Cybersecurity: bedrijfseconomisch essentieel voor elke mkb’er

Juist vanwege het evidente bedrijfseconomische belang is het opvallend dat veel ondernemers hun digitale veiligheid pas serieus nemen als het misgaat. Terwijl de adviezen om wél voorbereid te zijn overal voor het oprapen liggen en verrassend laagdrempelig blijken te zijn.

“Bedrijfscontinuïteit is het allerbelangrijkste voor elke ondernemer”, zegt Jurjen IJska van Lindenaar & Co. “Wij hebben geleerd om cybersecurity echt te zien als een onderdeel van je bedrijfshygiëne. Net zoals je een fijne kantoorruimte wil hebben en de juiste verzekeringen afsluit: het zijn kosten die je moet maken om je license to operate te garanderen.”Met andere woorden: je voorkomt geen problemen met cybersecurity, je voorkomt bedrijfsschade.

Ook interessant: ‘Onderzoek naar digitalisering mkb: kennisgebrek grootste obstakel’

Wie denkt dat cybercrime vooral een spelletje is voor hobbyhackers, vergist zich. “De hackersindustrie is gewoon een business is geworden. Het zijn bedrijven die heel goed renderen, met aandeelhouders, met werknemers en hooggespecialiseerde tools.” 

Aan het woord is Erik van Daatselaar, portfolio lead cybersecurity bij Vodafone Business. Hij ziet dat ondernemers de risico’s structureel onderschatten. Volgens hem is de angst om te kijken vaak groter dan het risico zelf. “Wat me opvalt, is de angst. We boden ondernemers recent op een evenement een gratis securityscan aan. Een flink aantal reageerde letterlijk: ik durf hem niet te doen, want ik ben een beetje bang wat eruit komt.” 

En tegelijk zijn er ondernemers die denken dat hun beveiliging uitstekend geregeld is — totdat data, klantenbestanden of systemen onvindbaar blijken te zijn.Het harde cijfermateriaal liegt niet: één op de vijf Nederlandse bedrijven leed in 2024 schade als gevolg van een cyberaanval.

Meer over cybercrime voorkomen: 'Wees spookfacturen en andere factuurfraude te slim af (met tips)'

De professionalisering van cybercrime heeft grote gevolgen. Hackers kiezen zelden een doelwit; ze scannen continu op zwakke plekken. Van Daatselaar: “De enige mensen die zich geen zorgen hoeven te maken over hackers zijn bedrijven die toch al omvallen. Iedereen die omzet heeft, heeft te maken met geld én dus potentiële hacks.”  

Ondernemer Xander Koppelmans weet hoe vernietigend dat kan zijn. “Wat mensen vaak niet beseffen, is dat hackers zelden specifiek een doelwit kiezen. Ze gebruiken geautomatiseerde scripts en zodra jouw beveiliging zwak is, ben je een doelwit.” Zijn bedrijf liep meer dan een miljoen euro indirecte schade op. Hij vergelijkt het met “met een portemonnee in onze kontzak door de digitale koopgoot lopen.” Het is een beeld dat blijft hangen.

Ook interessant (en heel belangrijk): 'NIS2: maak uw bedrijf klaar voor de toekomst met deze checklists'

Het grootste risico is niet technische achterstand, maar menselijk gedrag. “Je kunt praten over ingewikkelde zaken, maar als jij makkelijke wachtwoorden hebt zonder multifactorauthenticatie, dan staat de digitale voordeur wel heel wijd open.” En opvallend genoeg: vooral mobiele telefoons zijn een blinde vlek. “De beveiliging op laptops is meestal wel goed geregeld… Maar mobiele toestellen, die evenveel toegang bieden tot data, worden véél minder beveiligd.” Dat is precies waar veel mkb’ers hun grootste risico lopen.

Ondernemer Patricia Antersijn herkent dat gevoel van ongemak: “Je kunt je als ondernemer lullig voelen als je de zaken niet op orde hebt. Maar het gaat dus niet specifiek om jouw bedrijf. Gegevens worden vroeg of laat ergens gehackt en alsmaar doorverkocht.” Ze wijst op iets dat vaak vergeten wordt: de nevenschade. “Je denkt vaak alleen aan data, maar als je nadenkt over de neveneffecten, dan is dat wel een eyeopener.” Veel mkb’ers worstelen daarnaast met prioriteit: ze weten dat het moet, maar cybersecurity zakt steeds van de to-do-lijst. “Als ik voor mezelf spreek: ik heb niet altijd zin om erin te duiken. Het is niet mijn corebusiness óf mijn specialiteit.” Dat maakt ondernemers echter niet minder kwetsbaar. Het vergroot vooral de noodzaak om cybersecurity structureel op de agenda te zetten.

Lees verder: ‘Schokkend: driekwart mkb-bedrijven was doelwit cybercrime’

Tijdens het NL Changemakers event van nlgroeit bleek dat 39 procent van de ondernemers een A-score behaalde op de Vodafone Security Scan, 28 procent een B-score en bijna een derde duidelijke kwetsbaarheden vertoonde. Van Daatselaar benadrukt: het is een beginpunt, geen eindstation. “Een scan kan nóóit kwaad… Hij kijkt ook op het darkweb, wat er te vinden is over een organisatie en of er gehackte credentials zijn.” Het doel: ondernemers helpen om de eerste, en belangrijkste, stap te zetten: inzicht in de digitale voordeur.

Belangrijk om te lezen: ‘Is uw digitale voordeur wel op slot? Zo werkt de Security Scan’

Voor veel mkb’ers is een fulltime ciso niet realistisch. Maar er is een alternatief.
Voor mkb’ers pleit Van Daatselaar voor een virtuele of deeltijd-ciso. “Ga even rond de tafel zitten en bespreek: waar zitten de zorgen, hoe zet je jouw IT-omgeving in? Waar moet je geld en moeite insteken? Je moet het een vast agendapunt maken.” En er zijn basisstappen die ieder bedrijf direct kan zetten:

• apparaten up-to-date & gepatcht
• multifactorauthenticatie op alle accounts
• gesegmenteerde wifinetwerken
• een standaard back-upproces

Maar minstens zo belangrijk: voorbereiding op het worst case scenario. “Denk niet alleen na over hoe je je beschermt, maar ook over ‘wat dan?’… In de jaren tachtig belde je de Ghostbusters. Wie bel je nu?” 

De centrale vraag is simpel: neemt u cybersecurity serieus vóórdat het misgaat, of pas erna? Van Daatselaar laat daar geen twijfel over bestaan: “Als je je bedrijf serieus neemt, dan moet je erin investeren. Je moet er budget voor vrijmaken. Niet op zondagmiddag in paniek, maar proactief, op vaste momenten in de week of in de maand.” Cybersecurity is dus geen IT-dossier. Het is risicobeheersing, bedrijfseconomie en ondernemerschap in zijn puurste vorm.