Hoe onderneem ik veilig op internet?

Hoe onderneem ik veilig op internet? Criminelen weten hun weg online steeds beter te vinden en dat merken ondernemers. 60 procent van de mkb’ers maakt zich zorgen over de beveiliging van systemen tegen cybercrime, blijkt uit een peiling onder achthonderd ondernemers van Panteia in opdracht van MKB-Nederland. Toch onderschatten ondernemers nog steeds het risico op en de gevolgen van cybercrime. Lees je in, neem maatregelen en verklein de kans dat je slachtoffer wordt van internetcriminelen!

In dit whitepaper: Wat is cybercrime? Hoe beveilig ik mijn cloudomgeving? Hoe beveilig ik mijn bedrijf en mijn data? Tips van ondernemers en experts

tip  Smartphone beveiliging Hackers richten hun kwaadaardige software steeds vaker op mobiele telefoons. Beveilig je smartphone, door een firewall en virusscanner te installeren en het netwerk ervan te beveiligen. Wijzig je standaard pincode van 0000 of 1234 naar een andere code en kijk welke beveiliging je telecomdienst of IT-verlener verder aanbiedt.

Wat is cybercrime? Cybercrime, computercriminaliteit, digitale criminaliteit: stuk voor stuk termen voor een vorm van criminaliteit die zich richt op computers of andere systemen zoals mobiele telefoons en pinautomaten. Deze criminaliteit is niet alleen gericht op banken en grote organisaties: volgens schattingen van de politie is ongeveer 40 procent van de Nederlandse ondernemers afgelopen jaar slachtoffer geweest van cybercrime. Doel van cybercrime Het doel van internetcriminelen is uiteenlopend. In veel gevallen is het financieel gewin: door in te breken in systemen, kunnen hackers de ondernemers erachter afpersen. En met ‘succes’: volgens de politie komt de opbrengst van cybercrime op in totaal honderd miljard dollar wereldwijd. Anderzijds dient cybercrime voor veel hackers ook een idealistisch doel. Ze willen een grote speler buitenspel zetten of hun ongenoegen uiten over de werkwijze van een (politieke) organisatie.

www.mkbservicedesk.nl/cybercrime

1

Wouter Parent eigenaar van WeSecureIT “Vaak wordt gedacht dat een cyberaanval altijd via eentjes en nulletjes komt, maar zo’n aanval kan net zo goed fysiek zijn. Een ‘schoonmaker’ die de stekker uit je server trekt in het serverhok of een ‘pakketbezorger’ die even een USB-stick inplugt en daardoor verbinding van binnen naar buiten kan maken. Dit proberen hackers vaak als de aanval van buiten naar binnen niet werkt.”

Pieter Dietz de Loos advocaat en eigenaar van Cardec “Ik ben eigenaar van een BKR-achtige organisatie voor advocaten, notarissen, accountants en belastingadviseurs. Zij kunnen online kredietgegevens opvragen, bijvoorbeeld om te zien of klanten een rekening van één van de aangesloten dienstverleners hebben openstaan. Daarmee beheert Cardec privacygevoelige gegevens van miljoenen mensen, die zorgvuldig beschermd moeten worden.”

