Hoe beheers je de risico's van cybercrime?

Cybersecurity en computercriminaliteit

Afbeelding Hoe beheers je de risico's van cybercrime?

Steeds meer ondernemers hebben te maken met computercriminaliteit. Dit geldt ook voor bouw- en infrabedrijven. Het hoge tempo waarop de sector digitaliseert maakt het werk makkelijker en vaak ook leuker. Deze digitalisering kent ook een keerzijde. Steeds vaker maken leden melding van computercriminaliteit. Geen reden om te stoppen met digitalisering, wel aanleiding om de digitale veiligheid in de organisatie op orde te brengen. Wij helpen daarbij.

Waar het om draait is risicomanagement. Niet alleen van degene die verantwoordelijk is, maar van de gehele organisatie. De techniek en andere maatregelen kunnen veel leed voorkomen. Alertheid van alle collega's helpt schade voorkomen of minimaliseren als de techniek een keer faalt. Om leden zo goed mogelijk te ondersteunen is Bouwend Nederland een samenwerkingsverband aangegaan met het Digital Trust Center (DTC) van het Ministerie van Economische Zaken en Klimaat. Het DTC biedt onder meer kennis, informatie en advies. Daarnaast ontwikkelt het DTC tools voor bedrijven om zelf aan de slag te gaan met cyberweerbaarheid, zoals een basisscan cyberweerbaarheid.

Voorbeelden van risico's

De cyberrisico's voor ondernemers zijn divers en lopen uiteen van het betalen van losgeld om weer toegang te krijgen tot het eigen bedrijfsnetwerk tot de uitval van productiefaciliteiten waardoor de continuïteit van het bedrijf acuut in gevaar komt. Andere voorbeelden van dit soort risico's zijn geen toegang meer hebben tot je bestanden of een aanvaller die toegang krijgt tot je systemen. Middels vijf basisprincipes kan elke ondernemer aan de slag de basisveiligheid te organiseren en daarmee weerbaarder te worden. De maatregelen zijn toegankelijk en praktisch opgeschreven. Wacht dus niet langer en ga direct aan de slag zodat jouw bedrijf weerbaarder is tegen cyberrisico's. Grote ondernemingen met een eigen ICT-afdeling zijn niet direct de doelgroep van de basisprincipes. 

Dit zijn de basisprincipes

Hieronder zetten we de vijf basisprincipes om basisveiligheid te organiseren en vijf stappenplannen die jij kan gebruiken onder elkaar. 

Basisprincipe 1: inventariseer de kwetsbaarheiden in je onderneming

Inzicht in de risico's maakt het makkelijker om de weerbaarheid tegen cyberdreigingen te vergroten. Goed inzicht in de kroonjuwelen van je onderneming maakt dat je zelf een afgewogen keuze kunt maken in waar je beste in kunt investeren wat betreft maatregelen en welke risico's je accepteert. Mocht zich ooit een cyberincident voordoen, voorkom je met de inventarisatie dat je iets over het hoofd ziet en wordt het makkelijker om hoofd- en bijzaken van elkaar te onderscheiden. Bij risico's kijk je naar:

  • Beschikbaarheid: hoe erg is het dat een systeem het niet meer doet?
  • Integriteit: hoe erg is het dat bepaalde gegevens niet juist zijn?
  • Vertrouwelijkheid: hoe erg is het dat gegevens naar buiten lekken?

Stappenplan voor een risicoanalyse

Stap 1: bepaal wat je wil beschermen

Om je risico's te kunnen identificeren, begin je met het in kaart brengen van je zogenaamde 'kroonjuwelen'. Dit is wat waarde heeft voor jouw bedrijf. Jouw kroonjuwelen kunnen bijvoorbeeld digitale gegevens zijn zoals klantgegevens, unieke ontwerpen, specifieke kennisproducten, recepturen, productiemethoden of productkenmerken. Denk ook aan gegevens over je medewerkers, omzet of financiële gegevens. Als laatste kun je ook de reputatie van je bedrijf onder jouw kroonjuwelen scharen.

