IT-dienstverleners Alex Klaassen en Godain Weerts, fiscalist Harrie Handels en advocaat Balder Lamers.

Bedrijven met minder dan tien medewerkers zijn in de regel minder vaak slachtoffer van cybercrime dan bedrijven met tien tot vijftig medewerkers of meer. Internetcriminaliteit is echter aan de orde van de dag. Ook in deze regio. Ook binnen het mkb. Het is niet de vraag óf je als ondernemer in aanraking komt met cyberaanvallen als phishing, hacking of ransomware, maar wanneer. De hamvraag is: ben je je daarvan bewust en ben je daarop voorbereid?

IT-security is geen luxe maar noodzaak; daarover zijn de ondernemers die aan tafel

Alex Klaassen

zijngeschoven het volledig eens. Allround IT-dienstverlener Godain Weerts en Alex Klaassen, die zich als onafhankelijke IT Risk organisatie dagelijks bezighoudt met informatiebeveiliging, kennen legio voorbeelden. Deze variëren van een factuur van een buitenlandse leverancier die via mail binnenkomt en betaald wordt, waarvan achteraf blijkt dat het rekeningnummer is veranderd, tot aan het platleggen van een compleet computersysteem waardoor de gegevens op alle aangesloten servers ontoegankelijk zijn. “Het is een kat-en-muisspel dat steeds verfijnder en venijniger wordt”, zegt Klaassen. “Als serieuze ondernemer moet je serieuze keuzes maken. Dat betekent ook dat je een sparringpartner kiest voor een goede screening, een onderbouwd advies en implementatie van je IT-infrastructuur.”

Niet aan de grote klok
Cijfers uit een onderzoek van de Haagse Hogeschool (onder 799 Nederlandse mkb-bedrijven) geven aan dat één op de vijf onderzochte bedrijven een cyberincident heeft ervaren. Weerts vindt dat een lage inschatting, onder meer omdat bedrijven die slachtoffer worden dit vaak niet aan de grote klok hangen. Balder Lamers, advocaat ondernemingsrecht en insolventierecht, en fiscalist Harry Handels beamen dit. “Schaamte speelt hierin een rol. Als fiscalisten en accountants hebben we een signaleringsfunctie, met name in het mkb. De laatste jaren zien we dat een aantal cliënten is geconfronteerd met gevolgschade van volledig gehackte systemen, waardoor ook machines stilvallen”, aldus Handels. “Zowel bij klanten die zaken misschien nog ondermaats geregeld hebben als bij relaties die de IT perfect op orde hebben.” Lamers benadrukt dat vooral de gevallen waarbij geld betaald is om systemen weer operationeel te krijgen of waarbij klantgegevens zijn kwijtgeraakt onder de pet worden gehouden. Hij stipt daarmee een belangrijk punt aan, waarbij onderscheid gemaakt moet worden tussen het lekken van persoonsgegevens (datalek) en het hacken voor losgeld.

‘Het is een kat-en-muisspel dat steeds verfijnder en venijniger wordt’

Harrie Handels

Persoonsgegevens beschermen
Sinds mei 2018 is de wet Algemene verordening gegevens-bescherming (AVG) van kracht. Hierin zijn de regels voor de verwerking van persoonsgegevens vastgelegd om privacyrechten te beschermen. “Als persoonsgegevens op straat komen te liggen is dat heel vervelend, maar hoe groot kan de impact zijn?”, vraagt Weerts aan Lamers. “In sommige gevallen niets. In tijden van corona hebben we massaal AVG-regels overboord gegooid. In de horeca moest je je naam, e-mailadres en telefoonnummer achterlaten zonder verwerkersovereenkomst. Platgeslagen is het een papieren tijgertje. Niemand vindt dat erg als er daarna maar geborreld kan worden. Maar als verzamelde persoonsgegevens worden gestolen of verhandeld – bijvoorbeeld door GGD-medewerkers – schreeuwt iedereen moord en brand.”