Soorten cybercrime Het welbekende virus ken je waarschijnlijk wel, maar er zijn meer vormen van cybercrime. Een beschrijving. n Botnet Een botnet is een netwerk van meerdere geïnfecteerde computers die aangestuurd worden door een centrale server en automatisch opdrachten uit kunnen voeren. Hackers hebben dit netwerk aan computers verzameld via bijvoorbeeld een Trojan Horse (zie verderop) en kunnen dit vervolgens verkopen aan iemand die een systeem wil platleggen via een DDoS-aanval (zie verderop). n Cyberafpersing Criminelen dreigen met de vernietiging of het afhandig maken van je computergegevens of dreigen met smaad. Een bekende chantagemethode is het virusprogramma ransomware. Dit programma vergrendelt je computer, waarna je van een (zogenaamd) betrouwbare bron het bericht krijgt dat je bijvoorbeeld kinderpornosites hebt bezocht en een boete moet betalen. n Defacing Bij defacing veranderen cybercriminelen de inhoud van je content (bijvoorbeeld een webpagina), zonder dat jij dat wil. Een bekend voorbeeld is dat een hackersgroep (zoals Anonymous) je website hackt, om vervolgens groot in beeld ‘U BENT GEHACKT’ te brengen of de gegevens op je webpagina te veranderen. n DoS-aanvallen of DDoS-aanvallen (Denial of Service en Distributed Denial of Service) Een DoS-aanval of DDoS-aanval is een poging om een website of internetdienst onbruikbaar te maken door de server te overbelasten. Zo’n aanval wordt uitgevoerd door één persoon (DoS-aanval) of door meerdere personen (DDoS-aanval). Dit gebeurt regelmatig bij commerciële bedrijven, diensten van banken, diensten van creditcardmaatschappijen of e-maildiensten, vaak met een politiek, activistisch of terroristisch doel. DDoS-aanvallen zullen zich ook vaker op middelgrote en kleine bedrijven richten, volgens cybercrimespecialist Wouter Parent.

www.mkbservicedesk.nl/cybercrime

2

Jasper Risseeuw eigenaar Creative Internet Development “Om een veilige verbinding tussen je server en de internetgebruiker te creëren, kun je een SSLcertificaat gebruiken. En check met een McAfee secure scan je website dagelijks op veiligheid.”

Berco Beute ticketsysteem Paylogic “Veilig online ondernemen is bij ons verweven in alle interne protocollen, omdat het één van de primaire pijlers is waar Paylogic op rust en waarvan we het belang dus nooit onderschatten. Van veiligheid rondom betaalmethodes via specialist Ogone en platformen tot de ingevoerde consumentendata.” “De vorm van cybercrime die we het meest vrezen is een DDoSaanval, omdat je je daar moeilijk tegen kunt beschermen. De enige oplossing is uitbreiding van je systeem, zodat je een enorme toename in dataverkeer en verzoeken kunt afhandelen. Bij de start van een verkoop van een populair evenement wil een enorm aantal mensen - soms in de miljoenen - op hetzelfde moment een ticket kopen. Zo’n piekbelasting van dataverkeer heeft overeenkomsten met een DDoS-aanval, iets wat wij op moeten kunnen vangen.”

n Kwaadaardige software Kwaadaardige software, ook wel malware genoemd, zijn programma’s die zich in je computer nestelen en schadelijke bestanden verspreiden. Als de hacker eenmaal binnen is, dan zijn alle machines binnen je bedrijf van hem. Voorbeelden van malware zijn Trojan Horses, worms, rogueware en spyware. • Rogueware is een nepprogramma dat zich voordoet als legitiem. Denk aan een nep anitiviruspakket dat kwaadaardig blijkt te zijn. Na installatie geeft het programma de melding dat je geïnfecteerd bent met diverse virussen. Wil je deze verwijderen, dan kost je dat - zeg - 100 euro. • Een Trojan Horse is een legitiem programma, zoals een spelletje of pdf-bestand, dat een ‘achterdeur’ of spywareprogramma op je computer installeert. Via die ingang krijgt een hacker contact met je computer en kan hij de computer onderdeel laten uitmaken van een botnet. •  E en worm is een programma dat zichzelf verspreidt, door kopieën op de gedeelde harde schijf te maken en een achterdeur te installeren. Een worm zit vaak in de bijlage van een e-mail van de gebruiker van een geïnfecteerde computer. n Phishing Via een vervalste website of e-mail wordt om je persoonlijke gegevens gevraagd. Een internetcrimineel die uit jouw (bedrijfs)naam een mail naar je klanten stuurt en hen persoonlijke gegevens afhandig maakt, valt ook onder phishing. n Spam Ongevraagde commerciële berichten op websites en fora en/of ongevraagde e-mails. Spam wordt meestal naar grote aantallen mensen verstuurd, heeft een commercieel doel en wordt verstuurd zonder toestemming van de website waarop het bericht staat of toestemming van de ontvanger. Spam is niet gevaarlijk; het is vooral irritant.

