Alles over digitale veiligheid!
Cybersecurity en computercriminaliteit
Steeds meer ondernemers hebben te maken met computercriminaliteit. Dit geldt ook voor bouw- en infrabedrijven. Het hoge tempo waarop de sector digitaliseert maakt het werk makkelijker en vaak ook leuker. Deze digitalisering kent ook een keerzijde. Steeds vaker maken leden melding van computercriminaliteit. Geen reden om te stoppen met digitalisering, wel aanleiding om de digitale veiligheid in de organisatie op orde te brengen. Wij helpen daarbij.
Waar het om draait is risicomanagement. Niet alleen van degene die verantwoordelijk is, maar van de gehele organisatie. De techniek en andere maatregelen kunnen veel leed voorkomen. Alertheid van alle collega's helpt schade voorkomen of minimaliseren als de techniek een keer faalt. Om leden zo goed mogelijk te ondersteunen werken we samen met het Digital Trust Center (DTC) van het Ministerie van Economische Zaken en Klimaat.
Praktische hulpmiddelen om digitaal veilig te werken
Via vijf basisprincipes kan elke ondernemer aan de slag om zijn digitale veiligheid te organiseren. De maatregelen zijn toegankelijk en praktisch. Wacht dus niet langer en ga direct aan de slag zodat jouw bedrijf weerbaarder is tegen cyberrisico's. De basisprincipes zijn vooral handig voor mkb-bedrijven.
Hieronder zetten we de vijf basisprincipes om basisveiligheid te organiseren en vijf stappenplannen die jij kan gebruiken onder elkaar.
Basisprincipe 1: inventariseer de kwetsbaarheiden in je onderneming
Inzicht in de risico's maakt het makkelijker om de weerbaarheid tegen cyberdreigingen te vergroten. Goed inzicht in de kroonjuwelen van je onderneming maakt dat je zelf een afgewogen keuze kunt maken in waar je beste in kunt investeren wat betreft maatregelen en welke risico's je accepteert. Mocht zich ooit een cyberincident voordoen, voorkom je met de inventarisatie dat je iets over het hoofd ziet en wordt het makkelijker om hoofd- en bijzaken van elkaar te onderscheiden. Bij risico's kijk je naar:
- Beschikbaarheid: hoe erg is het dat een systeem het niet meer doet?
- Integriteit: hoe erg is het dat bepaalde gegevens niet juist zijn?
- Vertrouwelijkheid: hoe erg is het dat gegevens naar buiten lekken?
Stappenplan voor een risicoanalyse
Stap 1: bepaal wat je wil beschermen
Om je risico's te kunnen identificeren, begin je met het in kaart brengen van je zogenaamde 'kroonjuwelen'. Dit is wat waarde heeft voor jouw bedrijf. Jouw kroonjuwelen kunnen bijvoorbeeld digitale gegevens zijn zoals klantgegevens, unieke ontwerpen, specifieke kennisproducten, recepturen, productiemethoden of productkenmerken. Denk ook aan gegevens over je medewerkers, omzet of financiële gegevens. Als laatste kun je ook de reputatie van je bedrijf onder jouw kroonjuwelen scharen.
Stap 2: identificeer de risico's
Met een goed beeld van wát het is dat je wilt beschermen, kun je ook de waarde ervan bepalen. Dit is nodig omdat je in deze stap gaat identificeren welke risico's er zijn. Wanneer een kroonjuweel een hogere waarde heeft, resulteert dit meestal ook in grotere risico's. Risico's kom je in verschillende vormen tegen. Zo kun je denken aan een kwetsbaarheid in een informatiesysteem, brandgevaar of onhandigheid van een medewerker. Een medewerker kan per ongeluk belangrijke data verwijderen. Een medewerker kan ook verleid worden om een bestand te openen waardoor een hacker toegang krijgt tot jouw waardevolle bedrijfsmiddelen of kroonjuwelen. Er zijn verschillende methoden om risico's te identificeren:
- Ten eerste kun je kijken naar wat je al eens bent tegengekomen in je bedrijf. Bijvoorbeeld het verliezen van bestanden of een stroomstoring.