Handels vult aan: “In ons beroep ligt voortdurend de focus op bescherming van privacy, alsmede het beveiligen van de digitale systemen en software. Tegelijkertijd constateren we dat klanten steeds vaker open en bloot documenten via de app versturen, met alle gegevens ingevuld. Dat maakt het lastig om conform de AVG te werken. Er is een groot grijs gebied.”

Lamers verwijst ondernemers naar de website autoriteit-persoonsgegevens.nl voor het juiste protocol. “Daar is alle belangrijke informatie te vinden, inclusief diverse standaarddocumenten. Feit is dat de AVG mensen dwingt verwerkersovereenkomsten te sluiten, waarin ook moet worden opgenomen welke beveiligingsmaatregelen partijen hanteren. Dat laatste betreft fysieke maatregelen en dat verdient echt veel meer aandacht. Het is verstandig om daar met een professional naar te kijken. Je hoeft het wiel echt niet zelf uit te vinden. Kijk welke onderdelen voor jou belangrijk zijn en hoe je deze veilig kunt inrichten.”

‘Zowel bij klanten die zaken misschien nog ondermaats geregeld hebben als bij relaties die de IT perfect op orde hebben’

Bewustwording van groot belang
Het viertal vindt unaniem dat je, zowel voor AVG als internetbeveiliging, een deskundige partij moet inschakelen voor voorlichting en advies. “Dan hoeft het niet zo moeilijk te zijn”, zegt Klaassen die vindt dat over beide problemen nog te weinig wordt gecommuniceerd. “In enkele sectoren, zoals het bankwezen en zorginstellingen, zie je overkoepelende activiteiten ontstaan. Ze organiseren periodiek een evaluatie-moment om ervaringen en oplossingen te delen, zodat daar iedereen wijzer van wordt. Bewustwording is echt van groot belang. Voor een hacker is het te eenvoudig om toe te slaan, terwijl met relatief simpele maatregelen veel is te voorkomen.”

Hoewel het mkb niet per se deel uitmaakt van het targetveld van de professionele hacker, krijgt op jaarbasis zo’n 50 procent van de mkb’ers te maken met een cyberaanval, waarvan de gemiddelde schade geraamd wordt op 40.000 euro per hack. “Organisaties tot pakweg honderd medewerkers moeten zich vooral richten op awareness. Investeer in de gebruiker. Cybercriminelen zijn geraffineerd, werken met een goed doordacht ‘businessmodel’, compleet met helpdesk. Het gros van de mensen is te goeder trouw, onwetend en wordt verleid tot onnadenkend handelen”, legt Weerts uit. “Samen met een IT-specialist moet je duidelijke afspraken en keuzes maken voor het hele bedrijf.”

“Door de digitalisering hoef je geen grote ondernemer meer te zijn om impact te hebben”, nuanceert Klaassen. Hij illustreert dit met een concreet voorbeeld. “Een klant – een bedrijf met twintig man personeel – maakt gebruik van een webapplicatie voor hr, werving en selectie. Op het moment dat deze applicatie wordt gehackt, is het bereik veel breder en groter dan alleen deze ondernemer. Alle app-gebruikers en klanten worden dan gedupeerd.”

Godain Weerts

Voorkomen beter dan genezen
Het kritisch blijven op en up-to-date houden van IT-processen, apparatuur en gebruik is cruciaal. Met goede (veilige) software, die niet verouderd is, gecertificeerde leveranciers en zorgvuldig gebruik is veel ellende te voorkomen. “Wanneer je de mogelijke schadepost afzet tegen de investering, worden de offertes van IT-specialisten ineens een stuk aantrekkelijker”, zegt Weerts met een knipoog. Becs IT Services biedt (online) awareness e-training(en) aan. “Met een klantspecifieke phishing simulatie wordt het bewustwordingsniveau binnen een organisatie bepaald. Na een trainingsperiode wordt met een nieuwe phishing simulatie gekeken hoe succesvol het traject is en welke medewerkers eventueel extra training nodig hebben.”

Het menselijk handelen blijft waarschijnlijk de zwakke schakel. Bijna 90 procent van de internetgebruikers (thuis en op het werk) kiest een zwak wachtwoord, 40 procent downloadt onveilige software en ongeveer 30 procent deelt zonder achterdocht persoonlijke gegevens. “Meer voorlichting is nodig om het gedrag van medewerkers positief te beïnvloeden, te corrigeren. Wij zijn liever de vitamine dan de aspirine”, aldus Klaassen.

