Laten we eerst de mythe ontkrachten:
“Als kleine KMO behoor ik niet tot de doelgroep voor cyberaanvallen, da’s meer iets voor de grote bedrijven. Ik heb dus al die beveiligingsmaatregelen niet nodig.”
Grote bedrijven worden meer specifiek bedreigd dan de kleine, dat klopt. Maar de kleine bedrijven zijn dan weer zeer vatbaar voor geautomatiseerde aanvallen: niet specifiek naar één bedrijf gericht, maar in de breedte op zoek naar makkelijke ingangen. Denk bijvoorbeeld aan phishingberichten of ransomware-aanvallen.
En waar grote bedrijven er vaak niet omheen kunnen: de impact van een cyberaanval wordt zichtbaar, ze zijn nieuwswaardig. KMO’s hebben vaker de neiging om de nasleep in alle stilte uit te zweten, waardoor het lijkt alsof ze minder vaak getroffen worden. Terwijl de cijfers laten zien dat jaarlijks wel 40% van de kleine KMO’s geconfronteerd worden met uitval van IT systemen als gevolg van een cyberaanval.
We nemen je in deze blog dan ook graag mee doorheen vijf punten die je kmo kwetsbaar maken voor cybercriminelen. En we delen graag ook de manier waarop je jezelf kan beschermen.
Punt 1: login zonder extra beveiling maakt je KMO kwetsbaar voor cybercriminelen
Een login en paswoord zijn al lang niet meer voldoende om je toegang te beschermen. Al zeker niet nu we bijna alle apps in een cloud versie gebruiken, een simpele internet connectie en de juiste login gegevens zijn voldoende om toegang te krijgen tot de meeste (en soms zelf alle) bedrijfsgegevens.
Dat betekent ook dat gestolen login gegevens een risico vormen voor je bedrijf (vooral wanneer dezelfde login/paswoord combinatie voor verschillende websites wordt gebruikt). Lees ook onze blog over vijf security mythes als je hier mee over wilt weten.
De meest effectieve bescherming van je login gegevens -en dus de eerste stap op te zetten- is de invoering van Multi Factor Authenticatie of MFA. MFA staat voor een extra beveiligingslaag waarbij je na de login met je paswoord nog eens extra moet bevestigen dat jij wel degelijk de persoon met de juiste rechten bent. Via een sms bijvoorbeeld, of via een code die gemaakt wordt in de authenticator app op je smartphone.
Dus bescherm je Google, Microsoft en Apple accounts met MFA. Gebruik je VPN? Beveilig dan ook die toegang met een extra authenticatie-laag.
Punt 2: ook software die niet up-to-date is maakt je extra kwetsbaar
Alle software leveranciers sturen op regelmatige basis beveiligingsupdates uit. Op die manier worden recent ontdekte security gaten in je besturingssysteem of de firmware van je toestel gedicht.
Dat bijwerken gaat over het algemeen automatisch op het moment dat je de computer herstart. Of op het moment dat je IT beheerder dit heeft ingepland 😉. Sluit je aan het einde van de werkdag je toestel volledig af, dan heb je de volgende ochtend automatisch je herstart. Updates worden op dat moment dan automatisch geïnstalleerd.
Heb je de slechte gewoonte om je laptop altijd dicht te klappen, zodat die in slaapstand gaat, dan creëer je wel mogelijk onveilige situaties. De beveiligingsupdates worden op die manier immers nooit uitgerold.
En net zoals met elke automatisatie: de installatie van de patches loopt niet altijd helemaal vanzelf, een controle is aan te raden (iets dat standaard inbegrepen is in de oplossingen voor onze klanten).
Hou er rekening mee dat er vaak geen beveiligingsupdates meer voorzien worden voor oude software-versies. Heb je nog toestellen met oude software, dan sluit je die best niet aan op het internet (of het interne netwerk). Voor cybercriminelen is dat het equivalent van een voordeur die wagenwijd openstaat.
