Hou de deur dicht voor hackers

Wekelijks komen op de MKB Cyber Campus in Leeuwarden ondernemers langs om te werken aan hun digitale weerbaarheid. „Het zijn juist de kleine ondernemers die nu op de korrel worden genomen door hackers”, zegt Nienke Hoeksma, directeur van de MKB Cyber Campus. Van de ‘recepten’ van aardappeltelers tot de kleine supermarkt op de hoek: iedereen loopt een risico dat hackers gegevens zullen stelen. 

Vaak zijn de kleinere bedrijven het slachtoffer van commerciële hackers die lukraak pogingen doen om ergens binnen te komen. Toch moeten ondernemers zich ook zorgen maken om de spanningen die er wereldwijd zijn, benadrukt mede-directeur Erik Miedema. Wie onrust wil veroorzaken in Nederland kan dat bijvoorbeeld doen door de voedselsector of logistiek aan te vallen, legt hij uit. Sectoren waarin veel kleinere ondernemers werkzaam zijn.

Waar ondernemers eerder vaak twijfelden of ze daadwerkelijk risico liepen, is dat bewustzijn er inmiddels wel, aldus Hoeksma en Miedema. „Wekelijks is er op de bijeenkomst met ondernemers wel iemand die al gehackt is”, zegt Hoeksma. Soms heeft zo’n ondernemer ook daadwerkelijk hackers moeten betalen. De twee juichen het toe dat ondernemers die ervaringen delen. ,,Die verhalen hebben veel meer impact dan wat wij vertellen.”

„We moeten af van de schande, want het kan iedereen overkomen”, zegt Hoeksma. ,,Net als er bij iedereen kan worden ingebroken.” Dat beaamt Miedema. „Maar het je moet niet de deur open laten staan, dan zeggen we toch ook: dat was misschien niet zo handig.” 

De deuren en ramen van een bedrijf nalopen en wijzen op zwakke plekken, dat is eigenlijk waar het bij de campus in Leeuwarden allemaal om draait. Eerst wordt in kaart gebracht welke apparatuur een ondernemer gebruikt. „We zien namelijk vaak dat ondernemers ook onbewust onbekwaam zijn”, zegt Hoeksma. 

Daarnaast staat cybersecurity simpelweg niet hoog op het prioriteitenlijstje van veel ondernemers en dat is logisch, zegt Hoeksma. „Je denkt als ondernemer aan het einde van de dag niet: ik heb al mijn bestellingen doorgegeven, dan ga ik nu eerst nog even met mijn digitale weerbaarheid aan de slag.” 

„Vaak is er ook de aanname dat de IT-leverancier het allemaal wel goed geregeld heeft”, zegt Hoeksma. ,,Dat kan, maar dan nog moet je wel vragen of dat ook zo is.” Om de juiste vragen te stellen geven ze ondernemers een lijst met vragen mee om voor te leggen aan hun IT-leverancier. 

Ook als alle stappen doorlopen zijn, kan het zijn dat er iets over het hoofd gezien wordt. „We bieden ook een dienst aan waarbij onze ethische hackers rücksichtslos binnen proberen te komen. Dan zie je of er nog poortjes dichtgezet moeten worden”, zegt Miedema. 

Ook het besef dat iedereen binnen een bedrijf verantwoordelijk is voor de digitale weerbaarheid is belangrijk, zegt Hoeksma. ,,Sommige bedrijven nemen heel rigide maatregelen en dan bedenken medewerkers juist weer geitenpaadjes”, vult Miedema lachend aan. 

Het is daarna belangrijk om ook de vervolgstappen te nemen en met onze aanbevelingen iets te doen, zegt Miedema. „Het is makkelijk om te zeggen: bedankt en tot de volgende keer.” Dat gebeurt soms, merkten de twee. „Het verdween nog net niet direct in de la”, zegt Miedema. Ze begrijpen het wel. „Ze denken: volgend jaar wordt echt het jaar dat we de cybersecurity in mijn bedrijf gaan aanpakken.” 

Het klinkt misschien ook te vaak als een heel grote kwestie, denken de twee. Het niet beschermen van je bedrijf kan grote gevolgen hebben, maar soms zijn er maar een paar kleine stappen nodig om bedrijven beter te beschermen, benadrukken ze. „Soms zijn het maar twee of drie stappen: een goed wachtwoordbeleid en een back-up maken. Zet die dan af en toe ook terug om te testen of het werkt”, zegt Miedema. 

De MKB Cyber Campus richt zich ook op brancheniveau op cybersecurity. Als je iets wilt veranderen moet je dat vaak op brancheniveau aanpakken, legt Miedema. Hij noemt daarbij een voorbeeld van melkrobots, die slechts door enkele leveranciers worden geleverd aan ondernemers in de agrarische sector. Die melkrobots krijgen een standaard wachtwoord mee van de leverancier, waardoor veel mensen de wachtwoorden kennen. Dat vormt een potentieel gevaar. „Als je dit snel wilt aanpakken moet het wachtwoordenbeleid bij de leverancier aangepast worden. Dan moet je niet alle boeren individueel benaderen.” 

De branche waarin een ondernemer functioneert is heel bepalend voor de manier waarop ondernemers omgaan met cybersecurity merkten de twee. „De situatie in de agrarische sector is heel anders dan die voor een makelaar.” Het loont dus om afspraken te maken die voor de hele branche gelden. Daarin trekken ze ook samen op met andere regio’s. „In Noord-Nederland zijn we relatief groot in de transport- en logistieksector. Een smart-industrie-bedrijf verwijzen we juist weer door.” 

„Nederland moet zich door al het rumoer in de wereld beter gaan voorbereiden. Daar zijn we nog heel laconiek in”, vindt Miedema. „De Nederlandse overheid doet veel aan cybersecurity, maar de regionale aanpak is heel belangrijk”, aldus Hoeksma. 

„Steeds meer bedrijven, maar ook hun toeleveranciers moeten zich houden aan wetgeving op het gebied van cyberveiligheid”, zegt Miedema. Op zowel Europees als nationaal niveau komen er namelijk nieuwe richtlijnen bij om te zorgen voor een betere cyberveiligheid. Binnenkort gaat er ook in Nederland een nieuwe wet in de NIS-2. Die richtlijn focust zich op kritieke organisaties en sectoren, waarvan de uitval direct grote maatschappelijke en economische gevolgen hebben. 

In Noord-Nederland werken de bedrijven steeds beter samen, ziet Miedema. „En er zijn geen twintig programma’s, maar juist één programma.” Toch merkt hij dat het belang van cybersecurity nog niet overal is doorgedrongen. 

„De provincie Friesland heeft beleid geschreven voor de komende jaren, waarin de woorden digitaal en cyber niet voorkomen.’’ Het verbaast hem en baart hem zorgen. „In het weerbaarder maken van burgers is dus nog wel wat te winnen.”