- Ook voor jouw onderneming geldende wet- en regelgeving kan risico's aan het licht brengen. Zo kan bijvoorbeeld de Algemene Verordening Gegevensbescherming (AVG) het risico op een datalek concreet maken.
- Weet dat er ook partijen zijn die je kunnen helpen om je risico's in kaart te brengen. Dit zijn bijvoorbeeld consultants, accountants, boekhouders of juridisch adviseurs.
Stap 3: analyseer de gevonden risico's
Als je een beeld hebt van de risico's die een gevaar vormen voor je kroonjuwelen, kom je bij de stap om de risico's te analyseren. Als de gebeurtenis zich voltrekt, wat voor gevolg brengt dat dan met zich mee? Hoe groot is de kans dat het risico zich voordoet? Een inzicht krijgen in de kans en gevolgen is niet altijd even makkelijk. Denk bijvoorbeeld aan de gevolgen van reputatieschade. De kans dat het gebeurt is misschien niet zo groot, maar als het gebeurt, en klanten vertrouwen je niet meer, kan het schadebedrag snel oplopen. Om de kans en gevolgen beter te kunnen bepalen, kun je gebruik maken van een kwalitatieve of een kwantitatieve methode.
- Kwalitatief
Bij een kwalitatief beeld praat je niet direct in cijfers en bedragen. Je kunt in het geval van een kwetsbaarheid bijvoorbeeld kijken of het makkelijk is om deze te misbruiken. Daarnaast kan je denken aan het motief dat een hacker kan hebben. Om zo'n kwalitatieve methode in kaart te brengen kan je termen als 'Laag', 'Medium' of 'Hoog' gebruiken om de kans en gevolgen weer te geven. - Kwantitatief
In het geval van een kwantitatief beeld praat je wel in cijfers en bedragen. Je kunt formules gebruiken om zowel de kans, als de gevolgschade te bepalen. Om aan deze cijfers te komen, kun je bijvoorbeeld naar statistieken uit het verleden kijken. Hoe vaak heb je het afgelopen jaar bijvoorbeeld een stroomstoring gehad waardoor de computersystemen het niet meer deden? Is dat er één of geen, dan zal je dit anders inschatten dan wanneer dit twintig keer is gebeurd. Vaak worden boven genoemde methoden samen gebruikt. De uitkomsten zullen je helpen in de volgende stap om te bepalen welke actie passend is.
Vaak worden boven genoemde methoden samen gebruikt. De uitkomsten zullen je helpen in de volgende stap om te bepalen welke actie passend is.
Stap 4: besluit wat je gaat doen
Nu je de risico's in kaart hebt en een beeld hebt van de kans en de gevolgen, kun je overgaan tot het nemen van besluiten. Iedere keuze kan jou geld kosten. Daarom is het belangrijk om goed te bedenken waar je in investeert. Een hulpmiddel hierbij is deze risicomatrix waarbij je een indicatie krijgt van te nemen acties per risico. Er zijn vier mogelijke acties die je kunt nemen bij een risico. Deze vier acties variëren per kans en gevolg. Let op: dit is een versimpeling. Er zijn methodes waarbij tenminste negen, zestien of zelfs 25 of meer vakjes worden gebruikt. In dit geval gaat het om de basis:
- Accepteren: je weet dat je een risico loopt maar je accepteert het risico. In dit vak gaat het vaak om risico's met een kleine kans en kleine gevolgen.
- Oplossen: je neemt maatregelen waardoor je het risico zoveel mogelijk beperkt en mogelijk zelfs kunt uitsluiten. In dit vak plaats je risico's met een grote kans en kleine gevolgen. Bijvoorbeeld: maak een back-up om het verlies van bestanden te voorkomen.
- Overdragen: je verschuift het risico naar een ander door bijvoorbeeld een verzekering af te sluiten. Een goed voorbeeld hiervan is een brandverzekering. Plaats in dit vak de risico's met een kleine kans maar met grote gevolgen.