Stap 2: identificeer de risico's

Met een goed beeld van wát het is dat je wilt beschermen, kun je ook de waarde ervan bepalen. Dit is nodig omdat je in deze stap gaat identificeren welke risico's er zijn. Wanneer een kroonjuweel een hogere waarde heeft, resulteert dit meestal ook in grotere risico's. Risico's kom je in verschillende vormen tegen. Zo kun je denken aan een kwetsbaarheid in een informatiesysteem, brandgevaar of onhandigheid van een medewerker. Een medewerker kan per ongeluk belangrijke data verwijderen. Een medewerker kan ook verleid worden om een bestand te openen waardoor een hacker toegang krijgt tot jouw waardevolle bedrijfsmiddelen of kroonjuwelen. Er zijn verschillende methoden om risico's te identificeren:

  • Ten eerste kun je kijken naar wat je al eens bent tegengekomen in je bedrijf. Bijvoorbeeld het verliezen van bestanden of een stroomstoring.
  • Ook voor jouw onderneming geldende wet- en regelgeving kan risico's aan het licht brengen. Zo kan bijvoorbeeld de Algemene Verordening Gegevensbescherming (AVG) het risico op een datalek concreet maken.
  • Weet dat er ook partijen zijn die je kunnen helpen om je risico's in kaart te brengen. Dit zijn bijvoorbeeld consultants, accountants, boekhouders of juridisch adviseurs.

Stap 3: analyseer de gevonden risico's

Als je een beeld hebt van de risico's die een gevaar vormen voor je kroonjuwelen, kom je bij de stap om de risico's te analyseren. Als de gebeurtenis zich voltrekt, wat voor gevolg brengt dat dan met zich mee? Hoe groot is de kans dat het risico zich voordoet? Een inzicht krijgen in de kans en gevolgen is niet altijd even makkelijk. Denk bijvoorbeeld aan de gevolgen van reputatieschade. De kans dat het gebeurt is misschien niet zo groot, maar als het gebeurt, en klanten vertrouwen je niet meer, kan het schadebedrag snel oplopen. Om de kans en gevolgen beter te kunnen bepalen, kun je gebruik maken van een kwalitatieve of een kwantitatieve methode.

  • Kwalitatief
    Bij een kwalitatief beeld praat je niet direct in cijfers en bedragen. Je kunt in het geval van een kwetsbaarheid bijvoorbeeld kijken of het makkelijk is om deze te misbruiken. Daarnaast kan je denken aan het motief dat een hacker kan hebben. Om zo'n kwalitatieve methode in kaart te brengen kan je termen als 'Laag', 'Medium' of 'Hoog' gebruiken om de kans en gevolgen weer te geven.

  • Kwantitatief
    In het geval van een kwantitatief beeld praat je wel in cijfers en bedragen. Je kunt formules gebruiken om zowel de kans, als de gevolgschade te bepalen. Om aan deze cijfers te komen, kun je bijvoorbeeld naar statistieken uit het verleden kijken. Hoe vaak heb je het afgelopen jaar bijvoorbeeld een stroomstoring gehad waardoor de computersystemen het niet meer deden? Is dat er één of geen, dan zal je dit anders inschatten dan wanneer dit twintig keer is gebeurd. Vaak worden boven genoemde methoden samen gebruikt. De uitkomsten zullen je helpen in de volgende stap om te bepalen welke actie passend is.

Vaak worden boven genoemde methoden samen gebruikt. De uitkomsten zullen je helpen in de volgende stap om te bepalen welke actie passend is.

