‘Volg een duidelijke route om cybersecurity aan te laten sluiten bij jouw bedrijf’
Geen onderneming kan nog zonder IT. Steeds meer werkzaamheden worden tegenwoordig afgehandeld en uitgevoerd via digitale processen. Gedreven door optimalisatie en samenwerkingsbehoeftes gaan applicaties maar ook complete fabrieken en boekhoudingen digitaal. Voor vrijwel iedere organisatie geldt dan ook dat de beschikbaarheid van IT-systemen cruciaal is. Een enorme bak aan gewone én gevoelige data ligt daarmee potentieel ten prooi aan criminelen die willen profiteren van onze digitale afhankelijkheid. Nadenken over cybersecurity en een gedegen risicoafweging zijn daarmee geen overbodige luxe, maar iets wat iedere ondernemer móet doen, stelt Dennis Broman van Advisor ICT Solutions. We vroegen hem naar de grootste gevaren én hoe je hier het best mee om kan gaan als ondernemer.
Wie de site van Advisor erop naslaat, ziet dienstverlening die menig ICT-bedrijf in huis heeft. Werkplekbeheer, (data)communicatie, cloud en infrastructuur. Zeker één tak binnen de zeventig werknemers tellende onderneming uit Mijdrecht en Utrecht onderscheidt hen echter van andere ICT-dienstverleners: hun specialisatie in cybersecurity. ‘Wij zijn meer dan gemiddeld bezig met digitale veiligheid’, vertelt Dennis. Als algemeen directeur binnen Advisor praat hij veel met klanten over hun digitale veiligheid. ‘We zijn geen Fox-IT of Northwave die bij ransomware-aanvallen een compleet Forensisch digitaal rechercheonderzoek kunnen doen en serverparken compleet door de digitale wasstraat haalt om ze weer schoon te verklaren. Waar we echter wel in gespecialiseerd zijn, is preventie van cybersecurity en het vóórbereiden op eventuele aanvallen. Daar helpen we ondernemers mee, door in gesprek te gaan over de concrete gevaren en vervolgens een route te bepalen naar een veilige omgeving die past bij hun onderneming.’
Innovatie, klanten en partners
De focus van Advisor op security komt niet uit de lucht vallen. ‘We hebben eigenlijk altijd een klantengroep gehad die bovenmatig veel met gevoelige gegevens werkt. Daarbij moet je denken aan persoonsgegevens van een uitzendbureau, of aan een architect of bouwbedrijf die werkt met bouwtekeningen van bijvoorbeeld overheidsgebouwen of banken. De behoefte is er dus altijd geweest, door de delicate gegevens waar onze klanten mee te maken hebben. Verder hebben we zelf altijd de behoefte gehad ons te onderscheiden, door juist op dit punt voor te lopen op de meute. Daar helpen onze partners zoals Cisco en Microsoft ook in mee. Doordat deze strategische partners ook een enorme focus en specialisatie hebben op security, drijft het ons om daarin steeds verder te gaan. Het is die driehoek van ons eigen innovatieve vermogen, onze specifieke klantenkring én de juiste partners, die ons de focus geeft.’
Bewust van de risico’s
Uit onderzoek van onafhankelijk onderzoeksbureau Dialogic blijkt dat slechts een derde van de mkb-ondernemers ransomware als een gevaar voor hun onderneming ziet. ‘De risico’s worden enorm onderschat’, vertelt Dennis. ‘Ik snap dat ook wel, want ik zie ze dagelijks voorbij komen en ben mij daarom enorm bewust van wat de mogelijkheden en risico’s zijn. Een ondernemer hoort het alleen als hij er zelf mee te maken krijgt, of misschien zijn buurman. Vergelijk het met iemand die dagelijks in de auto zit en regelmatig een ongeluk ziet. Die is zich ook bewuster van wat er allemaal kan gebeuren op de weg, dan iemand die zelden rijdt. Je hoort met cybersecurity nog te vaak dat mkb-ondernemers denken dat het hen niet overkomt, of dat er bij hen niets te halen valt. In de gesprekken die ik met deze ondernemers heb, probeer ik daarom te focussen op wat zij in de praktijk kunnen tegenkomen. Heel specifiek voor hun branche of zelfs voor hun eigen bedrijf. Ik praat dan helemaal niet over techniek, maar vraag hen wat ze zouden doen als nu per direct alle computers op zwart zouden springen. Hoe ga je dan verder? Of ik vraag ze wat ze zouden doen als vandaag hun productspecificaties of blauwdrukken bij de concurrent zouden belanden. Hoe groot is dan het probleem? Dan krijg je gesprekken die gaan over ondernemerszaken. Vaak zie je dat er dan wel bewustzijn ontstaat rondom de risico’s en afhankelijkheid.’
