Cybercriminelen richten zich allang niet meer alleen op grote bedrijven. Ook kleine en middelgrote ondernemingen worden steeds vaker slachtoffer van hacks, datalekken en gijzelsoftware. Toch denken veel ondernemers dat het hen niet overkomt. Waarom onderschatten ondernemers nog steeds de risico’s? We spreken erover met Emy de Kock, Business Developer Preventie en Continuïteit op het gebied van cybersecurity bij Interpolis.
Inhoud:
- De cijfers van cybercrime zijn moeilijk te vatten
- Hoe groot is de financiële schade van cybercrime?
- 5 denkfouten van mkb-ondernemers over cybercrime
- Denkfout 1: ‘Ik ben te klein, ze vinden mij niet interessant’
- Denkfout 2: ‘Mijn IT-leverancier regelt dat wel’
- Denkfout 3: ‘Onze keten is veilig’
- Denkfout 4: ‘We zijn goed voorbereid’
- Denkfout 5: ‘We kunnen altijd nog betalen’
De cijfers van cybercrime zijn moeilijk te vatten
“Het lastige aan cybercrime is dat er veel verschillende cijfers rondgaan,” vertelt De Kock. “Wat reken je mee? Alleen bedrijven die echt gehackt zijn, of ook ondernemers die een phishingmail ontvingen? Gemiddeld kun je stellen dat één op de vijf bedrijven te maken krijgt met een (poging tot) hack.”
Ze maakt een belangrijke kanttekening: “Veel bedrijven doen geen aangifte bij een hack, uit schaamte of omdat ze het pas later ontdekken.” De kans is dus aanwezig dat nóg meer bedrijven slachtoffer zijn van een cyberaanval.
Hoe groot is de financiële schade van cybercrime?
De schade is vaak groter dan ondernemers denken. “De eerste kosten (bijvoorbeeld het betalen van losgeld, vervangen van servers of dataherstel) lopen al snel op tot drie ton,” legt De Kock uit. “Maar dat is nog maar het begin. Bedrijven liggen gemiddeld drie weken stil, verliezen klanten en moeten later opnieuw investeren in herstel.”
“Een cyberaanval zorgt vaak ook voor extra druk op medewerkers.”, legt De Kock uit. “Sommigen vallen daardoor uit of besluiten zelfs op zoek te gaan naar een andere baan. Daarnaast moet de productie regelmatig volledig opnieuw worden opgestart. Met andere woorden: de eerste schadepost is zelden de laatste, vaak volgen er na verloop van tijd nog meer kosten.”
Welke kosten kun je verwachten na een cyberaanval?
Een van deze kostenposten is losgeld voor gehackte gegevens. 46% van bedrijven waar gegevens werden gegijzeld, betaalt namelijk losgeld. Daarbij komt dat bedrijven die slachtoffer zijn geworden van een cyberaanval gemiddeld tien dagen stilliggen. Dit kan zelfs oplopen tot drie maanden. Wanneer je bedrijf zo lang zonder omzet zit, kan dit leiden tot serieuze financiële gevolgen. 60% van de gehackte bedrijven gaat dan ook binnen zes maanden failliet.
Deze en andere cijfers over cybercriminaliteit zijn te lezen in een handig overzicht van Rabobank. Deze is samengesteld op basis van onderzoeken door Cybersecuritymonitor CBS, Financieel Dagblad, Digital Trust Center Ministerie van Economische Zaken en Klimaat, Sophos, Kamer van Koophandel en Konica Minolta.
Voorbeeld van een slachtoffer van cybercrime
Een voorbeeld van een ondernemer die getroffen werd door een flinke cyberaanval is Xander Koppelmans, een succesvolle ondernemer in de communicatiesector. Hij werd in 2015 slachtoffer van een geautomatiseerde brute-force cyberaanval die leidde tot de vernietiging van zijn data en backups, waardoor zijn bedrijf praktisch van de kaart werd geveegd.
In de eerste weken deed hij aangifte bij de politie en schakelde hij experts in om data te herstellen, maar zijn bestanden bleken onherstelbaar beschadigd. De Kock vertelt dat Koppelmans in eerste instantie maar liefst € 250.000 verloor. Helaas bleef het daar niet bij.
Na een half jaar was dat opgelopen tot een half miljoen, en na een jaar zelfs een miljoen. Niet alleen door directe schade, maar door verloren campagnes, foto’s en video’s. Daarnaast was hij klanten kwijt, die waren naar de concurrent gegaan. Na anderhalf jaar moest hij faillissement aanvragen; zijn bedrijf werd begin 2017 officieel gesloten.