- Stoppen: je voert de activiteiten waarop je een risico loopt, niet meer uit. In dit vak horen risico's met een grote kans én grote gevolgen.
Hoe hierna verder?
Na het nemen van besluiten ben je er nog niet. Het is van belang om risico’s van tijd tot tijd opnieuw te bekijken. De markt, jouw bedrijf, maar ook de technologie staat niet stil. Het kan dus zijn dat jouw omgeving of jouw bedrijf is veranderd waardoor er nieuwe risico's zijn ontstaan of bestaande risico's in kans of gevolg veranderd zijn. Wees je hiervan bewust! Bespreek je (digitale) risico's daarom periodiek met jouw bedrijfsadviseur, partner(s), accountant en anderen die hierin een rol spelen.
Basisprincipe 2: kies veilige instellingen voor apparatuur en software
Door het gebruik van standaardinstellingen ontstaat het risico dat apparatuur, software en netwerkverbindingen direct vanaf internet te benaderen zijn. Het is secondewerk voor geautomatiseerde programma's om deze systemen online op te sporen. Cybercriminelen kunnen zo de informatie die is opgeslagen in apparaten, software en netwerken, opvragen of veranderen. Ook is het apparaat, afhankelijk van het type, mogelijk op afstand te bedienen. Denk hierbij aan webcams en microfoons die zonder dat je het weet door een cybercrimineel bediend worden.
Stappenplan voor veilige instellingen
Stap 1: controleer de instellingen
Controleer de instellingen van jouw apparatuur, software en netwerk- en internetverbindingen. Pas standaardinstellingen aan voordat je ze aansluit op internet en kijk kritisch naar functies en diensten die automatisch 'aan' staan terwijl je ze misschien niet nodig hebt of gebruikt. Lees hier hoe je Internet of Things-apparaten kan beveiligen, een bedrijfsnetwerk kan beveiligen en hoe je beveiligingsstandaarden voor e-mail kan checken.
Stap 2: gebruik veilige, sterke en verschillende wachtwoorden
Met een wachtwoord bescherm je de vaste en mobiele apparaten van je bedrijf, maar ook je bedrijfsgegevens in de cloud, draadloze netwerken, e-mailaccounts en socialemediaaccounts. De meeste wachtwoorden bestaan uit een combinatie van letters en cijfers, maar er zijn ook andere opties zoals het gebruik van een pincode, Touch ID of beveiligingspatroon. Controleer in twee eenvoudige stappen de sterkte van je wachtwoord met de wachtwoordtool van Veiliginternetten.nl.
Stap 3: stel extra beveiliging in
Soms is een wachtwoord alleen niet voldoende. Toegang tot bankzaken, bedrijfsgegevens in de cloud of de adminomgeving van het bedrijfsnetwerk, vragen om extra beveiliging. Controleer of extra beveiliging mogelijk is en stel deze in. Denk hierbij aan tweestapsverificatie en het inloggen met een token.
Stap 4: gebruik een firewall
Een firewall is een stuk software (of hardware) dat een verdedigingsmuur tussen jouw bedrijfsnetwerk en andere netwerken optrekt. Met een firewall controleer en beheer je welke verbindingen tussen het netwerk en andere netwerken worden opgezet. In het eenvoudigste geval gaat het om de verbinding tussen jouw bedrijfsnetwerk en internet. Binnen deze verbinding kan binnenkomend verkeer worden geanalyseerd om uit te zoeken of het al dan niet in het netwerk moet worden toegelaten. Er zijn verschillende soorten firewalls. De meest voorkomende zijn:
- De standaard firewall op een computer. Deze is meestal onderdeel van het besturingssysteem en kosteloos te gebruiken.
- Een firewall voor het hele netwerk. De implementatie en het beheer hiervan vergt specialistische kennis en brengt kosten met zich mee. Sommige routers bevatten een firewall die kan worden gebruikt voor netwerkbeveiliging. De mogelijkheden hiervoor zijn per merk en model verschillend. Vraag je internetprovider of de fabrikant van de router naar de mogelijkheden.
