al je veilige wachtwoorden versleuteld op. Natuurlijk kies je voor deze kluis ook een veilig wachtwoord …
5 Tot slot
Je bent een ondernemer, dus je weet: risico’s zijn er altijd. En natuurlijk laat je je daardoor het plezier van het ondernemerschap niet ontnemen! Maar het is goed om jezelf te realiseren dat cybercrime een bedrijf net zo goed kan platleggen als een grote brand of inbraak. Neem je cyberrisico’s dus serieus. Evalueer periodiek en bepaal welke maatregelen er nodig zijn om jouw risico’s te verkleinen of voorkomen. Precies zoals je doet met brandrisico’s en inbraakrisico’s. Zo ben je optimaal in control over de veiligheid van
We geven je graag meer inzicht met de CyberPreventieDienst Interpolis helpt je graag jouw digitale weerbaarheid te vergroten om zo schade te voorkomen. In dit e-book kreeg je meer informatie en handige tips over cybersecurity en cyberrisico’s. Samen met Capgemini bieden wij de Interpolis CyberPreventieDienst voor het MKB. Tijdens een gesprek met jou en je ICT-beheerder inventariseert onze cyberrisico-expert welke risico’s specifiek voor jouw bedrijfssituatie gelden en of je daarvoor voldoende maatregelen hebt genomen. Je krijgt een rapport van eventuele zwakke plekken in je beveiliging en je processen. Met uiteraard praktische adviezen om jouw bedrijf nog beter te wapenen tegen cyberrisico’s.
TIP
Zorg voor een noodplan voor als het toch misgaat. Dan heb je snel je bedrijf weer op de rit!
jouw bedrijf. Ook online.
15 Cybersecurity: hoe goed is jouw bedrijf beschermd?
Inzicht in 1 minuut Inzicht in je risico’s helpt. De CyberPreventieCheck geeft je een eerste beeld van je cyberrisico’s en je cybersecurity. Je vult een korte vragenlijst in en hebt direct een indicatie. Zodat je weet welke preventiemaatregelen (nog) nodig zijn om veilig online te ondernemen.
6 Meer informatie
Wil je meer informatie over cybersecurity voor jouw bedrijf of over de CyberPreventieDienst? Kijk op interpolis.nl/cyber of download het onderzoeksrapport ‘Cybersecurity in het MKB’. Wil je meer informatie over andere bedrijfsrisico’s en preventietips? Kijk dan op interpolis.nl/bedrijfsrisico. Of neem contact op met de Interpolis Preventiedesk via telefoonnummer 013 - 462 26 22 of per e-mail
[email protected].
www.interpolis.nl/cyber
Onderzoeksrapport ‘Cybersecurity in het MKB’