Het idee dat hackers alleen grote bedrijven aanvallen, is een gevaarlijke misvatting. Volgens experts zoals ethical hacker Edwin van Andel en Koos Freriks van VodafoneZiggo hacken cybercriminelen alles wat ze zien. Voor een mkb’er met tien man is de schade vaak niet in het nieuws, maar kan deze wel leiden tot faillissement. De aantrekkelijkheid voor hackers? Kleinere bedrijven zijn vaak makkelijker binnen te dringen dan een multinational met een heel securityteam. De eerste stap naar bescherming is accepteren dat het risico reëel is, simpelweg omdat je een internetverbinding hebt.
Waarom preventie vaak ontbreekt
Veel ondernemers bellen pas om hulp als het al mis is gegaan, wanneer bestanden zijn versleuteld of systemen ontoegankelijk zijn. Op dat moment is de schade volgens de experts vaak al veel groter dan de kosten van preventie ooit hadden kunnen zijn. Een belangrijke oorzaak is dat cybersecurity onzichtbaar is totdat het fout gaat. Er is zelden budget voor, omdat ondernemers worden gedreven door wat ze direct zien en kunnen aanraken. Daarnaast zorgen goedbedoelde workarounds, zoals het aansluiten van een privé-router omdat iemand geen kabels meer wil, voor onzichtbare gaten in de beveiliging. Je kunt je niet beschermen tegen iets waarvan je niet weet dat het bestaat.
De nieuwe dreiging van AI
Kunstmatige intelligentie maakt het werk van cybercriminelen aanzienlijk makkelijker. De schrijfstijl van bedrijven is eenvoudig te kopiëren voor overtuigende phishingmails, en aanvallen worden geautomatiseerd. Er zijn volgens Van Andel zelfs bots getraind op bekende kwetsbaarheden die zelfstandig kunnen hacken. Een belangrijk voordeel voor aanvallers: een AI-bot wordt nooit moe. Een andere zorg is het gebruik van tools zoals ChatGPT door medewerkers. Het uploaden van bedrijfsdata, zoals een halve directory voor een snelle samenvatting, betekent dat gevoelige informatie op iemand anders zijn computer terechtkomt.
Vijf stappen voor morgen
Op basis van de gesprekken met de experts zijn dit vijf concrete, laagdrempelige stappen die je als ondernemer relatief snel kunt implementeren.
Stap 1: Maak cybersecurity bespreekbaar en accepteer het risico. De eerste en belangrijkste stap is het besef dat ook jouw bedrijf een doelwit is. Bespreek dit met je team en maak het onderdeel van de bedrijfsvoering.
Stap 2: Zorg voor een duidelijk overzicht van je digitale omgeving. Welke apparaten staan er allemaal op je netwerk? Welke software gebruiken medewerkers? Je kunt je niet beschermen tegen iets wat je niet kent. Een simpele inventarisatie is een goed begin.
Stap 3: Voer multi-factor authenticatie (MFA) in. Dit is een van de meest effectieve manieren om accounts te beschermen. Naast een wachtwoord is er een extra stap nodig, zoals een code via een app, om in te loggen.
Stap 4: Regel automatische updates en back-ups. Zorg dat alle software, besturingssystemen en routers zich automatisch updaten. Stel daarnaast een robuust back-upbeleid in, waarbij back-ups regelmatig, automatisch en losgekoppeld van het netwerk worden gemaakt.
Stap 5: Stel duidelijke richtlijnen op voor het gebruik van AI-tools. Maak afspraken over welke data wel en niet in publieke AI-chatbots zoals ChatGPT mogen worden geplaatst. Informeer je medewerkers over de risico’s.
Hoe kun je dit vandaag toepassen?
Een mogelijke eerste stap is om een kort overleg in te plannen om cybersecurity op de agenda te zetten en het risico te bespreken. Een andere optie is om te beginnen met een inventarisatie: maak een lijst van alle apparaten op je netwerk en de software die wordt gebruikt. Overweeg ook om vandaag nog multi-factor authenticatie in te schakelen voor je belangrijkste accounts, zoals e-mail en cloudopslag.
De toepassingen in dit artikel zijn suggesties op basis van het bronartikel, geen gevalideerd advies.
Bron: Sprout