Tips
Controleer maandelijks of de instellingen nog juist zijn. Controleer ook de instellingen voor elk nieuw apparaat, software en netwerk. Maak een afweging tussen gemak en beveiliging. Eén sleutel voor je huis, auto en kantoor is ook niet logisch. Bekijk aanvullende informatie over veilige instellingen op de website van het DTC.
Basisprincipe 3: voer updates uit voor je software en apparatuur
Updaten is van belang voor alle apparaten die verbonden zijn met een netwerk. Hierbij gaat het niet alleen om je computer en of printer, het gaat ook om bijvoorbeeld je smartphone, laptop en tablet. De software op je apparaat veroudert als je geen updates doet. Cybercriminelen weten dit ook. Zij zoeken naar kwetsbaarheden in verouderde software, om via die weg binnen te komen. Als je apparaten en software up-to-date zijn, loopt je bedrijf het minste kans op virussen en blijf je beschermd tegen de meest actuele cyberdreigingen en -risico's. Een virus of cybercrimineel maakt namelijk gebruik van kwetsbaarheden in oudere versies van apparaten en software.
Stappenplan voor het uitvoeren van updates
Stap 1: controleer of apparaten en software up-to-date zijn
Zo niet, installeer de meest recente beveiligingsupdates direct.
Stap 2: schakel automatische updates in
Zodat je apparaten en software voortaan altijd draaien op de laatste versie.
Stap 3: installeer patches
Incidenteel brengen producenten ook een zogenaamde 'patch' uit. Dit zijn vaak kleine updates die een heel specifiek probleem verhelpen. Vergeet deze ook niet direct te installeren.
Tip
Bekijk via deze link aanvullende informatie over het uitvoeren van updates op de website van het DTC.
Basisprincipe 4: beperk de toegang tot data en services
Door toegangsrechten per medewerker te beperken en te bepalen, voorkom je dat mensen binnen en buiten je bedrijf toegang krijgen tot systemen en data die ze voor het uitvoeren van hun werk niet nodig hebben. Denk hierbij aan veilig omgaan met wachtwoorden, gebruik te maken van ‘sterke’ wachtwoorden en door gebruik te maken van een goede wachtwoordmanager. Verkeerd omgaan met een wachtwoord kan tot gevolg hebben dat anderen toegang kunnen krijgen tot je persoonlijke of zakelijke gegevens. Je wilt natuurlijk niet dat de concurrentie je klantgegevens en financiële gegevens kopieert, of dat een cybercrimineel je bedrijfsgegevens steelt en daarmee identiteitsfraude pleegt.
- Zorg dat je wachtwoord 'sterk' is. Een sterk wachtwoord is niet te raden en moeilijk te kraken door een computer.
- Maak voor verschillende diensten verschillende wachtwoorden aan. Beheer deze wachtwoorden veilig en centraal met een wachtwoordmanager.
Stappenplan voor het inregelen van toegang
Stap 1: definieer toegangsrechten
Definieer per medewerker tot welke systemen en data zij toegang zouden moeten hebben om hun werk te kunnen doen.
Stap 2: zorg voor identificatie
Zorg er vervolgens voor dat een medewerker kan inloggen op de systemen en zich kan identificeren als die medewerker met bijbehorende toegangsrechten.
Stap 3: gebruik een sterke inlogsystematiek
Gebruik veilige en sterke wachtwoorden en realiseer inloggen door middel van tweefactorauthenticatie voor belangrijke systemen en data.
Stap 4: beperk fysieke toegang
Beperk de fysieke toegang van medewerkers tot ruimtes waar systemen draaien (zoals servers) of apparaten (zoals externe harde schijven en USB-sticks) en documenten zijn opgeslagen.
Stap 5: zorg voor automatische vergrendeling
Zorg dat systemen automatisch na een aantal minuten vergrendelen (locken) zodat deze niet toegankelijk zijn voor onbevoegden. Maak ook afspraken met medewerkers dat zij hun systeem zelf vergrendelen wanneer zij even van hun werkplek weglopen.