Stap 4: besluit wat je gaat doen

Nu je de risico's in kaart hebt en een beeld hebt van de kans en de gevolgen, kun je overgaan tot het nemen van besluiten. Iedere keuze kan jou geld kosten. Daarom is het belangrijk om goed te bedenken waar je in investeert. Een hulpmiddel hierbij is deze risicomatrix waarbij je een indicatie krijgt van te nemen acties per risico. Er zijn vier mogelijke acties die je kunt nemen bij een risico. Deze vier acties variëren per kans en gevolg. Let op: dit is een versimpeling. Er zijn methodes waarbij tenminste negen, zestien of zelfs 25 of meer vakjes worden gebruikt. In dit geval gaat het om de basis:

  • Accepteren: je weet dat je een risico loopt maar je accepteert het risico. In dit vak gaat het vaak om risico's met een kleine kans en kleine gevolgen.
  • Oplossen: je neemt maatregelen waardoor je het risico zoveel mogelijk beperkt en mogelijk zelfs kunt uitsluiten. In dit vak plaats je risico's met een grote kans en kleine gevolgen. Bijvoorbeeld: maak een back-up om het verlies van bestanden te voorkomen.
  • Overdragen: je verschuift het risico naar een ander door bijvoorbeeld een verzekering af te sluiten. Een goed voorbeeld hiervan is een brandverzekering. Plaats in dit vak de risico's met een kleine kans maar met grote gevolgen.
  • Stoppen: je voert de activiteiten waarop je een risico loopt, niet meer uit. In dit vak horen risico's met een grote kans én grote gevolgen. 

Hoe hierna verder?

Na het nemen van besluiten ben je er nog niet. Het is van belang om risico’s van tijd tot tijd opnieuw te bekijken. De markt, jouw bedrijf, maar ook de technologie staat niet stil. Het kan dus zijn dat jouw omgeving of jouw bedrijf is veranderd waardoor er nieuwe risico's zijn ontstaan of bestaande risico's in kans of gevolg veranderd zijn. Wees je hiervan bewust! Bespreek je (digitale) risico's daarom periodiek met jouw bedrijfsadviseur, partner(s), accountant en anderen die hierin een rol spelen.

Basisprincipe 2: kies veilige instellingen voor apparatuur en software

Door het gebruik van standaardinstellingen ontstaat het risico dat apparatuur, software en netwerkverbindingen direct vanaf internet te benaderen zijn. Het is secondewerk voor geautomatiseerde programma's om deze systemen online op te sporen. Cybercriminelen kunnen zo de informatie die is opgeslagen in apparaten, software en netwerken, opvragen of veranderen. Ook is het apparaat, afhankelijk van het type, mogelijk op afstand te bedienen. Denk hierbij aan webcams en microfoons die zonder dat je het weet door een cybercrimineel bediend worden.

Stappenplan voor veilige instellingen

Stap 1: controleer de instellingen

Controleer de instellingen van jouw apparatuur, software en netwerk- en internetverbindingen. Pas standaardinstellingen aan voordat je ze aansluit op internet en kijk kritisch naar functies en diensten die automatisch 'aan' staan terwijl je ze misschien niet nodig hebt of gebruikt. Lees hier hoe je Internet of Things-apparaten kan beveiligen, een bedrijfsnetwerk kan beveiligen en hoe je beveiligingsstandaarden voor e-mail kan checken.

Stap 2: gebruik veilige, sterke en verschillende wachtwoorden

Met een wachtwoord bescherm je de vaste en mobiele apparaten van je bedrijf, maar ook je bedrijfsgegevens in de cloud, draadloze netwerken, e-mailaccounts en socialemediaaccounts. De meeste wachtwoorden bestaan uit een combinatie van letters en cijfers, maar er zijn ook andere opties zoals het gebruik van een pincode, Touch ID of beveiligingspatroon. Controleer in twee eenvoudige stappen de sterkte van je wachtwoord met de wachtwoordtool van Veiliginternetten.nl.

Stap 3: stel extra beveiliging in

Soms is een wachtwoord alleen niet voldoende. Toegang tot bankzaken, bedrijfsgegevens in de cloud of de adminomgeving van het bedrijfsnetwerk, vragen om extra beveiliging. Controleer of extra beveiliging mogelijk is en stel deze in. Denk hierbij aan tweestapsverificatie en het inloggen met een token.