Blader Lamers

Desastreus voor de continuïteit
Digitalisering is absoluut essentieel voor bedrijfsontwikkeling. Lusten gaan echter altijd gepaard met lasten. En een serieuze cyberaanval kan desastreus zijn voor de continuïteit van een onderneming. “Als ondernemer doe je een SWOT-analyse, maar daarbij wordt de IT-omgeving vergeten. Dat is eigenlijk heel vreemd”, aldus Lamers. Hij vindt dat er nog veel winst valt te behalen omtrent IT en contractvorming. “Wil je het goed doen, dan moeten zaken op elkaar aansluiten: hardware, software en de dienstverlening daaromheen. Je kunt wel een verzekering afsluiten voor internetcriminaliteit, maar dan moet je ook voldoen aan de hardware en software die minimaal nodig zijn voor dekking en vervolgens schriftelijk regelen dat de aansprakelijkheid beperkt wordt.”

Voor de gemiddelde ondernemer is het kiezen van de juiste verzekering al lastig, erkent Handels. Bestaande verzekeringen, voor bijvoorbeeld bedrijfsonderbreking of aansprakelijkheid, dekken doorgaans cyberproblemen niet. “Je raakt al snel verwikkeld in allerlei ingewikkelde constructies. In onze branche zijn bijvoorbeeld de softwareleveranciers grote jongens. Wanneer zich daar een probleem voordoet, ben ik dan ook aansprakelijk?”

Klaassen weet te vertellen dat het in eerste instantie gaat over het aansprakelijkheidsrisico. “Verzekeraars moeten polissen nog ombouwen, maar hebben te weinig betrouwbare historische data voorhanden om reële risicomodellen te ontwikkelen. Ze hebben moeite met het duiden van risico’s. Daarnaast zien we het aantal hacks toenemen, waardoor premies stijgen.” “Precies”, antwoordt Handels, “een mkb’er weet daardoor niet wat hij nu eigenlijk verzekert en heeft geen garantie dat de mogelijke schade gedekt is.”

Eigen verantwoordelijkheid nemen
De advocaat schetst meer helderheid. “Je kunt schade voor een klant nooit volledig uitsluiten. Als je iets niet goed doet, ben je er aansprakelijk voor. De gevolgschade, waaronder gederfde winst, kun je wel uitsluiten en wegcontracteren. Dat betekent dat je dergelijke zaken op papier moet regelen. De directe schade – die je niet kunt wegcontracteren – moet je eigenlijk verzekeren”, aldus Lamers’ reactie.

Samengevat dien je, volgens Weerts, te zorgen voor een goed ingerichte IT-omgeving, een verwerkersovereenkomst met je IT-leverancier en grote verzekeraars hanteren tegenwoordig een toetsing/checklist om inzicht te krijgen in het niveau van de IT-beveiliging. “Daaraan kun je de kwaliteit hiervan al toetsen. Mijn afweging zit niet zozeer in de hoogte van de premie, maar in de vraag: wat gaan ze voor mij doen als ik in de problemen kom? Het sterkste punt van een goede verzekering is dat zij meteen grote beveiligingsbedrijven als Fox-IT en Northwave inschakelen. Punt blijft welke premie iemand wenst te betalen, want dat gaat over fikse bedragen.”

‘Cybercriminelen zijn geraffineerd, werken met een goed doordacht ‘businessmodel, compleet met helpdesk’

De conclusie is dat er nog een hele wereld is te ontdekken. Waar ligt de aansprakelijkheid? Als je vooraf niet inzet op cyberweerbaarheid, gaat het uiteindelijk een keer fout en waar kun je dan de pijn neerleggen? Om toekomstgericht te ondernemen, moet je het juridische facet van je IT-omgeving meenemen. Helaas zorgt de verdrievoudigde cybercriminaliteit in Limburg ervoor dat we ons bewust worden van de (in sommige gevallen) zeer ernstige gevolgen.