Toenemende cyberdreiging in het mkb: hoe Triple P je door de storm loodst

Het mkb ziet cyberdreiging vaak nog als iets dat alleen de buurman overkomt. Ten onrechte, zegt Gertjan Groen, de nieuwe directeur Cybersecurity van Triple P. Juist nu kleinere bedrijven zich in een ‘perfect storm’ bevinden met hoge inflatie, personeelstekorten en terugbetalingsverplichtingen van coronasteun, bestaat de kans dat bescherming tegen cyberrisico’s minder aandacht krijgt. En dat terwijl het mkb vaker dan ooit doelwit is van cybercriminelen. Gelukkig heeft Gertjan ook goed nieuws: je kunt ook met een beperkt budget en relatief kleine stappen weerbaarder worden tegen cybercrime. “Je staat niet alleen in de strijd.”

Maar eerst: wie is Gertjan Groen?

“Een gedreven professional van 53 jaar oud, die sinds 2017 intensief bezig is met het weerbaarder maken van organisaties tegen cybercrime. Daarvoor heb ik bijna mijn hele werkzame leven organisaties weerbaarder gemaakt tegen financieel-economische criminaliteit. Vanuit dat werk herken ik de ‘bij mijn buurman, maar niet bij mij’ houding. Naast cybersecurity heb ik nog twee grote passies: mijn gezin en wielrennen.”

Wat speelt er op dit moment op security-gebied binnen het mkb?

“Wet- en regelgeving is een belangrijk thema. Bedrijven moeten aan steeds meer eisen voldoen. Actueel is bijvoorbeeld de Europese richtlijn NIS2. Die geldt voor organisaties in vitale sectoren, maar als mkb’er kun je er ook mee te maken krijgen. Bijvoorbeeld als je levert aan een partij die onder NIS2 valt. Je bent dan onderdeel van de keten. Houd je hier geen rekening mee, dan riskeer je torenhoge boetes. 

Verder denk ik dat je bij het niet voldoen aan standaarden en wet- en regelgeving op termijn je ‘license to operate’ verliest. Nu kom je daar misschien nog mee weg, maar in de toekomst willen andere organisaties eenvoudigweg geen zaken meer met je doen.”

Wat moet je doen om dat te voorkomen?

“De wet- en regelgeving zegt daar eigenlijk niet altijd veel over. Er wordt vooral ingezoomd op ‘wat’, maar minder op ‘hoe’. Naar mijn mening kunnen we ons juist op dat gebied als cybersecurity-leveranciers terughoudender opstellen. Bij de beantwoording van ‘hoe’ zie en hoor ik veel ‘wij van WC Eend…’.  Eigen producten en diensten worden gepusht als zou de regelgeving deze producten en diensten voorschrijven. De werkelijkheid is vaak veel genuanceerder en is ook in grote mate afhankelijk van je risicoprofiel en hoe je risico’s wenst te mitigeren. Dat vraagt dus om een organisatie-specifieke aanpak en oplossing”

Wat stel jij voor?

“Dat je gaat voor een complete aanpak, gebaseerd op de drie pijlers: preventie, detectie en response. Je moet niet alleen alles doen om te voorkomen dat je wordt getroffen, maar er ook voor zorgen dat wanneer het toch gebeurt, je snel kunt herstellen en verder gaan. Daarbij maak ik onderscheid tussen enerzijds het zo snel mogelijk weer operationeel zijn en anderzijds het herstel en doen van onderzoek naar de oorzaak. 

Een hack kan echt een traumatische ervaring zijn. Als criminelen in je systemen binnendringen, voelt dat hetzelfde als wanneer inbrekers in je huis zijn geweest. Daarnaast is er in toenemende mate sprake van ‘victim blaming’. Als je wordt gehackt, is er over het algemeen weinig empathie en krijg je al snel te horen ‘eigen schuld, dikke bult’. 

