Wat is de visie van Hupra ICT op cybersecurity?

10 vragen aan Cornel van Westen over cybersecurity, met 10 keer een eerlijk antwoord.

De afgelopen tijd hebben we veel geschreven over cybersecurity. Op dit moment is dat voor mkb’ers een hot issue op ICT-gebied. Althans, dat zou het moeten zijn. We legden 10 vragen voor aan Cornel van Westen. Als salesmanager en mede-eigenaar van Hupra ICT zit hij wekelijks om tafel met mkb’ers. Waarom vindt hij cybersecurity zo’n belangrijk onderwerp? Hoe kunnen bedrijven zich wapenen? Is dat het waard of zullen hackers het altijd winnen?

DSC_9647-2-1-1-1

1.   Hoe belangrijk is cybersecurity voor het mkb?

“Juist in het mkb is cybersecurity belangrijk. Je bent voor cybercriminelen een makkelijk slachtoffer, omdat je het vaak minder goed beveiligd hebt dan de hele grote bedrijven. De kans dat je een keer doelwit bent is daarom best groot. En bedenk wel, het gaat uiteindelijk om het voortbestaan van je bedrijf. De financiële schade en de downtime na een cyberaanval kunnen je hard raken. Of je kunt helemaal niet verder, omdat de data echt weg is.”

2.   Wat zie je bij bedrijven vaak misgaan?

“Er is eigenlijk altijd te weinig kennis in huis. Het is ook een breed onderwerp. Vaak wordt er gedacht: als onze ICT-omgeving functioneel maar werkt, dan is het goed. Er wordt dan te weinig aandacht besteed aan de security.”

3.   Wat is het laaghangend fruit, wat kunnen bedrijven makkelijk verbeteren?

“Dat wisselt. Wij kijken altijd eerst of de basismaatregelen in orde zijn. Vaak zijn updates slecht geregeld. Maar ook de toegangscontrole wordt functioneel ingericht. Mensen gebruiken makkelijke wachtwoorden of overal hetzelfde. Terwijl je dat met two factor authentication of een Single Sign On oplossing zo veel beter kunt regelen. Daarnaast hebben medewerkers vaak te veel rechten. Komt een hacker dan binnen via een willekeurig account, dan kan hij ook meteen overal bij. Soms tot admin rechten aan toe!”

4.   Hoe kijk jij naar de kosten voor cybersecurity? Welke kosten zijn reëel in verhouding tot wat het je oplevert?

“Vaak wordt er gedacht: beveiligingsmaatregelen zijn heel kostbaar. Maar als je het in de basis goed organiseert, valt dat mee. Denk aan enkele euro’s tot tientallen euro’s per maand per gebruiker. Natuurlijk, ook dat zijn kosten, maar we praten voor een gemiddeld mkb-bedrijf niet over tonnen. Het zit meestal juist in de simpele dingen, de basis die op orde moet zijn.”

5.   Wat is belangrijk in de aanpak van cybersecurity?

“Security by design. Dat betekent dat je al tijdens het ontwerp rekening houdt met de beveiliging. Het is veel beter dan achteraf maatregelen nemen. Je moet de veiligheid inbouwen vanaf de basis. Dan kom je tot een goed geheel aan maatregelen die samen de veiligheid borgen.”

6.   Er wordt vaak gezegd dat de mens de zwakste schakel is, zie jij dat in de praktijk ook zo?

“Ja in de praktijk zien wij dat ook. Het is net als bij de beveiliging van een huis. Je kunt daar de beste sloten op zetten, als iemand de achterdeur wagenwijd open laat staan heb je daar niets aan. Je bent dus altijd afhankelijk van het gedrag van de mens. Daarom is het zo belangrijk om medewerkers bewust te maken van de risico’s. We geven bijvoorbeeld trainingen waarin medewerkers leren hoe ze cybercrime herkennen en wat veilig gedrag is. Tegelijkertijd kunnen we met technische maatregelen de schade van een menselijke fout wel beperken. Bijvoorbeeld door de rechten goed te regelen.”

