Je cyberweerbaarheid verhogen: Hoe kies je de juiste cybersecurity oplossing?

Je bent MKB’er en omdat je dit artikel leest, weet je al dat het tijd is om meer te doen aan je cyberweerbaarheid - zij het omdat je klanten daarom vragen, zij het omdat je denkt aan de mogelijke risico’s. In dit artikel bespreken we hoe je de beste oplossing kiest voor jouw bedrijf. Het is immers belangrijk om niet te weinig te doen, maar je wil ook de kosten zo laag mogelijk houden.  

In dit artikel bespreken we dus welke cybersecurity-oplossingen bestaan, en leggen we uit welke het beste passen bij verschillende typen bedrijven. We spraken hierover met twee experts: 

  • Raymond Bierens, Voorzitter Bestuur van Stichting Connect2Trust en PhD researcher. 
  • Marcel Spruit, professor Cyber Security and Safety bij De Haagse Hogeschool

Identificeren van zwakke punten in je systeem

Het begint allemaal met een grondig begrip van je huidige situatie. Marcel Spruit benadrukt het belang van het identificeren van je risico’s: "Wat zijn je kroonjuwelen? Wie heeft waar toegang tot en kunnen we dat regelen? Wat zou je willen dat er zeker niet gebeurt?" 

Voor MKB-bedrijven in de maakindustrie kan dit betekenen dat je kritisch kijkt naar je productieprocessen, klantgegevens en intellectueel eigendom. Welke systemen zijn cruciaal voor je dagelijkse operaties? Welke gegevens zouden catastrofaal zijn als ze in verkeerde handen vallen?

Risico-evaluatie is een cruciale stap in het beoordelen van je cyberveiligheidssituatie. Hierbij gaat het niet alleen om technische risico's, maar ook om bedrijfsrisico's. Raymond Bierens legt uit dat het risico van een bedrijf afhangt van veel factoren:

  • Hoe afhankelijk het bedrijf is van IT en de operationele omgeving?
  • Hoeveel soorten gegevens (persoonsgegevens, bedrijfsgeheimen en intellectueel eigendom) worden er opgegeslagen?
  • Wat is het dreigingsprofiel van de sector?

Beoordeling van je huidige cyberveiligheidssituatie

Hoewel we het MKB nu als een homogene groep behandelen, is natuurlijk niets minder waar. Raymond Bierens spreekt liever over laag-, midden- en hoog-volwassen bedrijven. Bij een bedrijf dat in de fabriek één computer heeft staan, die niet verbonden is aan het IT-netwerk, en waar het personeel vooral toegang moet hebben tot e-mail, Word en PowerPoint zou alleen gebruikgemaakt hoeven worden van de Microsoft 365-cloudoplossing. “Dat is eigenlijk het makkelijkste. De cloud is zo disproportioneel veel veiliger dan dat je zelf een IT-netwerk kan beveiligen. Daar is bijna niet tegenop te werken. Dan heb je nog steeds het vraagstuk wat voor jouw een goede en veilige cloud is, maar dat is een makkelijker keuzeproces," zegt hij. 

De hoog-volwassen mkb-teams zullen we in dit artikel nauwelijks behandelen, want dat zijn bedrijven die hun eigen security-teams hebben. “Maar de moeilijkste groep zit hier tussenin: midden-volwassen. Bij Greenport (de tuinbouwcluster in Noord-Holland, red.) zitten daar veel. Dat zijn bedrijven die OT-software hebben die soms is aangesloten op het IT-netwerk. Ze hebben ook een IT-server in de kelder staan, en ze hebben een cloud-oplossing. Zij moeten gaan kijken: hoe belangrijk is IT voor mijn bedrijf en heb ik alles nodig wat ik nu gebruik?” Hij raadt aan dat deze bedrijven op zoek gaan naar een trusted advisor die hierbij kan helpen. 

