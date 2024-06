Sleutel tot veiligheid: een dag van een cybersecurityexpert

Wie heeft er tegenwoordig nog een plakkertje met wachtwoorden aan het scherm hangen? Te veel mensen, zo ziet René van Etten, oprichter en CEO van ThreadStone Cyber Security. Gelukkig zijn MKB-bedrijven zich steeds bewuster van het belang van informatiebeveiliging, maar het kan en moet beter.

Een dag in het leven van een risicoadviseur of deskundige zit vol uitdagingen. Altijd al willen weten welke bijzondere dingen experts meemaken? Bij Avéro Achmea nemen we geregeld een kijkje in hun dagboek. Dit keer in die van René van Etten, oprichter en CEO van ThreadStone Cyber Security. In verband met de bescherming van privacy zijn cases en (plaats)namen gefingeerd.

Veel ondernemers denken dat hun digitale veiligheid wel goed is geregeld. Ze zien cybercriminaliteit als een ver-van-mijn-bed-show en beseffen niet hoe kwetsbaar hun netwerken eigenlijk zijn. Pas als het pijn doet – bijvoorbeeld als ze gehackt worden – beseffen ze hoe belangrijk het is. Wachten op die pijn betekent vaak dat het al te laat is. Wij helpen dan, maar voorkomen is beter dan genezen. Vandaag ga ik op bezoek bij een onderneming om een nulmeting te bespreken. Hoe staan ze ervoor op het gebied van IT en beleid?

Pas op voor broodjeaapverhalen

Zo’n nulmeting is best spannend, en belangrijk, omdat het direct duidelijk is waar en bedrijf staat met de digitale beveiliging. Soms is de uitkomst best schokkend. Ondernemers denken vaak dat ze niet interessant zijn voor cybercriminelen. Dat cybersecurity iets is voor de IT-afdeling of dat ze veilig zijn omdat ze een Apple Mac gebruiken. Dit zijn allemaal broodjeaapverhalen. We stellen veel verdiepende vragen en gaan actief op zoek naar kwetsbaarheden. Ik herhaal vaak: ‘Denk niet dat het jou niet zal overkomen.’ Dat zeg ik ook tegen deze ondernemer. ‘Je doet toch ook je voordeur op slot?’

Netwerksystemen zijn net als het huis

Ik vind de vergelijking met een huis altijd heel verhelderend. Vroeger had je alleen een simpel slot op je deur, daarna kwamen alarmsystemen en camera’s, hekwerken en zelfs een herdershond. Maar voor de IT-omgeving van veel organisaties geldt: er hangt vaak nog een touwtje uit de brievenbus om binnen te komen. Veel IT-partijen missen de gespecialiseerde kennis van cybersecurity. Bij deze ondernemer zit het technisch gelukkig wel goed. Maar er is wel iets anders aan de hand. Informatiebeveiliging gaat namelijk niet alleen om techniek, maar ook om beleid en bewustzijn.

Soms gaan we fysiek langs bij bedrijven als mystery guest. Dan kijken we of we kunnen binnendringen en ergens achter een pc kunnen plaatsnemen. ”

20 tot 30 procent trapt in phishingtest

We doen veel om ondernemers te ondersteunen op het gebied van cybersecurity. Een phishingcampagne uitsturen, bijvoorbeeld. Soms gaan we zelfs fysiek langs bij bedrijven als mystery guest . Dan kijken we of we kunnen binnendringen en ergens achter een pc kunnen plaatsnemen. Dat lukt vaker dan je denkt. Bij deze ondernemer bleef het trouwens bij het versturen van een e-mail naar medewerkers met daarin een linkje. Wie klikt? Daar krikken we het bewustzijn enorm mee op; eigenlijk zou je dat vier keer per jaar moeten doen. De resultaten liegen er niet om: een kwart van de medewerkers klikte op de link en liet persoonsgegevens achter. En misschien wel het ergste: de ondernemer zelf ook!

Zonder juiste procedures productie in gevaar

Phishing is echt een groot gevaar. Als cybercriminelen gegevens binnen hengelen en de beveiliging is niet op orde, dan ben je echt het haasje. De ondernemer schrikt ervan. Gelukkig zijn wij het maar. Toch is dit wel echt een wake-up call. We spreken af dat we maandelijkse een e-learning leveren en de phishingtest vaker te herhalen. ‘Ook een backup is cruciaal,’ leg ik uit. Die hebben ze. Ongeveer. Want het gaat niet alleen om het hebben van een backup, maar is die recent en volledig? En wat is de grootte? Als een backup een paar terabyte groot is en ergens in de cloud staat, duurt het herstel soms dagen en staat de productie hartstikke stil.

Leg een chocoladereep op het toetsenbord

‘Dit is een proces, geen eenmalige actie,’ vertel ik de ondernemer. Dat weet hij nu ook. Cyberveiligheid vereist echt continu onze aandacht. Van ransomware (gijzeling van je bestanden) tot verlies van klantgegevens: er kan zoveel misgaan. Beveiliging is een proces dat je moet integreren in je dagelijkse operaties. Zaken als een continuïteitsplan kunnen helpen om de ondernemer voor te bereiden. Ik geef vaak als tip: probeer positief gedrag te belonen. Zie je iemand de computer vergrendelen voor diegene wegloopt? Leg een chocoladereep op het toetsenbord. Het gaat echt om het creëren van een cultuur waarbij iedereen een actieve rol speelt in cybersecurity. Dat we de ogen van klanten openen is wel een mooie beloning. Stap voor stap werken we aan een digitaal veiliger Nederland.