Punt 3: geen of onvoldoende security tools zorgen -uiteraard- ook voor een extra kwetsbare situatie
Er zijn nog altijd bedrijven die denken dat enkel een anti-virus programma voldoende is om buiten het bereik van cybercriminelen te blijven.
Jammer genoeg is dat al heel lang niet meer het geval. Als je jezelf goed wilt beveiligen, dan heb je hoe dan ook gespecialiseerde tools en maatregelen nodig. Een aantal voorbeelden:
Endpoint beveiliging op je pc's en smartphones (lees gerust ook deze blog als je daar meer over wilt weten)
Extra beveiling op je mailbox die phishingmails uit je inbox houdt
Webfiltering: waarbij je kunt instellen dat bepaalde types van websites niet bereikbaar zijn via jouw bedrijfsnetwerk
Multi-Factor Authenticatie (zoals we beschreven in punt 1)
Bitlocker: encryptie van je harde schijf, zodat data er in geval van verlies of diefstal niet zomaar kan worden afgehaald
Paswoordkluis (meer uitleg over paswoorden en paswoordkluizen vind je in deze blog bij mythe 4)
Punt 4: geen scheiding tussen werk en privé
In KMO-land zien we vaak dat gebruikers hun laptop zowel voor het werk als voor hun privé zaken gebruiken. En ook al is dat heel erg menselijk en goed te begrijpen, het is spelen met vuur wanneer we kijken naar de cyberveiligheid.
Wanneer de pc voor werkgebruik van alle juiste beveiligingssoftware is voorzien, volledig geconfigureerd voor maximale veiligheid en de gebruiker die vervolgens thuis omzeilt om ongehinderd te kunnen surfen, dan missen alle veiligheidsmaatregelen hun effect.
De veiligste keuze voor de bedrijfsgegevens is om werk en privé gebruik volledig te scheiden.
Punt 5: het belangrijkste risico in de kwetsbaarheid van je KMO zijn je medewerkers
De zwakste schakel is de gebruiker. Dat blijkt uit de cijfers die laten zien dat 8 op 10 ransomware aanvallen beginnen met een phishingmail. en simpel mailtje waar de gebruiker in een moment van onoplettendheid op de verkeerde link klikt kan genoeg zijn om alle bedrijfsgegevens in gevaar te brengen. Bekijk gerust het filmpje hieronder om te zien hoe het kan werken.
Investeren in goede tools is belangrijk, maar niets waard als je niet tegelijkertijd ook investeert in de kennis en waakzaamheid van de gebruikers. De training moet trouwens over veel meer gaan dan enkel het herkennen van phishingmails. Ook hoe je je gedraagt in een online omgeving, hoe je op een goede manier omgaat met paswoorden en alles wat een gebruiker helpt om risico’s correct in te schatten komen aan bod in een degelijke user awareness training
We zien vandaag dat de dreiging meer dan reëel is. De cybercrimineel kan zowel de tiener-hobby-hacker zijn als de professionele hacker die deel uitmaakt van een internationaal netwerk. Of hij zijn tools nu zelf maakt of ze koopt op het dark web het resultaat voor jou als slachtoffer zal hetzelfde zijn: downtime en een pak nodeloze kosten.
Jouw medewerkers bewust maken van de risico's? Wacht niet tot het te laat is!
👇 Lees meer over onze Cyber Security Awareness Training
We helpen je liever voorkomen dan genezen ☔
Neddine Solutions is reeds 27 jaar de vertrouwde ICT-partner van Vlaamse ondernemers. Als Managed Services pionier zijn ze als eerste in BENELUX op de “remote monitoring and management” trein gestapt. Hierdoor is Neddine ICT Solutions ook echt in staat het verschil te maken met hun onderhoudsprogramma’s die reeds hun degelijkheid door de jaren heen meer dan bewezen hebben. Neddine ICT Solutions maakt het verschil door de zeer hoge graad van dienstverlening in combinatie met degelijke oplossingen, op maat van de klant, die niet enkel veilig en vlot te gebruiken zijn maar ook gewoon werken. ICT-oplossingen van ondernemers voor ondernemers.