Tips
Zorg dat de toegangsrechten worden aangepast als iemand (van binnen en/of van buiten) een nieuwe functie krijgt of bij de onderneming vertrekt. In het geval van een plotseling (niet vrijwillig) vertrek van een systeembeheerder is dit extra belangrijk. Dit geldt ook indien er wordt gewerkt met bijvoorbeeld een nieuwe leverancier of boekhouder. Bekijk aanvullende informatie over het beperken van toegang op de website van het DTC.
Basisprincipe 5: voorkom virussen en andere malware
Malware is kwaadaardige software (malacious software) die computersystemen verstoort, informatie verzamelt of versleutelt. Er zijn verschillende manieren waarop malware toegang krijgt tot een computer, smartphone of netwerk. Een gebruiker kan een geïnfecteerde e-mail (of bijlage) openen, een foute website bezoeken of een besmet bestand via bijvoorbeeld een USB-stick openen. Zodra de malware binnen is, infecteert het de software waar het naar op zoek is en verspreidt zichzelf daarna als een olievlek naar andere apparaten en/of gebruikers.
Stappenplan voor het voorkomen van virussen
Stap 1: stimuleer veilig gedrag van medewerkers
De cyberweerbaarheid van je bedrijf valt of staat met het gedrag van medewerkers. Medewerkers kunnen ongewild grote schade toebrengen aan het bedrijf door het aansluiten van een besmette USB-stick, het slordig zijn met (zwakke) wachtwoorden of door een phishingmail niet te herkennen. Zijn jouw medewerkers voldoende bewust van de gevaren en de mogelijke gevolgen?
Stap 2: gebruik een antivirusprogramma
Een antivirusprogramma scant je apparaten op de aanwezigheid van kwaadaardige software (malware). Een betaalde virusscanner wordt door de leverancier regelmatig bijgewerkt zodat het jouw bedrijf ook beschermt tegen de laatst bekende virussen. Wist je dat je met het gebruik van een antivirusprogramma indirect ook de apparaten van jouw klanten en andere ondernemers beschermt? Veel virussen maken namelijk gebruik van een e-mailprogramma om zichzelf te verspreiden. Zonder dat je het weet, kun je anderen ook infecteren via e-mail. Een antivirusprogramma voorkomt dit.
Stap 3: installeer apps bewust
Mocht je gebruik willen maken van zakelijks apps op je (zakelijke) tablet of smartphone, dan zijn de volgende tips van belang:
- Installeer alleen apps uit een betrouwbare bron zoals de download omgevingen van Android en Apple. In deze omgevingen is een (beperkte) controle op de betrouwbaarheid van apps.
- Installeer alleen apps die echt noodzakelijk zijn voor jouw bedrijfsvoering. Hoe meer apps je installeert, hoe groter de kans dat je iets verkeerds binnen krijgt.
- Vermijd het installeren van gratis apps zoals spelletjes en vrijetijdsapps in combinatie met een zakelijke omgeving. Voor deze apps 'betaal' je vaak met het weggeven van je persoonlijke informatie. Dat is meestal het verdienmodel achter gratis apps.
- Bij het installeren van een app wordt vaak toegang gevraagd tot andere functies op je apparaat. Dat kan zijn de camera, locatiegegevens, je contactenlijst of zelfs je betaalmogelijkheden. Geef niet standaard alle toegang die gevraagd wordt maar bedenk wat echt noodzakelijk is voor goed gebruik van deze app. Daarmee beperk je het risico op lekken van informatie en je verkleint de kans dat je slachtoffer wordt van een hackaanval.
Stap 4 - Beperk de installatiemogelijkheden van software
Mogen jouw medewerkers zelf software installeren op de bedrijfscomputers? Als je deze mogelijkheden beperkt, kun je voorkomen dat er besmette programma's worden geïnstalleerd die mogelijk je bedrijfsnetwerk infecteren.
Tip
Meer informatie over het voorkomen van virussen staat op de website van het DTC.