5 denkfouten van mkb-ondernemers over cybercrime
eel ondernemers in het mkb maken denkfouten over cybercrime. Dit zijn de vijf grootste denkfouten, inclusief inzichten van Emy de Kock.
Denkfout 1: ‘Ik ben te klein, ze vinden mij niet interessant’
Veel ondernemers denken dat cybercriminelen zich richten op grote bedrijven. Een misvatting, volgens De Kock. “Hackers richtten zich vroeger inderdaad op grote bedrijven, daar was veel te halen. Maar die zijn inmiddels goed beveiligd. Daarom trekken criminelen verder de keten in. Ze kijken naar de zwakste schakel, en dat is vaak een mkb-bedrijf met beperkte beveiliging.”
Een hacker zoekt niet gericht op naam of omvang, maar op kwetsbaarheden. “Zie het als een inbreker in een straat: die kijkt waar het raam openstaat.” Door automatisering en AI maakt het hackers niet meer uit wie je bent. Ze scannen miljoenen systemen tegelijk op zwakke plekken. Heb jij verouderde software of een onbeveiligd netwerk? Dan ben je een doelwit, ongeacht je bedrijfsomvang.
Denkfout 2: ‘Mijn IT-leverancier regelt dat wel’
Veel ondernemers vertrouwen blind op hun IT-partner. “Dat is begrijpelijk, maar ook gevaarlijk,” waarschuwt De Kock. “Een IT-leverancier zorgt voor je systemen, maar cybersecurity is een vak apart. Vraag door: hoe zijn updates geregeld? Hoe worden back-ups beveiligd? Zijn alle poorten dicht? Het gesprek aangaan is stap één.”
Denkfout 3: ‘Onze keten is veilig’
Ook de beveiliging van leveranciers speelt een belangrijke rol. Je bent immers zo sterk als je zwakste schakel. Als een toeleverancier wordt gehackt, kan dat directe gevolgen hebben voor jouw bedrijf. Misschien kan hij tijdelijk geen onderdelen meer leveren.
Maar het werkt ook andersom: als jij slachtoffer wordt van een cyberaanval, kun jij de volgende schakel in de keten niet meer voorzien van jouw product. Bovendien kunnen cybercriminelen via jouw systemen bij klanten binnenkomen. “Daarom helpen wij bedrijven bij het kiezen van betrouwbare beveiligingspartners voor de hele keten,” legt De Kock uit.
Denkfout 4: ‘We zijn goed voorbereid’
Cyberweerbaarheid vraagt om meer dan technologie. “Het gaat ook om bewustzijn en afspraken binnen je bedrijf,” zegt De Kock. “Wat gebeurt er als een medewerker vertrekt, wordt de laptop direct van het netwerk gehaald? Weet iedereen wat wel en niet online mag worden gedeeld? Train je medewerkers in het herkennen van verdachte e-mails? En heb je een plan klaarliggen als het toch misgaat?”
De Kock pleit voor meer bewustwording op de werkvloer. “We kennen allemaal de BHV’er, maar inmiddels hebben we ook de CHV’er geïntroduceerd: de Cyber Hulpverlener. Dat is iemand binnen het bedrijf die getraind is om het cyberbewustzijn te vergroten en te weten wat er moet gebeuren bij een cyberaanval; niet per se technisch, maar procesmatig.”
Denkfout 5: ‘We kunnen altijd nog betalen’
Sommige bedrijven betalen losgeld om snel weer door te kunnen. Dat is een risico, je weet immers nooit of de cybercriminelen je daadwerkelijk weer toegang geven tot je systemen en data, en of ze op een later tijdstip niet nog een keer om geld komen vragen.
GripOpCyber
“Daarom hebben we GripOpCyber ontwikkeld: een praktische oplossing voor het mkb.”, vertelt De Kock. “Het systeem houdt als het ware de ‘hartslag’ van je bedrijf in de gaten. Bij afwijkingen grijpt het in.”
“Mocht je toch gehackt worden, dan kun je binnen een uur weer doorwerken in een veilige omgeving met de belangrijkste systemen zoals ordersystemen, salarisadministratie, machines en programma’s. Dat verkleint de schade enorm.”
Benieuwd of GripOpCyber iets voor jouw bedrijf is? Lees er meer over op de website van Interpolis. Goed om te weten: deze oplossing is beschikbaar voor alle ondernemers, ook zonder Interpolis-verzekering.
