De beveiliging van je ICT en data is een afweging die je op directieniveau moet maken, stelt directeur van brancheorganisatie Cyberveilig Nederland Petra Oldengarm. “Het is belangrijk dat je het risico van een cyberinbraak voor je business voldoende in beeld hebt.”

Thuiswerken is versneld ingeburgerd door de coronacrisis. De verwachting is dat vanuit huis werken ook na de coronacrisis populair blijft. “Organisaties moeten zich beter bewust worden van de risico’s die dat met zich meebrengt, bijvoorbeeld met mobiele apparaten,” benadrukt

Petra Oldengarm. “Ik zie vaak bij gezinnen dat kinderen op de tablets en telefoons van hun ouders mogen en van alles mogen downloaden. Daar zitten allerlei apps tussen, waarvan de voorwaarden staat dat ze toegang hebben tot je adressenlijst en andere informatie op je tablet of telefoon.”

Cloudoplossingen

Bij het gebruik van cloudoplossingen en vergaderen op afstand is het belangrijk dat de dienstverlener de beveiliging op orde heeft. Oldengarm geeft de problemen met Zoom, dat de verbindingen in eerste weken van de coronacrisis nog onvoldoende had beschermd, als voorbeeld hoe het mis kan gaan. “Ze hebben direct verbeteringen aangebracht op het gebied van end-to-end encryptie en privacy.”

“Vragen over de beveiliging van een clouddienst moeten vanuit de afnemende organisatie zelf komen,” waarschuwt Oldengarm. “Je moet aangeven welke eisen je als organisatie stelt aan veilig gebruik van zo’n cloud- of videobellenplatform.” Ze hoort te vaak ondernemers zeggen ‘ik heb het uitbesteed aan een clouddienst, dus het zal wel goed geregeld zijn’. “Verdiep je in ieder geval in wat er is geregeld en stel daar een paar vragen over,” vervolgt ze. “Het is bijvoorbeeld belangrijk om te weten hoe jouw data is afgescheiden van de data van andere afnemers van de clouddiensten. Je wilt niet dat een hacker via hen ook bij jouw gegevens komt.” Oldengarm adviseert ondernemers een vragenlijst te maken, die je kunt afvinken. “Ik zou bijvoorbeeld willen weten waar de data staat. Is dat in Nederland, Europa of zelfs buiten Europa? Heeft de ICT-aanbieder beveiligingscertificeringen, zoals ISO 27001? Voert hij regelmatig beveiligingstesten uit? Enzovoort.”

Risico-inschatting

“Bij het beschermen van informatie en informatiesystemen zijn drie aspecten van belang. Vertrouwelijkheid, je moet bijvoorbeeld persoonsgegevens afschermen. Integriteit, kun je erop vertrouwen dat de gegevens correct zijn? Denk bijvoorbeeld aan medische gegevens. En als derde beschikbaarheid. Hoe erg is het als je systeem uitvalt? Kun je dan nog doorwerken?”,” doceert Oldengarm. “Denk aan een fabriek die platligt vanwege een IT-probleem. “Daar moet je een risico-inschatting van maken.”

“Op de website van Cyberveilig Nederland staat een gratis woordenboek waarin veelvoorkomende cybersecuritytermen in begrijpelijke taal worden uitgelegd.”

Bedrijfsspionage

Nederlandse bedrijven zijn in toenemende mate kwetsbaar voor digitale spionage, constateert de AIVD in haar jaarverslagen. “Als je bijzondere technologie of kennis hebt, moet je je ogen niet sluiten voor dat risico,” stelt Oldengarm. “Spionageaanvallen zijn over het algemeen lastiger te detecteren. Criminelen zijn uit op je geld. Op enig moment is wel duidelijk dat je wordt aangevallen. Als een spion zijn werk goed doet, blijft hij onzichtbaar. Het duurt soms jaren voordat zichtbaar wordt dat een spion toegang heeft en soms ontdek je het helemaal niet.” Screening van medewerkers is essentieel. “De kortste weg is nog altijd via de voordeur. Het ouderwetse inlichtingenwerk kan een stuk makkelijker zijn dan technische spionageoperaties.”

Het Digital Trustcenter (DTC) van het ministerie van Economische Zaken en Klimaat helpt mkb-bedrijven met veilig digitaal ondernemen. DTC heeft een lijst opgesteld met vijf basismaatregelen die mkb-ondernemingen minimaal moet nemen en informatie en advies om zelf aan de slag te gaan met cyberweerbaarheid. De informatie is te vinden op de website, www.digitaltrustcenter.nl.