Cybercrime is geen IT-probleem maar een bedrijfsrisico

“Wat me opvalt, is de angst”, vertelt Erik van Daatselaar, portfolio lead cybersecurity bij Vodafone Business. “We boden ondernemers recent op een evenement een gratis Security Scan aan. Een flink aantal reageerde letterlijk: ik durf hem niet te doen, want ik ben een beetje bang wat eruit komt. De struisvogel met zijn kop in de grond. Anderen zeiden juist: bij mij is alles op orde. Maar de resultaten vertellen vaak een ander verhaal.” Hacken is allang geen hobbyproject meer voor lone wolves: het is uitgegroeid tot een volwaardige, goed renderende industrie. “De hackersindustrie is gewoon een business is geworden. Het zijn bedrijven die heel goed renderen, met aandeelhouders, met werknemers en hooggespecialiseerde tools.”  

“Je kunt tegenwoordig phishingplatforms kopen, complete pakketten met klantenservice voor als slachtoffers niet weten hoe ze met bitcoin moeten betalen. Er zijn darkwebshops waar je klantdata kunt kopen. Het is hooggeautomatiseerd én gefocust.” Dat vertaalt zich in harde cijfers: één op de vijf Nederlandse bedrijven leed in 2024 schade als gevolg van een cyberaanval — en de methodes worden alleen maar geraffineerder door automatisering en AI.

Bekijk hier de video over de Security Scan.

Ondanks technische randzaken als firewalls en antivirussoftware blijft de mens vaak het grootste risico. “Je kunt praten over ingewikkelde zaken, maar als jij makkelijke wachtwoorden hebt zonder multifactorauthenticatie, dan staat de digitale voordeur wel heel wijd open.”  En dan zijn er de apparaten die we bijna altijd bij ons hebben, maar waar zelden voldoende aandacht aan wordt besteed: smartphones. “De beveiliging op laptops is meestal wel goed geregeld, met de nodige firewalls, programma’s als Microsoft Defender en DNS/URL-filters, die kwaadaardige websites eruit filteren. Daar letten veel organisaties wel op. Maar mobiele toestellen, die evenveel toegang bieden tot data, worden véél minder beveiligd. Terwijl je júist op momenten dat je net wakker wordt of ’s avonds voor het slapen gaan minder scherp bent en makkelijker op een linkje klikt.” 

Ook belangrijk: "CBS-monitor: waarom security voor mkb een strategische groeikans is"

Xander Koppelmans, ondernemer uit Goes, dacht dat hij goed voorbereid was. Zijn reclamebureau had firewalls, antivirussoftware en back-ups — tot het op een ochtend misging. “Wat mensen vaak niet beseffen, is dat hackers zelden specifiek een doelwit kiezen”, vertelt Koppelmans nu tijdens lezingen. “Ze gebruiken geautomatiseerde scripts en zodra jouw beveiliging zwak is, ben je een doelwit. We lopen als het ware met een portemonnee in onze kontzak door de digitale koopgoot.”  De hack vernietigde niet alleen zijn data en back-ups, maar had ook desastreuze persoonlijke en zakelijke gevolgen: een schadepost van honderden duizenden euro’s, een burn-out, en uiteindelijk het verlies van bedrijf, huis én huwelijk. Bekijk de video waarin Xander vertelt wat hem overkwam.

Ook interessant (en heel belangrijk): 'NIS2: maak uw bedrijf klaar voor de toekomst met deze checklists'

Patricia Antersijn, mkb-ondernemer en distributeur voor PCM Nederland & België, herkent de kwetsbaarheid van kleinere organisaties. “Je kunt je als ondernemer lullig voelen als je de zaken niet op orde hebt. Maar het gaat dus niet specifiek om jouw bedrijf. Gegevens worden vroeg of laat ergens gehackt en alsmaar doorverkocht. Degene die het in handen krijgt, heeft geen idee meer waar het vandaan komt.”  “Je denkt vaak alleen aan data, maar als je nadenkt over de neveneffecten, dan is dat wel een eyeopener”, stelt Antersijn. “Met alleen de data die wij hebben zal dat nog wel loslopen. Maar de nevenschade, daar heb ik geen reëel beeld van.”

Onderzoek onder 350 ondernemers met de Vodafone Security Scan laat zien dat een derde van de bedrijven opvallende kwetsbaarheden vertoont. “Dat klinkt hoopvol, maar betekent ook dat bijna een derde van de ondervraagde bedrijven nog altijd duidelijke kwetsbaarheden vertoont”, zegt Van Daatselaar over de resultaten.  Van Daatselaar benadrukt dat een scan geen eindpunt is, maar juist het begin van een structurele aanpak: “Een scan kan nóóit kwaad. De scan kijkt als het ware naar de buitenkant van een organisatie, naar URL’s én prikt op alle externe poorten die verbonden zijn met het IP-adres. Hij kijkt ook op het darkweb, wat er te vinden is over een organisatie en of er gehackte credentials zijn.”  

Is uw digitale voordeur wel op slot? Zo werkt de Security Scan. 

Toch schuiven veel mkb’ers cybersecurity weg omdat het niet hun corebusiness is. “Je bent met andere dingen bezig”, stelt Antersijn. “Als ik voor mezelf spreek: ik heb niet altijd zin om erin te duiken. Het is niet mijn corebusiness óf mijn specialiteit. Dan komt er een klant met een vraag en dan zakt cybersecurity weer als prioriteit op de to-do-lijst.”  

Van Daatselaar meent dat veel ondernemers wél bereid zijn stappen te zetten, maar weten ze niet waar te beginnen. Daarom pleit hij voor een deeltijd- of virtuele ciso. “Ga even rond de tafel zitten en bespreek: waar zitten de zorgen, hoe zet je jouw IT-omgeving in? Waar moet je geld en moeite insteken? Je moet het een vast agendapunt maken.”  

Volgens Van Daatselaar zijn er een paar ‘basiszaken’ die elke ondernemer direct kan regelen: zorg dat apparaten bijgewerkt zijn, schakel multifactorauthenticatie in, segmenteer wifi-netwerken en zorg voor standaard back-ups.  En vergeet niet om vooruit te denken: “Denk niet alleen na over hoe je je beschermt, maar ook over ‘wat dan?’. Wat als je aangevallen wordt? Wat is dan je noodplan? Bedenk van tevoren wat je moet doen. In de jaren tachtig belde je de Ghostbusters. Wie bel je nu?” 

Lees verder: "Cybersecurity: bedrijfseconomisch essentieel voor elke mkb’er"