Stap 4: gebruik een firewall 

Een firewall is een stuk software (of hardware) dat een verdedigingsmuur tussen jouw bedrijfsnetwerk en andere netwerken optrekt. Met een firewall controleer en beheer je welke verbindingen tussen het netwerk en andere netwerken worden opgezet. In het eenvoudigste geval gaat het om de verbinding tussen jouw bedrijfsnetwerk en internet. Binnen deze verbinding kan binnenkomend verkeer worden geanalyseerd om uit te zoeken of het al dan niet in het netwerk moet worden toegelaten. Er zijn verschillende soorten firewalls. De meest voorkomende zijn:

  • De standaard firewall op een computer. Deze is meestal onderdeel van het besturingssysteem en kosteloos te gebruiken.
  • Een firewall voor het hele netwerk. De implementatie en het beheer hiervan vergt specialistische kennis en brengt kosten met zich mee. Sommige routers bevatten een firewall die kan worden gebruikt voor netwerkbeveiliging. De mogelijkheden hiervoor zijn per merk en model verschillend. Vraag je internetprovider of de fabrikant van de router naar de mogelijkheden.

Tips

Controleer maandelijks of de instellingen nog juist zijn. Controleer ook de instellingen voor elk nieuw apparaat, software en netwerk. Maak een afweging tussen gemak en beveiliging. Eén sleutel voor je huis, auto en kantoor is ook niet logisch. Bekijk aanvullende informatie over veilige instellingen op de website van het DTC.

Basisprincipe 3: voer updates uit voor je software en apparatuur

Updaten is van belang voor alle apparaten die verbonden zijn met een netwerk. Hierbij gaat het niet alleen om je computer en of printer, het gaat ook om bijvoorbeeld je smartphone, laptop en tablet. De software op je apparaat veroudert als je geen updates doet. Cybercriminelen weten dit ook. Zij zoeken naar kwetsbaarheden in verouderde software, om via die weg binnen te komen.  Als je apparaten en software up-to-date zijn, loopt je bedrijf het minste kans op virussen en blijf je beschermd tegen de meest actuele cyberdreigingen en -risico's. Een virus of cybercrimineel maakt namelijk gebruik van kwetsbaarheden in oudere versies van apparaten en software.

Stappenplan voor het uitvoeren van updates

Stap 1: controleer of apparaten en software up-to-date zijn

Zo niet, installeer de meest recente beveiligingsupdates direct.

Stap 2: schakel automatische updates in

Zodat je apparaten en software voortaan altijd draaien op de laatste versie.

Stap 3: installeer patches

Incidenteel brengen producenten ook een zogenaamde 'patch' uit. Dit zijn vaak kleine updates die een heel specifiek probleem verhelpen. Vergeet deze ook niet direct te installeren.

Tip

Bekijk via deze link aanvullende informatie over het uitvoeren van updates op de website van het DTC.

Basisprincipe 4: beperk de toegang tot data en services

Door toegangsrechten per medewerker te beperken en te bepalen, voorkom je dat mensen binnen en buiten je bedrijf toegang krijgen tot systemen en data die ze voor het uitvoeren van hun werk niet nodig hebben. Denk hierbij aan veilig omgaan met wachtwoorden, gebruik te maken van ‘sterke’ wachtwoorden en door gebruik te maken van een goede wachtwoordmanager. Verkeerd omgaan met een wachtwoord kan tot gevolg hebben dat anderen toegang kunnen krijgen tot je persoonlijke of zakelijke gegevens. Je wilt natuurlijk niet dat de concurrentie je klantgegevens en financiële gegevens kopieert, of dat een cybercrimineel je bedrijfsgegevens steelt en daarmee identiteitsfraude pleegt.

