Cybercrime neemt hand over hand toe. Nederlandse bedrijven en de overheid leiden jaarlijks zo’n 10 miljard euro schade als gevolg van deze opkomende vorm van criminaliteit. Hackers worden slimmer en hebben het steeds vaker gemunt op het midden- en kleinbedrijf. Bij ondernemers heerst veel onwetendheid over deze nieuwe vorm van criminaliteit. Drie professionals geven daarom een stoomcursus over beveiliging, verzekeringen en wetgeving.
De melding van een e-mail. De afzender: een beursgenoteerd bedrijf. In een keurig geschreven brief wordt gevraagd de bijlage met de titel ‘Uitleg over basispakket’ te openen. Niemand heeft om de e-mail gevraagd, maar even snel lezen kan geen kwaad. Of wel?
Cyberaanvallen
“In de bijlage zou een virus of executable verborgen kunnen zitten”, waarschuwt Godain Weerts, directeur van Becs IT Services. “Dat is een bestand dat de computer overneemt. Het installeert een programma dat het systeem en alle data versleutelt.”
Hierdoor zijn alle bestanden niet meer te openen. Dan volgt een melding waarin gevraagd wordt om een bedrag van bijvoorbeeld driehonderd euro over te maken om de blokkering op te heffen. Weerts: “Mijn advies is om nooit een bijlage te openen waar je niet om gevraagd hebt. Als dat toch gebeurd is, heb je een groot probleem en moet je je afvragen of je het geld wel moet overmaken.”
Dit is een voorbeeld van een Cryptolocker virus en wordt gestuurd door cybercriminelen. Volgens Weerts neemt deze manier van hacken de laatste tijd toe. “Helaas zijn er ook nieuwe ontwikkelingen. Nu zie je dat buitenlandse facturen steeds vaker gemanipuleerd worden. Hackers onderscheppen buitenlandse facturen, veranderen het bankrekeningnummer en sturen het door. Je bent het geld kwijt als je het overmaakt op het aangegeven rekeningnummer.”
Zonder hun huis uit te hoeven, richten criminelen vernielingen aan en plegen diefstal. Van geld, maar ook van data. “Zorg daarom dat de belangrijkste bedrijfsgegevens, de kroonjuwelen van het bedrijf, veilig zijn”, zegt Weerts. “Dat begint door je te beschermen tegen aanvallen met de beste producten, zoals een virusscanner en antispamfilter. Ook is het belangrijk om een goede back up te hebben. Als je die hebt en deze ook beschermd is, kan je in principe altijd terug naar de situatie van vóór de inbraak.”
Verzekering
Cybercrime is de snelst groeiende vorm van criminaliteit. “Het aantal gemelde cyberaanvallen is de afgelopen jaren telkens met veertig tot vijftig procent toegenomen”, stelt Marc Saes, directeur van Schulpen Assurantie Adviseurs. De aanvallers zouden vaak criminele organisaties en buitenlandse overheden zijn die zoeken naar waardevolle informatie. Deze hackers zijn haast onmogelijk te traceren.
Naast een goede beveiliging, is het als ondernemer verstandig verzekerd te zijn. “Het probleem is dat veel onder nemers denken dat ze voor het risico op cyberaanvallen standaard verzekerd zijn. Zij denken: als ik data verlies en het bedrijf daardoor stilligt spreek ik mijn bedrijfsschadeverzekering aan. Maar die dekt geen cybercrime.”
Ondernemers dienen daarom een aparte polis af te sluiten. Dat kan vanaf zestig euro per maand voor zzp’ers en loopt op naarmate het bedrijf groter wordt. Waar Saes momenteel jaarlijks diverse polissen tegen de gevolgen van cybercrime afsluit, verwacht hij dat het binnen drie jaar net zo standaard wordt als een bedrijfsschadeverzekering. “Voor vrijwel elk bedrijf is het zinvol een polis af te sluiten”, meent Saes. Gegevens kunnen bergen met geld opleveren. Als deze verloren gaan, zijn de gevolgen vaak niet te overzien. Het kan zelfs leiden tot een faillissement. “Uit onderzoek blijkt dat 60 procent van de kleine en middelgrote bedrijven na zes maanden de poort moeten sluiten als gevolg van een hack.”
Wetgeving
Ondanks alle maatregelen, kan het door een menselijke fout – bijvoorbeeld door het openen van een besmette bijlage van een e-mail – toch gebeuren dat een hacker succesvol een bedrijf aanvalt en toegang krijgt tot gegevens. Wat dan? “Elke ondernemer is verplicht een datalek als gevolg van bijvoorbeeld een hack te melden”, zegt Rob Deuss, advocaat bij Hoeberechts Advocaten.
Van een datalek is sprake als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. “Als iemand een computer op een bedrijf hackt, moet de ondernemer dat melden bij de Autoriteit Persoonsgegevens en in sommige gevallen ook aan de betrokkenen. Als de hack wordt veroorzaakt doordat het bedrijf de zaken niet op orde heeft, kan dat op een boete komen te staan van maximaal 820.000 euro. Je bent als bedrijf bij wet verplicht om volgens de laatste technieken beveiligd te zijn tegen cyberaanvallen.”
De forse boete is vastgelegd in de Wet meldplicht datalekken, die op 1 januari dit jaar in werking is getreden. Het is een aanpassing op de Wet bescherming persoonsgegevens. Deze wet is van toepassing op alle bedrijven en instellingen die persoonsgegevens verwerken. Deuss vindt het eigenlijk een vreemde wet: “Het komt erop neer dat als ik de deur niet afgesloten heb en een boef mijn huis binnenkomt om mijn portemonnee te stelen ik daarvoor aansprakelijk ben omdat ik de deur niet heb afgesloten.”
Deuss, die als advocaat cliënten in de rechtszaal bijstaat die met cybercrime te maken hebben, ziet ook goede kanten van de meldingsplicht die in de wet zit. “Wat goed is, is dat als gegevens op straat liggen doordat een bedrijf is gehackt, dit bedrijf binnen 72 uur melding moet doen. De betrokkenen kunnen dan maatregelen treff en, bijvoorbeeld door het veranderen van wachtwoorden.”
Bedrijven hoeven overigens niet meteen te vrezen voor een toren hoge geld boete. “Het uitgangs punt van de wet is erop gericht dat bij een datalek de nodige maatregelen getroffen worden zodat de gevolgen ingedamd kunnen worden. Het is niet zo dat wanneer je een datalek hebt, je meteen een boete krijgt. Daar zit nog een stap tussen. De Autoriteit Persoons gegevens kan een bindende aanwijzing geven, die wel opgevolgd moet worden.”
Voor bedrijven is het belangrijk dat zij hun interne protocollen goed regelen. Deuss: “Wie mag aan welke gegevens komen en wie doet wat bij een datalek.” Als een bedrijf de opslag van data uitbesteedt aan een derde, moet het bedrijf de relatie met deze derde goed vastleggen. Het bedrijf zelf blijft namelijk altijd direct verantwoordelijk als er een datalek ontstaat.