Interview met Han Veldwijk, CEO van Lupasafe

CYBER PROOF I LUPASAFE

´Your network has been locked´


Elke dag worden de bestanden van bedrijven digitaal gegijzeld. Niet door whizzkids op een zolderkamer, en door professionele criminelen met een solide businessmodel. Han Veldwijk van Lupasafe legt uit hoe je de kans verkleint dat deze boodschap straks op jouw scherm staat. 

 

Je komt na de lunch terug op kantoor. Je logt in, wilt verder werken aan dat bestand waarmee je bezig was. Maar hè, dat is gek. De bestandsnaam is veranderd. En hoe je ook klikt, er gebeurt niets. Niet veel later staat Henk van de administratie in je kamer. Ook hij kan nergens meer bij. 

 

Even hoop je nog dat dit een grap is. Maar het nare gevoel in je maag groeit met de minuut. Zeker als je even later een bestandje vindt dat je vermoeden bevestigt: All your documents, photos, databases and other important files have been encrypted. Je kunt ze terugkrijgen. Voor tienduizenden euro’s aan bitcoins. Dit is goed mis. Je voelt paniek opkomen. Wie kan je helpen, wat moet je tegen klanten zeggen?

 

Ik heb toch geen geheimen

De kans dat dit je overkomt, is groter dan je misschien denkt. 1 op de 5 bedrijven in Nederland krijgt jaarlijks te maken met cybercriminaliteit. De schade loopt - zeker bij ransomware - al snel in de tonnen. Losgeld is meestal niet eens de grootste kostenpost. De inkomsten die je misloopt omdat je bedrijf stilligt, de herstelkosten en imagoschade doen vaak pas écht pijn. 

 

“Veel mkb’ers denken: dat overkomt mij niet. Maar daar zoeken hackers niet naar. Ze kijken maar naar twee dingen. Kan ik snel binnenkomen en kan je betalen? 

 

Profs als tegenstander

Als ethisch hacker kent Han Veldwijk het digitale criminele speelveld goed. “Je neemt het tegenwoordig op tegen goed georganiseerde, criminele bedrijven. Ze werken bijvoorbeeld met teams van specialisten. De één verzamelt informatie over jouw bedrijf, de ander weet alles van toegang tot databases en ga zo maar door. Hun werkwijze is bovendien sterk geautomatiseerd. Ze vallen duizenden ondernemingen tegelijk aan. Het is altijd wel ergens raak.” 

 

Lupasafe helpt mkb’ers om digitaal weerbaar te worden. Niet alleen tegen ransomware, ook tegen andere vormen van cybercriminaliteit zoals phishing, acquisitiefraude of ceo-fraude. Om de kans daarop te verkleinen heb je volgens Veldwijk een driedubbele verdediging nodig. 

 

Mens, proces en IT

De eerste verdedigingslinie is die van de mens. “Zijn medewerkers zich bewust van cyberrisico’s, herkennen ze een verdacht mailtje? We doen regelmatig testen. Het kost meestal maar weinig tijd om met een goede actie binnen te komen. De kans daarop wordt kleiner als je snapt hoe cybercriminelen werken. Bij phishing gebruiken ze bijvoorbeeld vaak een combinatie van emotie, actie en urgentie. Je krijgt een mailtje van een boze klant waarin staat dat je voor 15.00 uur iets moet doen omdat je anders een claim krijgt via zijn advocaat. Dan klikken veel medewerkers toch op dat linkje of openen de bijlage.” 

 

De tweede verdedigingslinie zijn de processen binnen jouw organisatie. Richt processen zo in dat veilig werken de standaard is. Stel beleid op voor het gebruik van eigen devices, zorg dat niet iedereen standaard toegang heeft tot alle data. En monitor structureel op cyberrisico’s in je bedrijf, legt Veldwijk uit. Geef bijvoorbeeld ook aandacht aan processen als thuiswerken, social media en privacybeleid, trainingen en rapportage op beveiligingsrisico´s.

 

En pas dan kom je aan bij de laatste laag: IT. “Firewalls, spamfilters en virusscanners zijn mooie hulpmiddelen, maar heb je ook de zogenaaamde ‘shaduw IT’ in kaart? De thuis laptop of het macbook?. Stap af van de gedachte dat je IT-afdeling of IT-bedrijf dit wel voor je regelt. Niet alle aspecten van IT monitoring vallen onder de scope van je IT-er. Jouw IT-bedrijf heeft bijvoorbeeld geen verantwoordelijkheid voor externe factoren zoals de beveiliging van partners waarmee je samenwerkt, kwetsbaarheden in software van derden of prive computers van medewerkers. Daarnaast bieden IT leveranciers niet altijd rapportage op maandelijkse voortgang aan. Cyberveiligheid gaat over alles wat je doet, het raakt je volledige organisatie. En dus kan maar één iemand die verantwoordelijkheid pakken: jij als ondernemer.”

 

 

<KADER>

              

In 3 stappen cyberproof

 

  1. Denk vooruit
         Maak met regelmaat back-upsen test deze op bebruikbaarheid en veiligheid. Bewaar ze (digitaal) gescheiden van je  productieomgeving. Zo minimaliseer je de impact van een ransomware-aanval. 
  2. Breng in kaart
         Breng in kaart wat de kroonjuwelen van de organisatie zijn en welke cyberrisico’s je daar loopt, wat de potentiële impact op uw bedrijf is en in welke mate u dreigingen het hoofd kunt bieden. Het is de basis voor uw beveilingsaanpak. Banken, verzekeraars en toezichthouders vragen bovendien in toenemende mate naar zulke rapportages, dit wordt versterkt door nieuwe Europese regelgeving in een aantal sectoren.
  3. Verdedig integraal
         Werk continu aan je digitale weerbaarheid via alle verdedigingslinies: mens, systeem én IT. Monitor uw inspanningen, zodat u gericht kunt werken aan verbetering. 

 

Meer informatie?

Lupasafe analyseert dagelijks de cybersecurity risico´s van jouw medewerkers, processen en IT. Ga voor meer informatie naar https//lupasafe.com


 

 

 

 [WvdL1]Soms door whizzkids, soms door professionele criminelen