Cyber security voelt voor veel mkb-ondernemers als een technisch onderwerp. Iets voor de IT-afdeling, of voor “de leverancier”. Maar in deze podcast aflevering laat Eddy van der Lagemaat zien dat cyber security allang geen IT-feestje meer is. Het raakt de kern van je bedrijf, je reputatie en zelfs je continuïteit. Luister de podcast en ontdek waarom cyber security ineens wél een directiekwestie is.
Veel ondernemers denken dat ze niet interessant zijn voor hackers. Hun bedrijf is te klein, hun data te oninteressant. Eddy hoort het zo vaak. Maar de realiteit is anders. “Hackers weten precies dat mkb-bedrijven kwetsbaarder zijn” legt Eddy uit. “Waarom moeilijk doen bij een corporate als je bij drie mkb-bedrijven net zo goed kunt binnenkomen?”
En dat raakt meer dan alleen jou. In een keten sta je nooit alleen. “Als jouw bedrijf niet meer kan leveren, staat de hele supply chain onder druk” zegt Eddy. “En dan gaat de vraag spelen of ze de volgende keer nog wel met jou willen werken.”
De technische schade van een hack kun je oplossen. Maar reputatie? Dat is lastiger.
Eddy noemt het voorbeeld van een laboratorium dat na een veiligheidsincident ineens onder een vergrootglas ligt. Andere bedrijven in dezelfde keten kennen dat verhaal binnen een dag.
Soms gaat het zelfs goed mis. Zoals het marktonderzoeksbureau dat na betaling van ransomware maar 80 procent van de data terugkreeg. “Met tachtig procent kom je er niet” zegt Eddy. “Dat bedrijf was gewoon klaar.”
Alsof de risico’s nog niet genoeg zijn, brengt NIS2 ook bestuurlijke verantwoordelijkheid mee. “De directie heeft straks een zorgplicht” vertelt Eddy. “Als je geen maatregelen neemt en er gebeurt wat, kun je aansprakelijk worden gesteld.”
En dat gaat verder dan firewalls en wachtwoorden. “NIS2 verplicht je ook om organisatorische maatregelen te nemen. Dus medewerkers trainen, bewustwording verhogen, die hele menselijke kant.”
Cybersecurity gaat daarmee officieel het domein van de directie binnen.
“Security is voor steeds meer bedrijven gewoon een verkoopargument. Je wint klanten als je kan aantonen dat jij je data echt veilig houdt.”
Lang was het idee: als IT de boel maar goed dichttimmert, komt het wel goed. Maar hackers denken net zo hard mee. “Als ze niet via de achterdeur binnenkomen, proberen ze het via de mailbox van een medewerker” zegt Eddy.
Hij heeft het zelf gezien binnen WSB, toen medewerkers werden getest met een professioneel ontworpen phishingmail. “Zelfs bij ons klikten mensen. Dat zegt echt genoeg.”
Daarom noemt hij medewerkers de belangrijkste verdedigingslinie. Niet omdat ze alles moeten weten, maar omdat één klik al genoeg kan zijn.
Dan is er nog AI. Een kans voor bedrijven, maar net zo goed voor criminelen.
Eddy zag een video waarin iemand via een webcam in realtime werd omgezet naar Taylor Swift. “Het was niet te zien dat het nep was.” En dan stelt hij de vraag waar iedereen even stil van wordt: “Wat doe je als jouw ‘directeur’ via video belt met de boodschap dat je met spoed twintigduizend euro moet overmaken?”
De techniek gaat sneller dan onze alertheid.
Security voelt snel als een kostenpost. Maar dat beeld kantelt. Eddy noemt een makelaar uit de voetbalwereld. Iemand die reist met telefoons vol gevoelige contractinformatie. “Voor hem is security gewoon een verkoopargument” zegt Eddy. “Hij wint klanten omdat hij kan aantonen dat hij hun data echt veilig houdt.”
Niet omdat het moet, maar omdat het vertrouwen geeft.
Eddy is eerlijk over het tempo waarin alles verandert. “Je weet eigenlijk nooit of je genoeg doet” geeft hij toe. “Maar dat betekent niet dat je niks moet doen.”
Het is geen eindproject. Het is een manier van werken. Een ritme waarin je bijblijft, bijstuurt en samenwerkt met specialisten.
Voor veel mkb-bedrijven is het simpelweg onmogelijk om zelf alle ontwikkelingen bij te houden. “Je kunt niet iemand aannemen die dit allemaal doet” zegt Eddy. “Dan heb je er eigenlijk twee nodig, alleen al voor de continuïteit.”
Net zoals je een accountant hebt voor cijfers, heb je voor security partners nodig die elke dag met deze thema’s bezig zijn.
Eddy houdt het praktisch: “Begin bij het risico dat je loopt. Wat gebeurt er als je bedrijf vier weken plat ligt?”
Daarna: zorg dat de basis technisch klopt. MFA, devicebeveiliging, cloudveiligheid.
Dan: train medewerkers.
En tot slot: werk samen met mensen die er hun vak van hebben gemaakt.
Security is geen project. Het is een manier van werken.
Met onze Security Scan krijg je direct inzicht in de kwetsbaarheden van jouw organisatie.
Vul het formulier in en Maurice neemt binnen 24 uur contact met je op. Geen verplichtingen, wel een eerlijk advies.