www.mkbservicedesk.nl/cybercrime

3

Wouter Parent eigenaar van WeSecureIT “Voor een ondernemer zijn de gevolgen van kwaadaardige software erger dan voor particulieren. Een particulier loopt naar de computerwinkel op de hoek en kan zijn laptop twee dagen later weer schoon ophalen. Bij een bedrijf gaat het vaak om álle pc’s. En nog belangrijker: alle gegevens over en van het bedrijf zijn gestolen.”

n Virus De meest bekende vorm van cybercrime is een virus: een computerprogramma dat zich in een bestand op je computer nestelt. Een virus kan gevoelige informatie wissen en verspreiden of je computer onklaar maken. De meest agressieve virusvorm is een Polymorphic Virus. Dit virus nestelt zich in je computer en verandert vervolgens steeds van vorm, terwijl de ongewenste code actief blijft. Een gratis virusscanner herkent een virus daardoor niet als zodanig; een betere virusscanner kan dit vaak wel.

tip Beveilig je smart tv Zorg dat je smart tv via beveiligd kabelinternet werkt in plaats van via draadloos internet. Daarmee beperk je de risico’s op hacking en spionage. En pas de fabriekswachtwoorden aan.

www.mkbservicedesk.nl/cybercrime

4

tip UTM firewall Een extra veilige internetverbinding? Bescherm hem met een UTM firewall. Deze firewall met virusbescherming biedt meer veiligheid dan het modem van je internetprovider.

tip Virusscanner Eenmaal een virusscanner geïnstalleerd, dan ben je er nog niet. Je moet een virusscanner minstens één keer per dag updaten, anders heb je er niks aan.

Wouter Parent eigenaar van WeSecureIT “Een hacker kan in één seconde, vierduizend wachtwoorden uitproberen. Die heeft binnen een uur je netwerk platgelegd, zéker als je een wachtwoord als ‘Pietje80’ voor je clouddiensten gebruikt. Combineer je eigen postcode met die van je moeder plus een naam of quote erbij, en typ deze gedeeltelijk met shifttoets ingehouden in. Dan heb je een veel lastiger te kraken wachtwoord.”

Hoe beveilig ik mijn cloud omgeving? Cloud computing en smart tv zijn relatief nieuwe online mogelijkheden. Wat zijn de risico’s ervan en hoe kun je cloud computing veilig maken? Smart tv nieuw doelwit Computercriminelen beperken zich niet tot je computeromgeving, ze dringen steeds vaker ook de huiskamer en de vergaderruimte binnen, constateert beveiligingsleverancier G Data. Vooral smart tv’s vormen een makkelijk doelwit. Ze zijn aangesloten op internet en vrijwel niet beveiligd. Een router ontbreekt vaak, wat ongewenst internetverkeer kan opleveren en hackers de mogelijkheid geeft om te spioneren in je bedrijf. Kwaadwillenden kunnen zelfs de controle over je televisie overnemen, via geïnfecteerde firmware-updates. Risico’s van de cloud Ook de cloud wordt een gewild doelwit nu cloud computing aan populariteit wint, voorziet het Amerikaanse informatiebeveiligingsbedrijf Symantec. Niet alleen is er in de cloud veel gevoelige data te halen, ook is cloud computing kwetsbaar door de combinatie met BYOD (Bring Your Own Device), waarbij medewerkers met eigen (slecht beveiligde apparatuur) inloggen op het bedrijfsnetwerk. Bovendien is beveiliging van grote clouds, zoals Google Apps, online boekhoudpakketten, webmail, iCloud en Dropbox, volgens beveiligingsexpert SpicyLemon maar mondjesmaat aanwezig. Veilig werken in de cloud Hoe kun je veilig gebruik maken van de cloud? Gebruik onderstaande tips. 1. Zorg voor een betrouwbare internetverbinding Om veilig gebruik te kunnen maken van cloud computing, moet je een goede, betrouwbare (en liefst vaste) internetverbinding hebben op al je werklocaties. Spreid eventueel de risico’s met meervoudige verbindingen, die gebruik maken van dual wan technologie of load balancing.  . Inventariseer en beveilig alle apparatuur die wordt inge2 zet voor de cloud Niet alleen desktops en laptops, maar ook alle tablets, smartphones of PDA’s die gebruikt worden binnen het bedrijfsnetwerk, zullen contact leggen met de cloud. Inventariseer deze apparaten en maak op elk apparaat in ieder geval gebruik van virusscanners, wachtwoorden, versleuteling en specifieke persoonsgebonden permissies.