Niet alles tegelijk
‘Belangrijk bij het aanpakken van je digitale veiligheid is dat je het niet allemaal tegelijk moet willen’, vertelt Dennis, wanneer we hem vragen naar de maatregelen die je als ondernemer kunt nemen om te voorkomen dat je onderneming wordt getroffen door malware, ransomware of gestolen bedrijfsgegevens. ‘Ik vergelijk het beveiligen van je systemen wel eens met inbraakbeveiliging, om het wat tastbaarder te maken. Je begint daar ook niet met het installeren van camera’s en sensoren, als je voordeur nog geen slot heeft. Digitaal beginnen we dus ook met een slot op de deur. Bijvoorbeeld met Multifactor Authenticatie (MFA). Die methode heeft altijd een dubbele lading, want voor een bank vindt iedereen het heel normaal, maar wanneer je voorstelt om thuiswerkers een tweefactorauthenticatie te laten uitvoeren voor ze bij jouw data kunnen, wordt het meestal als vervelend en onnodig gezien. Terwijl dat wel een goed slot op je deur betekent. Maar eigenlijk moeten we nóg een stapje terug. Want voor we praten over beveiligen, moeten we eerst weten wat er te beveiligen is. We hebben hiervoor een standaard werkwijze volgens het NIST cybersecurity framework. Dit model gaat uit van vijf stappen die je doorloopt. Achtereenvolgens identify, protect, detect, respond en recover. Met deze stappen als basis, vorm je eenvoudig een route naar optimale cybersecurity, afgestemd op je eigen onderneming.’
Bedenk wat je wil beschermen
Dennis heeft er inmiddels een presentatie bij gepakt, waarin de vijf stappen van het model als een cirkel worden weergegeven. Een cirkel, omdat je ieder jaar opnieuw kijkt of er veranderingen zijn in jouw situatie. We doorlopen gezamenlijk één voor een de stappen van het model. Dennis: ‘Je kijkt eerst naar je onderneming: hoe zit die in elkaar? De mensen, de apparatuur én de data. Vaak wordt gefocust op één element, maar je bent hierin zo sterk als je zwakste schakel. Daarom willen wij van alles weten wat er belangrijk is. Waar liggen gevoeligheden? Wat zijn de kroonjuwelen van je onderneming, waarvan je zeker niet wilt dat ze op straat komen te liggen? Zo bepaal je een risicoprofiel voor de verschillende elementen. Pas dan ga je naar de volgende stap en kijk je hoe je deze wil beveiligen. Dat is voor ieder bedrijf anders. Een fabriek zal het belangrijker vinden dat apparaten niet uitvallen en de productie altijd door blijft lopen, terwijl een uitzendbureau of accountant meer gebaat is bij optimale gegevensbescherming en privacy.’
Bescherm, detecteer en handel
‘Op basis van de conclusies uit de identify-stap, kijken we in de protect-stap welke maatregelen noodzakelijk zijn voor ieder onderdeel’, vertelt Dennis verder. ‘Van het slot op de deur tot live monitoring van alles wat er binnen jouw bedrijf gebeurt. Dat laatste is gelijk een bruggetje naar de derde stap: detect. Veel bedrijven stoppen bij protect, dus wanneer bijvoorbeeld de virusscanner en firewall zijn geïnstalleerd. Maar eigenlijk begint het dan pas. Want je wilt juist weten wat die veiligheidssystemen opmerken, zodat je daarop kunt schakelen. Dat detecteren is specialistisch werk voor een Security Operations Center (SOC), zoals wij hier hebben. Ons SOC is uitgerust met slimme software die alle security-meldingen uit de diverse bronnen verzamelt en omzet naar bruikbare informatie. Ons security-team interpreteert de gedetecteerde data uit de software en zet deze om naar relevante informatie voor onze klanten om de systemen nog beter te beveiligen tegen kwaadwilligen. Als er dan iets is, reageren we daarop. Die vierde stap legt vast hóe je reageert wanneer er iets gebeurt. Wie heeft dan de leiding? Hoe lopen je communicatielijnen naar klanten en medewerkers? Wat is het belangrijkste bedrijfsonderdeel om op te starten? Door hier vooraf over na te denken, voorkom je dat je in stress en paniek beslissingen moet nemen. Heb je vooraf nagedacht over de risico’s en de “wat als”, dan pak je het plan erbij en weet je welke stappen je moet volgen wanneer je door bijvoorbeeld ransomware getroffen wordt. Zo’n ransomware recoveryplan maken we op basis van enkele interviewsessies met het MT: op een rustig moment, rationeel samengesteld, voor wanneer het tóch een keer misgaat. Want helaas, net als met inbraak is het een illusie om te denken dat je jezelf honderd procent kan beveiligen. Zorgen dat je bewust bent van de risico’s en goed voorbereid bent wanneer er iets gebeurt kan echter wel.’