Dit is de eerste podcast over cyber security in het mkb. In deze aflevering vertelt ethical hacker Jochen den Ouden hoe een hacker te werk gaat. Hij komt met opzienbarende onthullingen, maar we bespreken ook een aantal eenvoudige, effectieve maatregelen om je bedrijf te beschermen tegen cyberaanvallen.
Veel mkb-bedrijven denken dat ze geen doelwit zijn voor hackers. “Wie wil er nou iets van mij?”, hoor je vaak. Maar volgens ethical hacker Jochen den Ouden is dat een misvatting. “Juist kleinere bedrijven zijn interessant, omdat ze vaak minder goed beveiligd zijn. En één zwakke schakel in de keten kan genoeg zijn.”
Jochen wordt ingehuurd om te doen wat cybercriminelen ook doen: proberen binnen te dringen in netwerken en applicaties. Het verschil is dat hij dat doet met toestemming van het bedrijf. “We spreken vooraf af wat we mogen testen en hoe ver we mogen gaan. Zo ontdek je waar de kwetsbaarheden zitten voordat een echte hacker dat doet.”
Zo’n ethische hack heet een pentest — kort voor penetratietest. Dat klinkt spannend, en dat is het ook. Mkb-bedrijven zijn vatbaar voor cyberaanvallen. Volgens Jochen hebben ze vaak dezelfde systemen als grote organisaties, maar minder kennis en middelen om die te beschermen. “Een niet-werkend netwerk is voor een mkb’er misschien wel erger dan voor een grootbedrijf. Je ligt gewoon stil.”
Veel voorkomende problemen?
En dat laatste is precies waar criminelen op inspelen. “De menselijke factor blijft de zwakste schakel,” zegt Jochen. “We zijn allemaal goedgelovig, zeker als iets er betrouwbaar uitziet.”
Cybercriminelen kiezen hun doelwit op twee manieren: gericht of toevallig. Soms ligt een bedrijf onder vuur omdat het waardevolle data heeft of onderdeel is van een grotere keten. Maar vaak is het gewoon pech. “Hackers scannen het internet op zoek naar kwetsbare systemen. Heb je een oud apparaat dat nog online staat, dan ben je zomaar aan de beurt.”
De populairste ingangen zijn:
AI versnelt alles, ook cybercrime. “Er bestaan nu modellen die automatisch kwetsbaarheden vinden én vertellen hoe je ze kunt misbruiken,” legt Jochen uit. Tegelijkertijd helpt AI ook bij de verdediging. Securitysoftware als Microsoft Defender gebruikt het om afwijkend gedrag sneller te herkennen. “Het werkt dus twee kanten op.”
Wat als je tóch getroffen wordt door ransomware of datadiefstal? Jochen is duidelijk: “Niet betalen. In theorie kun je de criminelen niet vertrouwen. Gebruik je back-ups en schakel je IT-leverancier of cyberverzekeraar in.”
Toch gebeurt betalen nog vaak. “Voor sommige bedrijven is het kiezen tussen failliet gaan of losgeld betalen. Dat is de harde realiteit.”
Cyber security gaat niet alleen over techniek, benadrukt Jochen. “Je kunt de beste systemen hebben, maar als iemand zonder na te denken een vreemde binnenlaat, heb je alsnog een probleem. We lopen een bedrijf binnen met een printershirt aan en zeggen dat we komen voor onderhoud. We zijn nog nooit tegengehouden.”
Met de komst van NIS2 wordt cyber security geen vrijblijvend onderwerp meer. Bedrijven die onderdeel zijn van een keten met essentiële diensten, moeten aantoonbaar maatregelen nemen. “Je kunt straks niet meer zeggen: ‘ik wist het niet’. Ook als je formeel niet onder NIS2 valt, is het slim om alvast aan die richtlijnen te voldoen. Het maakt je organisatie weerbaarder.”
Jochen: “Elk bedrijf is tegenwoordig een softwarebedrijf. Ook de bakker om de hoek heeft een kassasysteem. Beveiliging is dus niet optioneel, het hoort bij goed ondernemen.”
Met onze Security Scan krijg je direct inzicht in de kwetsbaarheden van jouw organisatie.
Vul het formulier in en Maurice neemt binnen 24 uur contact met je op. Geen verplichtingen, wel een eerlijk advies.