Factoren die zij in overweging zullen nemen, behalve het volwassenheidsniveau, zijn: 

  • Technische expertise binnen het bedrijf: De aanwezige technische expertise binnen je bedrijf bepaalt mede welke oplossingen haalbaar zijn. Is er weinig technische kennis aanwezig? Dat pleit voor eenvoudigere, beter beheerbare oplossingen.
  • Compliance-eisen en regelgeving: Afhankelijk van je sector en de aard van je bedrijf, kunnen er specifieke compliance-eisen en regelgeving van toepassing zijn. NIS2 is bijvoorbeeld indirect op veel bedrijven in de maakindustrie van toepassing, zoals we uitleggen in dit artikel. 
  • Schaalbaarheid en toekomstbestendigheid: Bij het kiezen van een oplossing is het belangrijk om niet alleen naar de huidige situatie te kijken, maar ook naar de toekomst. Marcel Spruit benadrukt altijd dat het makkelijk is om de techniek met het bedrijf mee te laten groeien, maar je moet dan wel het organisatorische aspect in de gaten houden. Hij geeft als voorbeeld: “het regelen van eigenaarschap, goede autorisaties, confiugratiebeheer, patching, sleutelbeheer, back-ups, incident response, etc.”. Als steeds meer mensen toegang hebben tot alle systemen, dan creeër je kwetsbaarheden. Je moet mensen dus toegang geven tot de systemen die ze nodig hebben. 

De eerste stap: het krijgen van inzicht in de technologie die jouw bedrijf gebruikt én nodig heeft 

Marcel Spruit stelt dat het gebruik van technologie begint bij inzicht. "Als je nog niet eens weet dat er kabels liggen waar je ze niet verwacht, of als onderhoudsmonteurs met USB-sticks tussen computers en automatische systemen lopen, dan heb je nog een hoop werk te doen."

Hij vervolgt: "Daarna is de awareness nodig dat alle computers en automatische systemen niet van zichzelf cyberveilig zijn. Daar moet je aan werken. Digital Trust Centre (DTC) heeft vijf stappen geformuleerd voor het beveiligen van computers en automatische systemen. Als je daar nog weinig of niets aan hebt gedaan, dan zijn dat eigenlijk de eerste zaken die je moet regelen.” 

Wat opvalt aan deze stappen, is dat ze niet direct ingaan op technische producten die je aan moet schaffen: 

  1. Inventariseer kwetsbaarheden. Inventariseer de ICT-onderdelen, kwetsbaarheden en maak een risicoanalyse. Bij risico's kijk je naar beschikbaarheid, integriteit en vertrouwelijkheid.
  2. Kies veilige instellingen. Controleer de instellingen van apparatuur, software en netwerk- en internetverbindingen. Pas standaardinstellingen aan en kijk kritisch naar functies en diensten die automatisch 'aan' staan.
  3. Voer updates uit. Controleer of apparaten en software up-to-date zijn. Installeer beveiligingsupdates direct. Schakel automatische updates in zodat je apparaten en software voortaan altijd draaien op de laatste versie.
  4. Beperk toegang. Definieer per medewerker tot welke systemen en data toegang vereist is om te kunnen werken. Zorg dat toegangsrechten worden aangepast als iemand een nieuwe functie krijgt of bij de onderneming vertrekt.
  5. Voorkom virussen en andere malware. Er zijn vier manieren om malware te voorkomen: stimuleer veilig gedrag van medewerkers, gebruik een antivirusprogramma, download apps veilig en beperk de installatiemogelijkheden van software.

Duidelijk is dus dat technologische oplossingen de laatste stap zijn. "Eerst is inzicht en awareness nodig, dan komt het organiseren van cyberveiligheid en pas dan komen de technische hulpmiddelen om de hoek kijken. Dan kun je denken aan bijvoorbeeld firewalls, anti-malware, anti-spam en automatische patching."

Soorten cybersecurity-oplossingen

Welke soort cybersecurity-oplossingen zijn er, en heeft jouw bedrijf ze nodig? Heeft jouw bedrijf alle oplossingen nodig om veilig te zijn? Waarschijnlijk niet.

>> Lees hier het hele artikel van SBL Cybersecurity, december 2024.

TIP

Werk samen met studenten van de Haagse Hogeschool in Zoetermeer voor een inventarisatie en advies. Op de website van de MKB Digiwerkplaats staan de projecten waar u als ondernemer aan kunt deelnemen.