10 tips waarmee mkb’ers hun cyberweerbaarheid verbeteren

Met de juiste stappen zorg je ervoor dat de jouw bedrijf optimaal is beveiligd tegen cyberaanvallen

Om de bedrijfscontinuïteit in 2024 niet in gevaar te brengen, moet elke mkb’er cyberbeveiliging hoog op de agenda hebben staan. Uit een recent rapport van het CBS blijkt dat jaarlijks meer dan tweeduizend Nederlandse bedrijven het slachtoffer zijn van aanvallen met ransomware. Om de cyberweerbaarheid te verbeteren zijn het Openbaar Ministerie (OM), de politie, het Nationaal Cyber Security Centrum (NCSC), Cyberveilig Nederland en het bedrijfsleven een samenwerkingsverband gestart.

Sommige midden- en kleine bedrijven zien cyberbeveiliging als een bijzaak of ontbreken de middelen of vaardigheden om hun bedrijf te beschermen tegen aanvallen. Daarom is het Digital Trust Center (DTC), onderdeel van het ministerie van Economische Zaken, begonnen met een pilot subsidieregeling voor kleine bedrijven om ze te stimuleren maatregelen te nemen op het gebied van cybersecurity.

Het is nu meer dan ooit noodzaak om jouw bedrijf te beschermen tegen aanvallen. Met de onderstaande tien tips zijn mkb’ers in staat om hun bedrijf zo goed mogelijk te beschermen. 

Tip #1 – Werk met de laatste softwareversies 
Aanbieders van software stellen regelmatig updates beschikbaar. Het gaat dan om meer functionaliteit, bugfixes en beveilingspatches. Vanuit het oogpunt van cyberweerbaarheid is het belangrijk dat bedrijven met de laatste versies werken. Deze versies zijn namelijk optimaal beveiligd: niet bijgewerkte software bevat vaak kwetsbaarheden en lekken waarmee cybercriminelen toegang tot een bedrijfsnetwerk kunnen krijgen. Stel daarom iemand verantwoordelijk voor het controleren of op alle werkstations de laatste softwareversies draaien.

Tip #2 – Upgrade verouderde hardware
Verouderde hardware is vaak kwetsbaar voor lekken in de beveiliging. Daarnaast biedt verouderde hardware vaak ook geen ondersteuning voor de laatste softwareversies en een organisatie die werkt met verouderde software maakt zich onnodig kwetsbaar. Upgrade je hardware om je software bij te kunnen werken. Het upgraden van verouderde hardware blijkt vaak mogelijk door bijvoorbeeld het DRAM-geheugen te vervangen en of een Solid State Drive (SSD) met meer capaciteit te plaatsen.

Tip #3 - Bescherm je gegevens en zorg voor back-ups
Voor bedrijven is het belangrijk om data altijd goed te beschermen en te beschikken over back-ups. In het geval data door een cyberaanval wordt gewist of versleuteld, kan een bedrijf dan altijd teruggrijpen op de back-up. Het is wel belangrijk om back-ups losgekoppeld van het bedrijfsnetwerk te bewaren. In het geval van een aanval met ransomware blijken cybercriminelen vaak te beginnen met het versleutelen van de back-ups, in het geval deze via het bedrijfsnetwerk zijn te benaderen. Het is niet alleen belangrijk om regelmatig back-ups te maken, maar ook over een plan te beschikken om alle bestanden weer snel terug te plaatsen. In het geval een bedrijf werkt met mobiele datadragers, zoals usb-sticks en harde schijven, is het belangrijk om deze standaard te versleutelen. Deze versleuteling kan zowel software- als hardwarematig plaatsvinden. Hardwarebeveiliging is een stuk veiliger dan de softwarevariant, doordat software afhankelijk is van de computer en bijvoorbeeld updates, terwijl de hardware op een beveiligde USB voornamelijk leunt op een betrouwbare processor. In het geval van diefstal of verlies krijgen onbevoegden geen toegang tot de bedrijfsbestanden. Een voorbeeld van een usb-stick met ingebouwde hardwarematige versleuteling is de Kingston IronKey D500S.

Tip #4 – Gebruik een VPN
In het geval medewerkers smartphones en tablets gebruiken en via (openbare) wifi-netwerken connectie met het internet maken, is het altijd raadzaam om een VPN te gebruiken. Via een VPN-aanbieder maakt een eindgebruiker via een externe server connectie met het internet. De verbinding tussen het device (smartphone en/of tablet) en de externe server is dan altijd versleuteld, waardoor onbevoegden via het wifi-netwerk de vertrouwelijke bedrijfsdata niet kunnen aftappen.