www.mkbservicedesk.nl/cybercrime

5

tip Google Apps De grootste veiligheidsrisico’s ontstaan door menselijke fouten. Gebruik je Google Apps binnen je bedrijf? Hanteer een strenge procedure rondom het gebruik hiervan. Stel regels in voor het delen van documenten met mensen buiten je orga­ nisatie, het kiezen van wachtwoorden en het delen van wachtwoorden onderling.

Berco Beute ticketsysteem Paylogic “Een deel van onze infrastructuur staat in de cloud. Het ligt eraan welke cloud provider je gebruikt, maar ondanks dat je provider een aantal veiligheidsaspecten voor zijn rekening neemt, komt het merendeel van de verantwoordelijkheden op je eigen bord te liggen. Voorkom daarom veiligheidslekken in je datacentrum.”

 . Maak een goede schifting van al je data 3 Voordat je de cloud instapt, is het zaak al je data nauwkeurig onder de loep te nemen en te rangschikken. Stel jezelf hierbij steeds de vraag welke gegevens veilig de cloud in kunnen, welke absoluut niet en welke onder bepaalde condities. Maak onderscheid tussen bedrijfsgevoelige data, privacygevoelige data, transparante data, enzovoorts.  . Kies een cloudoplossing op maat 4 Kies een cloud-oplossing die het beste aansluit bij je wensen. Heb je veel gevoelige bedrijfsdata? Kies dan voor een private cloud, waarbij je nauwkeurig kunt bepalen op welke locatie je gegevens zich bevinden. Een andere optie is een hybride cloud, die deels privaat is.  . Mijd ongecertificeerde cloudaanbieders 5 Mijd ongecertificeerde aanbieders en let vooral op de aanwezigheid van het PCI DSS certificaat, het ISO 28001 certificaat, het IDO 9001 certicaat en/of het ISAE 3402 certificaat.  . Maak een overeenkomst (SLA) 6 Ga nooit in zee met een cloudprovider zonder duidelijke afspraken vast te leggen in een SLA (Service Level Agreement), betiteld als formeel contract. Realiseer je wel dat je zelf verantwoordelijk blijft voor je data, gecertificeerde partners of niet. 7. Zorg dat je werknemers goed in de cloud werken Leer je medewerkers hoe ze in de cloud moeten werken en wat de risico’s en mogelijkheden zijn. Dit kun je doen door intern overleg of door een training of webinar te volgen van de aanbieder of een andere externe partij.

tip Firewall updaten Een firewall of IDS (Intrusian Detection System) die nooit wordt geüpdate, verliest na drie maanden zijn gehele waarde.

www.mkbservicedesk.nl/cybercrime

6

tip Beveiligingsupdate Check welke software een beveiligingsupdate nodig heeft met het gratis programma Secunia Personal Software Inspector (PSI). Na een scan komt het programma met kant-en-klare downloadlinks.

Jasper Risseeuw eigenaar Creative Internet Development “Om je database te beveiligen, kun je werken met encrypted passwords. Dat houdt in dat ook al kómt iemand in je database, hij nog niet de wachtwoorden van al je klanten kan inzien. Belangrijk, want mogelijk gebruiken zij die wachtwoorden ook voor andere accounts.”

tip Pdf online In elk pdf zit een stukje data verborgen waarin staat door wie het document is aangemaakt, op welke datum, vanaf welke computer en vanaf welk domein. Pas dus op met het online zetten van pdfbestanden.