7.   Hoe meer je dicht timmert qua beveiliging, hoe beter. Ben je het daarmee eens?

“Het zal je misschien verbazen, maar ik ben het daar niet mee eens. Het moet namelijk wel werkbaar blijven. Een medewerker moet goed en gemakkelijk zijn werk kunnen doen. De beste oplossingen zijn een combinatie van veiligheid en gebruikersgemak. Zoals een Single Sign On, waarbij een gebruiker met één superveilig wachtwoord met multifactor authenticatie inlogt op alle applicaties. Makkelijk voor de medewerker, goed voor de veiligheid en de toegangsrechten zijn goed beheersbaar. Gaat iemand uit dienst, dan is de toegang in één keer ingetrokken voor alle applicaties.”

8.   Het wordt steeds belangrijker om de beveiliging in de keten te organiseren. Ben je het daarmee eens?

“Ja, daar ben ik het mee eens. Alleen dat ook daadwerkelijk doen is lastig. Als ICT-partner van mkb-bedrijven zitten we aan de pragmatische kant. Onderlinge samenwerking in de keten zou goed zijn, maar we zien het nog weinig gebeuren. Ketensamenwerking leeft wat meer bij grote organisatie en de overheid. Waar wij met onze klanten in eerste instantie op focussen, is dat ze het voor zichzelf goed geregeld hebben. Daar hoort trouwens wel bij dat we bijvoorbeeld de samenwerking met klanten goed en veilig faciliteren. Dus in die zin gaat de veiligheid dan verder dan de eigen organisatie.”

9.   Welke cybercrime ontwikkelingen verwacht je in de nabije toekomst?

“Cybercrime zal alleen maar toenemen. Het is een lucratieve business voor criminelen: de pakkans is klein en het is laagdrempelig. Cybercrime klinkt high tech. Maar je kunt online gemakkelijk informatie vinden over hoe je dat moet doen en zelfs toolkits kopen. Bedreigingen komen niet alleen vanuit ons land, maar ook vanuit bijvoorbeeld India en China.”

“Aan de andere kant neemt ook de bewustwording toe. Dus de ontwikkelingen zijn er ook aan de goede kant en er komen betere oplossingen om je tegen cybercrime te beschermen. Uiteindelijk blijft het een kat-en-muisspel waar je in mee moet als bedrijf.“

“Wat je bedrijf waarschijnlijk gaat raken is dat er steeds meer wet- en regelgeving komt. Daardoor word je verplicht om zaken op een bepaalde manier te regelen. In de financiële sector en de zorg speelt dat nu al veel meer dan in bijvoorbeeld de transport. Maar het zal overal een grotere rol gaan spelen. Bij een accountantscontrole wordt bijvoorbeeld steeds vaker ook gevraagd hoe back-ups geregeld zijn.”

10.  De opkomst van cybercrime en criminelen die steeds verder gaan: is het een verloren zaak?

“Nee absoluut niet. Uiteindelijk moet je positief blijven. Zorg dat je de basis op orde hebt. Zoals met goede back-ups en andere essentiële maatregelen. Dan verklein je echt de kans dat jouw bedrijf slachtoffer wordt.”

“We merken het ook als we tests laten uitvoeren door ethische hackers: er is altijd wel wat te vinden dat nog beter kan. Maar het gaat erom: wat ga je ermee doen? Aan een rapport alleen heb je niets. Dat geeft natuurlijk wel inzicht, maar het moet wel omgezet worden in concrete verbeterstappen. Dat traject nemen we uit handen voor klanten, zodat zij zich met een gerust hart kunnen richten op hun werk. En ik kan niet genoeg benadrukken: besteedt aandacht aan bewustwording van medewerkers. Cybersecurity kun je niet bij een of twee medewerkers neerleggen, iedere medewerker speelt een belangrijke rol.”

Met welke vragen loopt u rond?

Heeft u ook een vraag over cybersecurity of wilt u verder praten over hoe het geregeld is in uw bedrijf? Vraag een gratis adviesgesprek aan, dan bespreken we uw situatie.

Cybersecurity voorkomen