Hier is een scenario: je gaat samen met een aantal andere mensen een lift in. Een van die mensen heeft, nadat je erachter was gekomen nadat de liftdeuren dichtgingen, de griep – wat je pas ontdekte toen dat hoestje in de lift tot twee weken bedrust leidde. En je was niet de enige die besmet was. Een andere persoon in die lift werd ook ziek, en je weet van minstens één andere persoon op wie het virus is overgedragen.
CybersecurityKlik op het woord voor de betekenis problemen bij kleine bedrijven (SMB’s) zijn vergelijkbaar met de liftscène. Persoonlijke devices zoals tablets en smartphones dragen kwetsbaarhedenKlik op het woord voor de betekenis met zich mee. Sommigen hebben geen pincodes, anderen hebben kwaadaardige apps gedownload. Weer anderen draaien zeer verouderde software. Nu is het heel gemakkelijk om je voor te stellen dat een werknemer een keer gebruik zal maken van gratis, openbare Wi-Fi terwijl hij of zij op een vriend in een koffietent zit te wachten. Die werknemer weet niet dat zijn mobiel verschillende kwetsbaarheden heeft, en door simpelweg verbinding te maken met een netwerk waarvan hij dacht dat het veilig was (maar het was het niet), stelde hij per ongeluk het hele netwerk van zijn werkgever open om aangevallen te worden.
De verouderde software op het apparaat is vergelijkbaar met een immuunsysteem. Omdat er niet goed voor werd gezorgd, werd het gevoelig voor infecties, en omdat de meeste mensen niet de meest veilige en technologische hygiënische praktijken beoefenen met hun smartphones, heeft een MKB bedrijf een groter risico op een klein incident dat tot een veel groter probleem kan uitgroeien.
De wereld in je handpalm met alle problemen van dien
De technologie die we bezitten en dagelijks gebruiken heeft ons in staat gesteld om grote vooruitgang te boeken in zowel persoonlijke kennis als productiviteit. Het heeft zelfs kleine bedrijven in staat gesteld om hoge overheadkosten te ontlopen door werknemers niet hoeven te voorzien van een telefoon van de zaak. Die besparingen zijn echter niet zonder risico’s.
Als werknemers hun eigen telefoon gebruiken voor hun werk, wat de meeste werknemers in kleine bedrijven doen, kun je er zeker van zijn dat zelfs de meest goedbedoelde regelvolgers ’s nachts of in het weekend niet aan device policy denken; in plaats daarvan maken ze verbinding met elke openbare Wi-Fi en slagen ze er vaak niet in om besturingssystemen en apps op tijd bij te werken. Directeuren van MKB bedrijven zijn niet naïef dat dergelijke activiteiten of het gebrek daaraan plaatsvinden, maar ze kijken de andere kant op om de kosten laag en de productiviteit hoog te houden.
Het verhandelen van beveiliging voor gemak is de grootste risicofactor als het gaat om persoonlijke devices, dus het is geen wonder dat we steeds weer over data- en netwerkinbreuken lezen. Helaas bevatten slimme apparaten meer informatie over ons dan we willen toegeven. Van betaalinformatie en e-mails met persoonlijke identificatie-informatie tot de foto van een rijbewijs en de toegang tot netwerken en cloud-apps, apparaten bevatten een overvloed aan waardevolle informatie die interessant is voor kwaadwillenden.
Waarom is dit zo belangrijk voor kleine bedrijven?
In twee recente onderzoeken werden zowel de meest internetonveilige steden als luchthavens in de Verenigde Staten geïdentificeerd, waarbij telkens werd aangegeven hoeveel actieve dreigingen er op een bepaald moment zijn. Als een werknemer zich bijvoorbeeld verbinding maakt met een nep Wi-Fi-netwerk (bekend als een evil twinKlik op het woord voor de betekenis) op het vliegveld in plaats van het officiële netwerk van het vliegveld, dan is het niet alleen hun telefoon die wordt getroffen, maar mogelijk ook de gegevens, cloud-apps en apparaten van zijn hele bedrijf.
In het bijzonder zijn er verschillende bedreigingen waar werknemers die hun eigen apparaten gebruiken vatbaar voor zijn. Ten eerste zijn er veel mensen die traag zijn met het downloaden en installeren van kritische updates op hun apparaten, die vaak beveiligingspatches bevatten. Dit gebrek aan of verouderde anti-malware- en firewallbescherming laat devices wijd open voor kwaadaardige code. Nog gebruikelijker is dat de persoonlijke devices van medewerkers geen sterke wachtwoordbeschermingsprotocollen hebben. Zo hebben ze misschien een wachtwoord in hun Notes-apps opgeschreven; hetzelfde wachtwoord dat voor alles wordt gebruikt; of erger nog, helemaal geen pincode. Sommige werknemers kunnen zelfs hun persoonlijke apparaten “jailbreaken”, wat betekent dat ze de oorspronkelijke beperkingen van de productiesoftware omzeilen om eerder verboden software en/of applicaties te installeren. Zodra het oorspronkelijke besturingssysteem niet meer wordt ondersteund, is herstel in het geval van incidenten onmogelijk.
MKB’ers zijn niet uitgerust, zowel technisch als financieel, om de gevolgen van een succesvolle aanval op te vangen. Volgens een onderzoek van Accenture bedroeg de gemiddelde kostprijs van cybercriminaliteit in een periode van drie jaar meer dan 3,5 miljoen dollar, voor de kleinste bedrijven die het onderzocht heeft. Dergelijke gevolgen van een cyberaanval zullen de meeste kleine bedrijven stilleggen en voor de bedrijven die het wel overleven zal de verloren tijd en de reputatieschade blijvende gevolgen hebben. Sommige MKB’ers kunnen een cyberverzekering hebben, maar afhankelijk van hoe het incident zich voordeed, over het algemeen phishingKlik op het woord voor de betekenis, zullen de meeste polissen de schade NIET dekken.
Wat het MKB kan doen om risico’s te beperken
De helft van de strijd in cybersecurity is bewustwording. Investeer tijd en geld in programma’s die werknemers kunnen leren om bedreigingen te herkennen en te melden, vooral als ze hun persoonlijke apparaten voor het werk gebruiken. MKB bedrijven moeten ook een zgn. apparaatbeleid ontwikkelen en afdwingen, of zelfs device management software opzetten om risico’s te identificeren. Momenteel zijn er eenvoudig te gebruiken platforms die gebruikers, apparaten en SaaS-applicaties kunnen beveiligen. Dergelijke platforms kunnen kleine en middelgrote ondernemingen de mogelijkheid bieden om al dan niet compatibele apparaten en netwerken te bewaken en te beheren. Kennis is macht, en deze tools geven jouw IT-beheerder – intern of uitbesteed – het inzicht in problemen voordat ze je hele bedrijf raken.
In deze hyperconnected wereld zullen cyberbedreigingen zowel in frequentie als in complexiteit blijven toenemen. Voor het MKB kan het gebrek aan middelen risico’s opleveren die voor grote ondernemingen niet eens worden geregistreerd. Om het speelveld te egaliseren, moeten MKB bedrijven hun medewerkers opleiden en de oplossingen vinden die de verdediging versterken zonder dat het veel geld kost. Immers, met een sterk immuunsysteem kan een lichaam de griep bestrijden. En met de juiste cybersecurity kan een bedrijf de bedreigingen beperken.