Niemand wil zijn tijd besteden aan het afhandelen van de gevolgen van een beveiligingsincident, in plaats van aan het opbouwen van zijn bedrijf.
Ongeveer één op de zeven mensen in Europa en de Verenigde Staten werkt als zelfstandige. Vaak verwezenlijken ze hun droom om hun lot in eigen handen te nemen en meer vrijheid en controle te hebben over hun carrière. Maar met meer vrijheid om het traject van hun toekomst vorm te geven, komen er ook extra gevaren kijken. Dit betekent vaak weinig tot geen ziektegeld en geen vakanties of ouderschapsverlof en in de IT-wereld een gebrek aan ondersteuning van een IT-afdeling, iets wat de meeste werknemers in loondienst als vanzelfsprekend beschouwen.
Dit is met name urgent als het gaat om cyberrisico's waar eenmanszaken of eigenaars mee te maken hebben. Als je je eigen bedrijf runt, sta je op de radar van kwaadwillende personen die het op je geld, gevoelige klantgegevens en mogelijk zelfs je intellectuele eigendom gemunt hebben. Het is belangrijk om te begrijpen waar de risico's liggen en hoe je weerbaarheid kunt opbouwen. Geen enkele eenmanszaak wil tijd besteden aan het afhandelen van de gevolgen van een inbreuk, in plaats van aan het opbouwen van zijn bedrijf.
Wat staat er op het spel?
Het komt erop neer dat kwaadwillenden geld willen verdienen. En over het algemeen kan er meer geld worden afgeperst en gestolen van bedrijven - van welk formaat dan ook - dan van individuen. Maar dreigingsactoren zijn ook grotendeels opportunistisch. Dat betekent dat ze achter het laaghangende fruit aangaan. Denk hierbij aan online accounts die niet goed zijn beveiligd, apparaten waarop geen beveiligingssoftware is geïnstalleerd of pc's waarop niet de nieuwste besturingssystemen, browsers en andere softwareversies zijn geïnstalleerd.
Er zijn weinig openbare gegevens beschikbaar over het aantal inbreuken dat eenmanszaken treft. Het ligt echter voor de hand dat eenmanszaken met minder middelen en weinig of geen interne IT-ondersteuning zich minder goed kunnen verweren tegen cyberdreigingen. Bedenk hoe de volgende situaties van invloed kunnen zijn op jouw bedrijf.
- Een ransomware-aanval waarbij je wordt afgesloten van jouw bedrijfsbestanden, inclusief gesynchroniseerde cloudopslag
- Een aanval waarbij dreigingsactoren jouw meest gevoelige bestanden stelen en dreigen deze te lekken en/of te verkopen op het dark web. Dit kan zeer vertrouwelijke informatie omvatten.
- Aanvallen waarbij accounts worden overgenomen via wachtwoorddiefstal of "brute force" technieken. Dit zijn technieken waarbij iemand door het systematisch proberen van alle mogelijke combinaties van wachtwoorden, pincodes of sleutels probeert om toegang te krijgen tot een beveiligd account, apparaat of systeem. Het gekaapte bedrijfsaccount kan worden gebruikt voor vervolg phishingaanvallen op klanten of voor het in gevaar brengen van zakelijke e-mail.
- Malware die is ontworpen om aanmeldingen op je online bedrijfsbankrekening te verzamelen in een poging om geld af te troggelen.
De impact op eenmanszaken
De uitdaging voor eenmanszaken is niet alleen de beperkte IT-middelen. De impact op de bedrijfsreputatie en het financiële resultaat is aantoonbaar groter en moeilijker te herstellen.
Een ander groot direct gevolg van een ernstig cyberincident voor een eenmanszaak is productiviteitsverlies. De tijd die een zelfstandige ondernemer moet besteden aan het opschonen van zijn IT-omgeving en het herstellen van een grote cyberaanval, is de tijd die hij niet kan besteden aan het bedienen van zijn klanten.
Hoe kan je jouw bedrijf cyberveilig houden?
Volgens cijfers van de Britse overheid heeft slechts een vijfde van de micro-ondernemingen in het land een geplande aanpak om hun gegevens en informatie te beschermen tegen verschillende gevaren en problemen. De gemiddelde kosten van inbreuken in de afgelopen 12 maanden werden berekend op meer dan £3.000 (US$3.740), wat een aanzienlijke uitgave kan zijn voor bedrijven van deze omvang. Daarom moeten eenmanszaken de tijd nemen om de basisprincipes van beveiliging op orde te krijgen door zich te richten op de volgende 7 preventieve maatregelen:
1. Maak een back-up van je kritische bedrijfsgegevens:
Dit betekent eerst uitzoeken wat belangrijk genoeg is om een back-up van te maken en dan een back-upoplossing kiezen. Cloudopslag (bijv. OneDrive, Google Drive) is een handige optie omdat back-ups automatisch worden gemaakt en er geen investering in hardware nodig is. De meeste grote providers hebben mogelijkheden waarmee je eerdere versies kunt herstellen, zelfs als ransomware zich verspreidt naar gegevens in de cloud. Voor extra gemoedsrust kan het echter de moeite waard zijn om ook een back-up te maken op een verwisselbare harde schijf en ervoor te zorgen dat deze losgekoppeld blijft totdat deze nodig is.
2. Installeer anti-malware software:
Kies een product van een betrouwbare leverancier en zorg ervoor dat alle pc's en andere apparaten gedekt zijn. Zorg ervoor dat automatische updates zijn ingeschakeld zodat altijd de nieuwste versie wordt gebruikt.
3. Houd alle pc's en apparaten gepatcht:
Zorg ervoor dat alle besturingssystemen en andere software de nieuwste versie hebben door automatische updates in te schakelen. Dit betekent dat ze worden bijgewerkt met de nieuwste patches om te voorkomen dat kwaadwillenden misbruik maken van zwakke plekken. Lees hier hoe je efficiënt kunt patchen.
4. Houd accounts veilig:
Gebruik alleen sterke, unieke wachtwoorden, opgeslagen in een wachtwoordmanager, en schakel tweefactorauthenticatie in wanneer dit wordt aangeboden (sociale media, e-mail, cloudopslag, router, enzovoort). Dit vermindert het risico op phishing, brute force technieken op je wachtwoorden en andere aanvallen.
5. Bescherm je mobiele apparaten:
Houd alle software up-to-date, installeer beveiligingssoftware en download geen apps uit niet-officiële app stores. Zorg ervoor dat de apparaten zijn vergrendeld met een sterke wachtwoordcode of een goede biometrische verificatiemethode en dat ze op afstand kunnen worden getraceerd en gewist in geval van verlies of diefstal.
6. Stel een plan op voor als het misgaat:
Dit "incident response plan" hoeft niet uitputtend te zijn. Je hoeft alleen maar te weten op welke IT-services je bedrijf vertrouwt en een handige lijst te hebben van contactpersonen met wie je contact kunt opnemen als het ergste scenario zich voordoet. Dit versnelt de hersteltijd. Houd een papieren exemplaar van het plan bij de hand voor het geval systemen noodgedwongen offline gaan.
7. Test jouw weerbaarheid
Met de tools Exercise in a Box en Cyber Aware van het National Cyber Security Centre.
Bovenal is bewustzijn de sleutel. Alleen al door dit artikel te lezen, zal je bedrijf er beter voor staan. Pas de bovenstaande best practices toe om je bedrijf buiten het bereik van cybercriminelen te houden.
