Tom Smit begon Think4 in 2012 samen met zijn compagnon Olof Koch op een zolderkamer in Bodegraven. 13 jaar later is Think4 uitgegroeid tot een volwaardige ‘managed server provider’ voor het mkb, met ruim twintig medewerkers in een modern kantoor op bedrijventerrein Groote Wetering. “Wij hebben het overzicht over alle IT van onze klanten. Van elk apparaat dat verbonden is met het internet tot aan de kabel die het pand binnenkomt.”
Tom komt meteen ter zake waarom dat overzicht belangrijk is. “Wat gebeurt er als je maandagochtend op kantoor komt en je IT ligt eruit? Dan staat alles stil. Of je nu zes laptops hebt of je hele werkomgeving in de cloud draait, zonder IT gebeurt er helemaal niks. Zonder IT gaat op dit bedrijventerrein geen vrachtwagen de deur uit en geen kaaspallet van links naar rechts.”
Losgeld
De afhankelijkheid van IT maakt een bedrijf kwetsbaar, bijvoorbeeld voor ransomware en cryptovirussen. Daarbij gijzelen cybercriminelen je data en vragen losgeld voor ze die weer teruggeven. “Overal is iets te halen, al is het maar een paar honderd euro. Dat haalt misschien het journaal niet, maar het is heel heftig voor de betrokkenen.”
Zelfs als je nog een back-up hebt, ben je de pineut. “Je hebt de verplichting een datalek te melden bij je klanten. Dat levert flinke reputatieschade op.”
Naast gestolen data ziet Tom ook steeds meer social engineering: hackers onderscheppen bijvoorbeeld een interne e-mail over een betalingsverzoek en passen de betaalgegevens aan. Op deze maniermaak je nietsvermoedend geld over naar de verkeerde. “We hebben nog steeds het idee dat hackers met een capuchon op in het donker achter duizend schermen code zitten te tikken,maar ze werken inmiddels veel geraffineerder. Ze koppelen verschillende databases aan elkaar tot ze jouw e-mailadres of telefoonnummer van de ene website kunnen koppelen aan het wachtwoord van de andere.”
Risico’s in kaart
Je kunt een cyberaanval niet 100 procent zeker voorkomen, maar je kunt wel de kans verkleinen. “Ik denk dat de urgentie wel gevoeld wordt, maar veel bedrijven weten niet waar te beginnen,” zegt Tom. Het nieuws staat vol van de cybercriminaliteit, maar wat zijn eigenlijk jouw risico’s? Pas als je die kent, kun je gerichte keuzes maken voor zowel technische als menselijke maatregelen.”
Ga in gesprek met je IT-partner en breng je IT in kaart, adviseert Tom. “Welke systemen en applicaties heb je en wie heeft er toegang toe? Breng alle rapportages, alerts en verbeterpunten samen in één portal, met 24/7 een duidelijke verantwoordelijke als er een melding is. En maak een plan: áls het gebeurt, dan gaan we dit doen.”
Vanwege de risico’s voor cruciale branches komen er ook strengere Europese regels aan voor cyberbeveiliging bij grote bedrijven in onder andere de logistiek, food, energie en financiële sector. Door ketenwerking zullen die verplichtingen ook naar hun mkb-partners doorsijpelen.
‘Tech aan, risico’s uit’
Het event ‘Tech aan, risico’s uit. Cyberveiligheid voor ondernemers’ vindt plaats op maandag 2 juni van 18.15 tot 22.00 uur in het Evertshuis in Bodegraven (Julianastraat 4). Het is gratis toegankelijk voor ondernemers uit de gemeente.
“Het is belangrijk dat hier aandacht voor is en dat ondernemers deze kans krijgen om in gesprek te gaan,” zegt Tom. “Het wordt een verrassend programma met leuke sprekers. Ben van der Burg als inspirerende publiekstrekker en enkele grote IT-bedrijven die een boekje opendoen hoe het bij hen fout is gegaan. Met hetzelfde gemak had het jou kunnen overkomen.”
Zelf geeft Tom de aanwezigen praktische handvattenwaarmee ze de week erna gelijk aan de slag kunnen met hun cyberveiligheid. “Wacht niet tot het moet, maar begin met wat kan. Stap voor stap maak je jouw cruciale IT veiliger en weerbaarder.”
Menselijke factor
Het grootste beveiligingsrisico blijft echter de menselijke fout. “80 tot 90 procent van de keren dat het fout gaat, begint het bij een mail,” vertelt Tom. “En dat is niet gek: je bedrijf verwerkt er honderden per dag. De omstandigheden hoeven maar één keer ongelukkig samen te vallen: je wacht al een tijdje op een nieuw wachtwoord en dan krijg je een mailtje van ‘Microsoft’. Je klikt op de link en bingo, ze zijn binnen.”
Hierom is het belangrijk medewerkers mee te nemen in het beveiligingsproces. Zij moeten begrijpen waarom het noodzakelijk is een maatregel te nemen die hun werk misschien minder makkelijk maakt, bijvoorbeeld omdat je telkens opnieuw moet inloggen of je ergens vanuit huis niet bij kan. Daarbij moet er een veilige werkomgeving zijn waarin medewerkers verdachte zaken durven te melden. “Te vaak zie ik gebeuren dat iemand heeft gedacht: ‘Ik doe gewoon mijn laptop dicht, misschien is het morgen over.’ Maar dan ben je meestal te laat.”