Denk maar aan het datalek bij een zorginstelling. Er verschenen grote krantenkoppen waarin stond dat de zorginstelling paspoortgegevens op straat had gegooid. De werkelijkheid is dat ze bestolen zijn en dat hackers de gestolen data op straat hebben gegooid. Ik zeg daarmee niet dat de cyberincidenten zoals we die nu kennen niet altijd te voorkomen zijn geweest, maar laten we daar dan juist van leren in plaats van direct met het vingertje te wijzen. Want dat draagt ook bij aan de zo gewenste transparantie over incidenten en met name de lessons learned.”

Welke stappen horen bij een complete aanpak?

“Een awareness-training kan al veel opleveren. Maak je medewerkers bewust van de gevaren en verklein de kans dat ze zich laten verleiden om op een foute link te klikken of een onbetrouwbare website te bezoeken. Wat ook geen kwaad kan, is om security-oplossingen die je al in huis hebt eens kritisch te bekijken. Je krijgt vaak van alle kanten advies over tools die je per se moet hebben, maar in de praktijk is vaak sprake van overlap in wat ze doen. 

Wij kunnen je helpen om daar een goed beeld van te krijgen. Ook kunnen we nauwkeurig in kaart brengen welke risico’s je loopt, hoe je die kunt beperken, en welke keuzes daarbij horen. Daarbij houden we altijd als doel voor ogen dat zelfs een minimale investering maximaal rendement moet opleveren.”

Wat maakt Triple P onderscheidend in de markt?

“Vooral dat we je écht bij de hand nemen. We zijn niet een partij die even een pentest doet om te zien of we binnen kunnen komen, een rapport uitbrengt en weer weg is. We nemen de regie en checken vervolgens regelmatig of je situatie echt is verbeterd en of je nog voldoende beschermd bent. 

We gaan echt voor samenwerking. Niet voor niets is onze slogan People Perform best as Partners. Alles wat we doen is erop gericht dat jij kunt werken aan je bedrijfsresultaat. Op securitygebied doen we dat door ervoor te zorgen dat jouw bedrijfscontinuïteit niet in gevaar komt.”

Waarom nemen veel kleinere bedrijven vooralsnog een afwachtende houding aan?

“Wat ik veel hoor, is dat ze denken dat ze geen interessant doelwit zijn. Maar de tijd dat vooral grote bedrijven werden geraakt door cybercriminaliteit is echt voorbij. Iedereen die IT en data heeft, kan rekenen op de belangstelling van hackers. Ze kunnen dan immers je bedrijf platleggen, je data stelen en losgeld vragen.” 

“Daarnaast zie ik dat veel bedrijven overweldigd worden door wat er allemaal op ze afkomt. Ze vragen zich af of het wel haalbaar is om echt weerbaarder te worden. Ze zijn alleen met het einddoel bezig en niet met de stappen die ieder individueel al bijdragen aan een hogere weerbaarheid. 

Als wielrenner herken ik dat natuurlijk. Je kunt enthousiast besluiten mee te doen aan Giro di Kika (een evenement tegen kinderkanker waarbij fietsers hoge bergen in Italië beklimmen, red.), zoals ik dat in 2017 deed, maar als je dan de afstand en de hoogtemeters ziet, vraag je je af of het je wel ooit gaat lukken. Die bedrijven wijs ik altijd op de uitspraak ‘Wie niet start, kan ook niet winnen’. Die is van oud-wielrenner Johan Museeuw.”

Wat bedoel je daar mee?

“Dat je gewoon moet beginnen. Of het in jouw situatie nu gaat om een pentest of security monitoring van je netwerk, je zult zien dat je direct al veel vooruitgang boekt. Niets doen is geen optie, want jij zult maar degene zijn die zijn deuren moet sluiten omdat je niet was voorbereid op een hack. Je kunt ook beginnen door eerst met ons een kopje koffie te drinken op ons kantoor in Nieuwegein. Dat kost je niets. Het levert je op zijn minst een goed gesprek en een prachtig uitzicht op.”

Wil je meer weten over hoe Triple P jouw organisatie helpt om cyberveilig te zijn? Neem dan gerust contact met ons op. Samen versterken we jouw cyberweerbaarheid. People Perform best as Partners.