Hoe beveilig ik mijn bedrijf en mijn data? Het grootste risico van onveilig online ondernemen is dat je klant- en bedrijfsgegevens op straat komen te liggen. Hoe beperk je dat risico en maak je je bedrijfsnetwerk veilig? Volg dit stappenplan. 1. Stel vast waar je staat Inventariseer op welke plaatsen informatie van en over jouw bedrijf is opgeslagen en hoe de beveiliging van die informatie is geregeld. Welke zwakke plekken en risico's zie je en hoe zwaar wegen die? Laat eventueel een IT-veiligheidsscan uitvoeren, waarbij een specialist naar je IT-omgeving kijkt. 2. Maak onderscheid Verdeel de informatie die je in stap 1 bent tegengekomen in drie categorieën: n Rood: informatie die niet vertrouwelijk is en die in de openbaarheid mag komen. n  Oranje: informatie die je liever niet op straat ziet liggen, terwijl het ook weer geen grote ramp is als dat toch zou gebeuren. n  Groen: informatie die echt vertrouwelijk of geheim is. Neem daarna maatregelen per kleurgebied. Regel welke werknemers toegang mogen hebben tot de rode informatie en zorg dat je automatisering zo is ingesteld dat wie geen rechten heeft, ook met geen mogelijkheid bij de rode informatie kan komen. 3. Installeer een firewall Installeer een firewall op je bedrijfsnetwerk en onderhoud hem regelmatig. Installeer daarnaast een personal firewall op iedere computer, in elk geval op apparatuur die regelmatig verbinding maakt met externe netwerken. Twee prima personal firewalls zijn Online Armor en Comodo, beide gratis voor commercieel gebruik. 4. Wapen je tegen virussen en malware Installeer virus- en malwarescanners. De beste zakelijke virusscanners zijn op dit moment Kaspersky, F-Secure en Sophos, zo stelt het Duitse AV-Test. Onder de malwarescanners is Anit-Malware van Malwarebytes een aanrader. Die beschermt tegen spyware, adware en keyloggers.

www.mkbservicedesk.nl/cybercrime

7

tip Alarm slaan Is één van je medewerkers zijn smartphone met klantgegevens of toegang tot klantgegevens kwijt? Je provider kan de inhoud op afstand wissen. Wil je het zelf kunnen doen? Installeer op iedere smartphone een speciale app, zoals Mobile Security Lite, Bullguard Mobile Security of F-Secure Mobile Security.

Berco Beute ticketsysteem Paylogic “De Paylogic-systemen waarop persoonlijke gegevens staan opgeslagen, zijn niet van buitenaf en voor iedereen toegankelijk. De data zelf wordt versleuteld opgeslagen, waardoor de data voor mensen van buitenaf onbruikbaar zijn zonder sleutel.”

tip Veiligheidssubsidie Via www.hoeveiligisuwzaak.nl kunnen kleine bedrijven een veiligheidssubsidie aanvragen, voor bijvoorbeeld een websiteveiligheidsscan of installatie van een UTM firewall. Dat scheelt 50 procent in de kosten van je beveiliging.