Basisscan Cyberweerbaarheid
Bovenstaande adviezen en bijbehorende acties gelden uiteraard voor alle medewerkers van het bedrijf. Ook hierin geldt het principe dat de ketting zo sterk is als de zwakste schakel. Dit begint bij bewustwording van de risico's en deze ook bespreekbaar met elkaar te maken. Zijn alle bovenstaande adviezen opgevolgd en alle stappen doorlopen? Doe dan de Basisscan Cyberweerbaarheid en ontdek hoe jouw bedrijf ervoor staat! Of doe via deze link de Cyber Risico Scan waarmee je inzicht krijgt in de status van de beveiliging van jouw bedrijfsnetwerk.
Praktische instructiefilmpjes voor je medewerkers via Samen Digitaal Veilig
Speciaal voor jou als lid van Bouwend Nederland mag je tot en met maart 2024 gratis gebruikmaken van de uitgebreide plus-versie in het platform Samen Digitaal Veilig. Het platform helpt je met het slim invoeren van een paar simpele maatregelen die jouw digitale veiligheid snel verhogen!
- Een half jaar gratis toegang tot de plus-versie van Samen Digitaal Veilig
- Praktische online begeleidingssessie
- Online trainingsprogramma voor medewerkers (20 leerzame video’s)
- Checklists waarmee je inzicht krijgt in hoe het staat met jouw digitale veiligheid
- Een dashboard waarop je jouw voortgang kunt zien
Vanaf april 2024 betaal je 50% van het reguliere tarief. De basisversie van Samen Digitaal Veilig is altijd gratis voor leden van Bouwend Nederland.
Bekijk hier ook de handleiding Brandoefening Digitale Veiligheid.
Online training Digitaal Veilig
Liever via een online training praktische tips opdoen en met andere ondernemers ervaringen uitwisselen? Ook dat kan! We bieden via onze Academy een online training Cybersecurity aan. Deelnemers geven de training hoge cijfers. Zo ook Gebr. Meijer Bouwbedrijf. "Het was een duidelijke, interactieve training met goede praktijkvoorbeelden en een trainer die duidelijk veel verstand had van wat hij vertelde."
Getroffen! Wat nu?
De risico's van een hack kunnen groot zijn. Een hack kan de bedrijfsvoering verstoren of stilleggen, maar kan ook leiden tot reputatieschade. Dat is bijvoorbeeld het geval als gegevens van klanten of zakelijke relaties op straat komen te liggen.
Vermoed je dat er sprake is van een hack? Kom dan snel in actie, voorbereiding is namelijk het halve werk. Dit helpt ook bij het verrichten van de aangifte (of een verzekerings- of aansprakelijkheidsclaim). Elke vorm van cybercrime is namelijk strafbaar. Bekijk hier wat je kunt doen als je getroffen bent.
Ook hebben we een praktisch cybernoodplan voor je: Cybernoodplan Nederlandstalig of in het Engels: Cybernoodplan Engelstalig.
Bouwend Nederland Cyberverzekering
Met de tips op deze pagina maak je je bedrijf weerbaarder tegen digitale criminaliteit. Voorkomen is tenslotte beter dan genezen. Mocht er tóch iets misgaan, dan kan de Bouwend Nederland Cyberverzekering je beschermen tegen de gevolgen van onder andere hacks, ransomware en datalekken.
Podcast
In deze podcast een gesprek met met Jos Bruining. Hij is eigenaar van een bouwbedrijf en stond in 2017 voor de vraag om €10.000 euro te betalen aan internetcriminelen om zijn bouwonderneming te redden. Jeroen Molenaar (digitale veiligheidsexpert) vertelt in de podcast hoe je er eenvoudig achter komt of jouw onderneming goed beveiligd is.
Slachtoffer cybercrime: hoe ga je ermee om?
In een driedelige videoreeks praat Dennis Mollet met twee lidbedrijven die werden getroffen door ransomware. Wat gebeurde er precies en hoe hebben zij gehandeld? Ook praat Dennis met Vincent Stittelaar van het Cybercrimeteam van de Politie Eenheid Den Haag. Hij legt uit welke ontwikkelingen zij zien en wat mkb'ers kunnen doen.