  • Zorg dat je wachtwoord 'sterk' is. Een sterk wachtwoord is niet te raden en moeilijk te kraken door een computer.
  • Maak voor verschillende diensten verschillende wachtwoorden aan. Beheer deze wachtwoorden veilig en centraal met een wachtwoordmanager.

Stappenplan voor het inregelen van toegang

Stap 1: definieer toegangsrechten

Definieer per medewerker tot welke systemen en data zij toegang zouden moeten hebben om hun werk te kunnen doen.

Stap 2: zorg voor identificatie

Zorg er vervolgens voor dat een medewerker kan inloggen op de systemen en zich kan identificeren als die medewerker met bijbehorende toegangsrechten.

Stap 3: gebruik een sterke inlogsystematiek

Gebruik veilige en sterke wachtwoorden en realiseer inloggen door middel van tweefactorauthenticatie voor belangrijke systemen en data.

Stap 4: beperk fysieke toegang

Beperk de fysieke toegang van medewerkers tot ruimtes waar systemen draaien (zoals servers) of apparaten (zoals externe harde schijven en USB-sticks) en documenten zijn opgeslagen.

Stap 5: zorg voor automatische vergrendeling

Zorg dat systemen automatisch na een aantal minuten vergrendelen (locken) zodat deze niet toegankelijk zijn voor onbevoegden. Maak ook afspraken met medewerkers dat zij hun systeem zelf vergrendelen wanneer zij even van hun werkplek weglopen.

Tips

Zorg dat de toegangsrechten worden aangepast als iemand (van binnen en/of van buiten) een nieuwe functie krijgt of bij de onderneming vertrekt. In het geval van een plotseling (niet vrijwillig) vertrek van een systeembeheerder is dit extra belangrijk. Dit geldt ook indien er wordt gewerkt met bijvoorbeeld een nieuwe leverancier of boekhouder. Bekijk aanvullende informatie over het beperken van toegang op de website van het DTC.

Basisprincipe 5: voorkom virussen en andere malware

Malware is kwaadaardige software (malacious software) die computersystemen verstoort, informatie verzamelt of versleutelt. Er zijn verschillende manieren waarop malware toegang krijgt tot een computer, smartphone of netwerk. Een gebruiker kan een geïnfecteerde e-mail (of bijlage) openen, een foute website bezoeken of een besmet bestand via bijvoorbeeld een USB-stick openen. Zodra de malware binnen is, infecteert het de software waar het naar op zoek is en verspreidt zichzelf daarna als een olievlek naar andere apparaten en/of gebruikers.

Stappenplan voor het voorkomen van virussen

Stap 1: stimuleer veilig gedrag van medewerkers

De cyberweerbaarheid van je bedrijf valt of staat met het gedrag van medewerkers. Medewerkers kunnen ongewild grote schade toebrengen aan het bedrijf door het aansluiten van een besmette USB-stick, het slordig zijn met (zwakke) wachtwoorden of door een phishingmail niet te herkennen. Zijn jouw medewerkers voldoende bewust van de gevaren en de mogelijke gevolgen?

Stap 2: gebruik een antivirusprogramma

Een antivirusprogramma scant je apparaten op de aanwezigheid van kwaadaardige software (malware). Een betaalde virusscanner wordt door de leverancier regelmatig bijgewerkt zodat het jouw bedrijf ook beschermt tegen de laatst bekende virussen. Wist je dat je met het gebruik van een antivirusprogramma indirect ook de apparaten van jouw klanten en andere ondernemers beschermt? Veel virussen maken namelijk gebruik van een e-mailprogramma om zichzelf te verspreiden. Zonder dat je het weet, kun je anderen ook infecteren via e-mail. Een antivirusprogramma voorkomt dit.