Tip #5 – Schakel bluetooth uit
In de praktijk is al meerdere malen gebleken dat het verbindingsprotocol bluetooth zorgt voor zwakke plekken in de beveiliging. Veel apparaten blijken via bluetooth met elkaar verbonden te zijn en hierin schuilt het gevaar dat cybercriminelen apparaten kunnen hacken om zo toegang te krijgen tot meer vertrouwelijke bedrijfsdata. Gelukkig zijn er doorgaans meerdere manieren om een apparaat met een netwerk te verbinden. In de meeste gevallen is een sterk beveiligde wifi-verbinding een goed alternatief.

Tip #6 – Niet klikken zonder te denken
Via het versturen van e-mails uit naam van bekende en vertrouwde bedrijven proberen cybercriminelen gebruikers te verleiden om op malafide links te klikken. Wie op zijn link klikt, komt vaak terecht op een vaak heel goed nagemaakte website van bijvoorbeeld een bank of andere instelling. Gebruikers worden dan gevraagd in te loggen met hun gebruikersnaam en wachtwoord. Op het moment dat ze dat doen, beschikken cybercriminelen over deze gegevens en heeft dat desastreuze gevolgen voor het bedrijf. Voor eindgebruikers is het belangrijk om links zorgvuldig te checken - dit kun je doen door er met je muis overheen te gaan en te kijken of de link er betrouwbaar uitziet. Overigens bestaat er veel software die gebruikers automatisch waarschuwt voor malafide links.

Tip #7 – Beveilig mobiele apparaten
Medewerkers gebruiken steeds vaker mobiele apparaten, zoals smartphones en tablets. Deze apparaten zijn ook kwetsbaar voor cyberaanvallen. Het is daarom belangrijk te zorgen voor een goede beveiliging om te voorkomen dat cybercriminelen deze apparaten kunnen misbruiken. Gebruikers moeten alleen via een code, wachtwoord of biometrische herkenning toegang tot hun mobiele apparaten krijgen. Toegang tot bedrijfsapplicaties op deze mobiele apparaten moet alleen mogelijk zijn via two factor authentication (2FA). Tot slot is het belangrijk om geen verouderde versies van iOS of Android op deze apparaten te gebruiken, omdat dit namelijk veiligheidsrisico’s met zich meebrengt.

Tip #8 – Wees beducht op social engineering
Wie denkt dat cybercriminelen alleen hardware gebruiken om in te breken in bedrijfsnetwerken heeft het mis. In de praktijk maken ze ook gebruik van social engineering om hun slag te kunnen slaan. Vaak beginnen ze met het verzamelen van zoveel mogelijk informatie over het bedrijf en de mensen die daar werken. Daarvoor gebruiken ze veelal openbare bronnen, zoals LinkedIn en de website van het bedrijf. Als ze over genoeg informatie beschikken, benaderen ze het bedrijf met een verzoek. Ze bellen of mailen het bedrijf en vertellen dat er sprake is van een urgente probleemsituatie. Door het noemen van namen wekken ze vertrouwen op en vragen om toegangscodes en wachtwoorden om het probleem te kunnen oplossen. Urgentie kan ervoor zorgen dat werknemers minder zorgvuldig te werk gaan. Het gebeurt ook dat ze via een extern bedrijf bij het bedrijf infiltreren.

Tip #9 – Bereid je voor op een cyberaanval
Het is niet de vraag of jouw bedrijf wordt aangevallen door cybercriminelen, maar wanneer dat zal plaatsvinden. Het dreigingslandschap is voortdurend in beweging en dat betekent dat bedrijven op hun hoede moeten zijn. Zoals ook bij tip #4 werd benoemd: zorg er in elk geval voor dat jouw bedrijf een plan klaar heeft liggen in het geval een aanval plaatsvindt. Het moet duidelijk zijn wie waar verantwoordelijk voor is en alles rondom het maken en terugzetten van back-ups moet goed geregeld zijn. Het is slim om eens in de zoveel tijd een cyberaanval te simuleren, zodat alle betrokkenen in het bedrijf hier ervaring mee opdoen.

Tip #10 – Train je werknemers
De mens blijkt keer op keer de zwakste schakel in de cyberbeveiliging te zijn. Het gevaar schuilt in een klein hoekje: een medewerker hoeft maar op een verkeerde link te klikken, waarna een dubieus stukje software zich automatisch installeert op de computer van de eindgebruiker. Of denk aan een situatie waarbij een gebruiker telefonisch een wachtwoord doorgeeft aan een cybercrimineel die zich voordoet als iemand van de technische dienst. Het is daarom belangrijk om regelmatig trainingen waarin de mogelijke gevaren worden belicht te organiseren. Bedrijven op het gebied van cybersecurity bieden gespecialiseerde trainingen en deze vinden vaak plaats in een gesimuleerde omgeving waarin medewerkers zonder desastreuze gevolgen kunnen oefenen met realistische praktijksituaties.