6. Upgrade verouderde software Zorg dat je software altijd up to date is. Websitebouwer Jasper Risseeuw weet daar alles van. “Zeker standaardprogramma’s als Wordpress en Windows zijn een gewild doelwit voor hackers, omdat ze daarmee veel gegevens in handen kunnen krijgen”, vertelt hij. “En omdat de gebruikers vaak veiligheidsupdates missen, vormen standaardprogramma’s gemakkelijke ingangen voor hackers: de lekken zijn vaak snel te vinden.” Voorkom ook gebruik van verouderde software als Windows XP en Office 2003. Deze programma’s zijn makkelijker te kraken dan bijvoorbeeld Windows 7 en Office 2010. 7. Beveilig je draadloze netwerk Gebruik liever géén wireless, maar als je het toch wil gebruiken, bescherm dan je complete netwerk met RADIUS. En wijzig het standaard wachtwoord in een sterk wachtwoord. 8. Gebruik sterke wachtwoorden Alle apparatuur binnen je bedrijfsnetwerk moet beschermd zijn met sterke wachtwoorden. En dan gaat het niet slechts om desktops of laptops, maar ook om smartphones, tablets, NASschijven, routers en printers. Gebruik minimaal acht karakters per wachtwoord, zo weinig mogelijk bestaande woorden en zoveel mogelijk cijfers, symbolen, kleine en hoofdletters door elkaar. 9. Maak backups Ondanks alle beveiligingsinspanningen, kun je alsnog slachtoffer worden van cybercrime. Goede backups zijn daarom van levensbelang. Maak ze frequent en bewaar ze bij voorkeur ergens buiten je bedrijfspand. Verstuur je ze per mail? Doe het dan versleuteld; er kan tijdens het transport altijd iets misgaan. 10. Informeer je medewerkers Informeer je medewerkers regelmatig over alle zaken die de beveiliging van het bedrijfsnetwerk kunnen ondermijnen, zoals virussen, rechten, software en wachtwoordkeuze. En zet een personeelsbeleid rondom beveiliging op. Cybercrimespecialist Wouter Parent: “Leg vast wat je personeel wel en niet mag doen op de bedrijfspc, welke bedrijfsinformatie ze mogen delen op social media en welke sites ze mogen bezoeken. Hackers beginnen namelijk met social engineering: doelgericht informatie over je bedrijf zoeken. Hoe meer informatie over je bedrijf werknemers delen, hoe meer je een hacker helpt.”

www.mkbservicedesk.nl/cybercrime

8

Wouter Parent eigenaar van WeSecureIT “Kies liever niet voor een draadloos netwerk, zeker niet als je veel klantgegevens beheert. En als je dan toch een draadloos netwerk wil, zorg dan dat je voor je klanten een apart netwerk aanlegt. Via een draadloos netwerk zijn ze in een paar stappen bij de gevoelige bedrijfsgegevens op je server.”

Pieter Dietz de Loos advocaat en eigenaar van financieel portaal voor advocaten Cardec “Als je sommige mensen meer rechten geeft dan anderen, houd dan ook in de gaten of ze die rechten na een tijdje nog stééds verdienen. Ik inventariseer voor Cardec eens in de zoveel tijd of de abonnementhouders nog steeds advocaat, notaris, belastingadviseur of accountant zijn om te voorkomen dat mensen onterecht toegang hebben tot privacygevoelige data.”

Jasper Risseeuw eigenaar van webdesignbureau Creative Internet Development “Zorg dat gegevens van klanten altijd via een SSL-certificaat lopen, óók een relatief onschuldig loginscherm op je homepage. Als je die verbinding niet beveiligt, kan een hacker op een makkelijke manier aan de gegevens van je gebruikers komen en deze misbruiken."

Berco Beute chief technical officer bij ticketsysteem Paylogic “Blijf op de hoogte van de werkwijze van je vijand. Weet waar een hacker zich op richt, hoe hij te werk gaat en wat hij wil. En wees voorbereid voor als het een keer misgaat. Op dat moment telt namelijk iedere seconde.”

Over MKB Servicedesk. Powered by

Als strategisch partner van MKB-Nederland is de MKB Servicedesk de vraagbaak voor ondernemend Nederland. Op www.mkbservicedesk.nl vind je betrouwbare, concrete en betaalbare antwoorden op alle ondernemersvragen in het middenen kleinbedrijf. Maandelijks bezoeken meer dan 200.000 ondernemers mkbservicedesk.nl. Het is niet toegestaan om beeldmateriaal en informatie afkomstig uit dit document zonder voorafgaande schriftelijke toestemming van MKB Servicedesk te kopiëren in welke vorm dan ook. Copyright @MKB Servicedesk