Stap 3: installeer apps bewust

Mocht je gebruik willen maken van zakelijks apps op je (zakelijke) tablet of smartphone, dan zijn de volgende tips van belang:

  • Installeer alleen apps uit een betrouwbare bron zoals de download omgevingen van Android en Apple. In deze omgevingen is een (beperkte) controle op de betrouwbaarheid van apps.
  • Installeer alleen apps die echt noodzakelijk zijn voor jouw bedrijfsvoering. Hoe meer apps je installeert, hoe groter de kans dat je iets verkeerds binnen krijgt.
  • Vermijd het installeren van gratis apps zoals spelletjes en vrijetijdsapps in combinatie met een zakelijke omgeving. Voor deze apps 'betaal' je vaak met het weggeven van je persoonlijke informatie. Dat is meestal het verdienmodel achter gratis apps.
  • Bij het installeren van een app wordt vaak toegang gevraagd tot andere functies op je apparaat. Dat kan zijn de camera, locatiegegevens, je contactenlijst of zelfs je betaalmogelijkheden. Geef niet standaard alle toegang die gevraagd wordt maar bedenk wat echt noodzakelijk is voor goed gebruik van deze app. Daarmee beperk je het risico op lekken van informatie en je verkleint de kans dat je slachtoffer wordt van een hackaanval.

Stap 4 - Beperk de installatiemogelijkheden van software

Mogen jouw medewerkers zelf software installeren op de bedrijfscomputers? Als je deze mogelijkheden beperkt, kun je voorkomen dat er besmette programma's worden geïnstalleerd die mogelijk je bedrijfsnetwerk infecteren.

Tip

Meer informatie over het voorkomen van virussen staat op de website van het DTC.

Basisscan Cyberweerbaarheid

Bovenstaande adviezen en bijbehorende acties gelden uiteraard voor alle medewerkers van het bedrijf en niet alleen de medewerkers die zich met IT-taken bezig houden. Ook hierin geldt het principe dat de ketting zo sterk is als de zwakste schakel. Dit begint bij bewustwording van de risico's en deze ook bespreekbaar met elkaar te maken. Zijn alle bovenstaande adviezen opgevolgd en alle stappen doorlopen? Doe dan de Basisscan Cyberweerbaarheid en ontdek hoe jouw bedrijf ervoor staat! Deze scan kun je in vijf minuten uitvoeren en geeft je inzicht in de cyberweerbaarheid van je onderneming aan de hand van de vijf basisprincipes van veilig digitaal ondernemen. Start via deze link de Basisscan Cyberweerbaarheid. Of doe via deze link de Cyber Risico Scan waarmee je inzicht krijgt in de status van de beveiliging van jouw bedrijfsnetwerk.

Bouwend Nederland Cyberverzekering

Zorg ervoor dat je niet voor verrassingen komt te staan en dek deze risico's af met de uitgebreide Cyberverzekering van Bouwend Nederland!

Lees meer

Getroffen! Wat nu?

De risico's van een hack kunnen groot zijn. Een hack kan de bedrijfsvoering verstoren of stilleggen, maar kan ook leiden tot reputatieschade. Dat is bijvoorbeeld het geval als gegevens van klanten of zakelijke relaties op straat komen te liggen. Hoe word je slachtoffer van een hacker? Er zijn verschillende manieren waarop een hacker kan proberen je te hacken.

Dit kan bijvoorbeeld door:

  • Een phishingmail waarmee een hacker gebruikers leidt naar een nepwebsite en toegang krijgt tot de logingegevens van een gebruiker.
  • Een mail waarmee een virus wordt verspreid waardoor de hacker toegang tot jouw systemen krijgt.
  • Het bemachtigen en gebruikmaken van gebruikersnamen en wachtwoorden van e-mailaccounts of het contentmanagementsysteem (CMS) van een bedrijfswebsite.
  • Gebruik te maken van besmette USB-sticks op een van je apparaten.

Vermoed je dat er sprake is van een hack? Kom dan snel in actie, voorbereiding is namelijk het halve werk. Dit helpt ook bij het verrichten van de aangifte (of een verzekerings- of aansprakelijkheidsclaim). Elke vorm van cybercrime is namelijk strafbaar. Bekijk hier wat je kunt doen als je getroffen bent.