BNR In Bedrijf: Gehackt! En nu?

BNR In Bedrijf: Gehackt! En nu?
Kim Martins Neto

Alle MKB-ondernemers zouden zich moeten wapenen tegen cyberaanvallen. Maar hoe doe je dat? Presentator Maarten Bouwhuis Van BNR In Bedrijf ging in gesprek met een ondernemer die slachtoffer werd van een hack. En met ethisch hacker Yannick Verhoeven en cybersecurity-expert Mary-Jo de Leeuw.

We weten het allemaal: de gevolgen van een cyberincident kunnen groot zijn. Zo blijkt ook uit deze aflevering van BNR In Bedrijf, waarin een ondernemer vertelt over het moment dat zijn bedrijf werd gehackt – en de jarenlange nasleep daarvan.

Total loss

Vier jaar geleden werd de foto- en filmstudio van Xander Koppelmans gehackt: “Eén voor één verdwenen de mappen met foto’s, video’s en grafische bestanden voor onze klanten.” Toch was Koppelmans niet in paniek: “We waren een kerngezond bedrijf, hadden best goed geïnvesteerd in beveiliging en maakten back-ups.”

Koppelmans belde zijn systeembeheerder, die adviseerde om de stekker eruit te trekken. Toen hij later alles weer aansloot, bleek dat niet alleen de gewone servers, maar ook de back-up servers, de werkstations en alle harddisks leeg waren. Het ingeschakelde data recovery bedrijf kon ‘80% van de data terughalen’. Maar wat bleek: dat ging om 80% per individueel bestand. Geen enkele foto of video was nog bruikbaar. “Alles was total loss.”

Faillissement

De uiteindelijke schade voor Koppelmans is opgelopen tot ruim 600.000 euro. “En het loopt nog steeds op,” aldus Koppelmans. Hij moest zijn huis en bedrijfspand verkopen, en twee jaar na de hack alsnog faillissement aanvragen. Zijn verzekering dekte de kosten voor het inschakelen van de automatiseerder. Andere schade werd niet vergoed.

Chubb gehackt

Ransomware

Een hacker ging op verzoek van Koppelmans op zoek naar sporen van de dader, maar tevergeefs. Ethisch hacker Yannick Verhoeven bevestigt dat de dader zelden gevonden wordt. Hij benadrukt dat je als ondernemer misschien “geen uiterst gevoelige data hebt, maar wel data die voor jou belangrijk zijn. Daarmee kunnen criminelen je onder druk zetten en geld verdienen, bijvoorbeeld in het geval van ransomware.”

Beveiligingsmaatregelen

Na de hack investeerde Koppelmans in nieuwe “state of the art” beveiligingsmaatregelen. En toch slaagde een ethisch hacker er binnen twee dagen in om toegang te krijgen. “Je kunt je dus niet beveiligen zolang je verbonden bent met internet.” Verhoeven en De Leeuw bevestigen dat 100% beveiliging niet bestaat. Ze benadrukken bovendien dat de mens vaak de zwakste schakel is.

Cyberverzekering

“Een cyberverzekering is absoluut een oplossing,” vertelt De Leeuw, “maar wel als sluitpost. Het begint met jouw beveiliging.” Er is helaas geen gouden tip waarmee ondernemers alle risico’s kunnen uitsluiten. Maar er zijn wel maatregelen die zij kunnen nemen. Zo slaat Koppelmans, die na zijn faillissement kon doorstarten als ondernemer, nu alle data offline op. Training van medewerkers helpt om hen bewuster te maken van de risico’s.

Beroepsaansprakelijkheidsverzekering

Kim Martins Neto, Underwriter Cyber, en Richard Bakker, Senior Underwriter Cyber Benelux bij Chubb merken dat steeds meer ondernemers ervan overtuigd raken dat ze ‘iets’ moeten met cyberrisico’s. “Maar ze hebben vaak wel vragen over de juiste verzekeringsoplossing. ‘Biedt een cyberpolis toegevoegde waarde voor mijn bedrijf’ en ‘is cyber niet gedekt onder mijn (beroeps)aansprakelijkheidsverzekering’ zijn vragen die we vaak horen,” aldus Richard Bakker.

Crisismanagementkosten

“Een cyberverzekering biedt niet alleen dekking voor aansprakelijkheid, maar ook voor crisismanagementkosten en eigen schade,” zegt Kim. “Het is een goede aanvulling op de aansprakelijkheidsverzekering voor bedrijven (avb), die natuurlijk hoofdzakelijk gericht is op zaak- en letselschade en werkgeversaansprakelijkheid, en op een beroepsaansprakelijkheidsverzekering (ba). Bij deze laatste is aansprakelijkheid alleen gedekt als het cyberincident is ontstaan door een beroepsfout. Voor crisismanagementkosten en eigen schade is er geen dekking onder deze verzekering.”

24/7

Richard: “Bij een goede cyberpolis gaat het bovendien niet alleen om financiële vergoeding. Natuurlijk is dat belangrijk, maar bij een datalek of hack is het vooral belangrijk dat het bedrijf weer snel door kan gaan met zijn core business. Dat kun je alleen doen als je snel en adequaat handelt. Verzekerden van Chubb kunnen zich beroepen op een team van experts dat 24/7 bereikt kan worden en direct in actie komt. Afhankelijk van het incident kunnen er diverse specialisten ingeschakeld worden zoals forensisch onderzoekers, juridische deskundigen, onderhandelaars en PR-experts.”

Preventie

Beiden benadrukken dat alles begint met preventie. “Goede investeringen in beveiligingsmaatregelen zijn cruciaal. Regelmatige software- en beveiligingsupdates, de mogelijkheid om op een andere server over te schakelen als er één moet worden uitgeschakeld: het zijn allemaal belangrijke IT-maatregelen,” aldus Richard. “En optimaal bewustzijn onder je medewerkers over hun bijdrage aan cybersecurity is minstens zo belangrijk. Dat is precies waarom wij onze verzekerden risicoscans aanbieden, die niet alleen naar de IT-beveiliging kijken, maar ook naar de organisatie.”

Podcast

Luister de podcast van BNR In Bedrijf hier terug.

Dit is een partnerbijdrage van Chubb. Bekijk hier een volledig overzicht van partnerberichten van Chubb.