EW10 cover 600
November/December 2021

Cyberweerbaarheid ­onvoldoende op orde ­­bij installatiebedrijven

42 01

Cybercrime is helaas nog een hardnekkig taboe. Specifieke cijfers voor de installatiebranche zijn er niet, maar onderzoek wijst uit dat 20 tot 50 procent van de mkb-bedrijven ooit slachtoffer is geweest van cybercriminelen. In coronatijd nam dat flink toe. Bedrijven bouwden gehaast digitale werkwijzen en diensten uit, vaak zonder die goed te beveiligen. Digi-deuren stonden wagenwijd open, kwaadwillenden grepen hun kans. Ook bij installatiebedrijven is cybersecurity belangrijker dan ooit.

ENISA (European Union agency for cybersecurity) bracht in juli een rapport uit over cybersecurity bij het mkb in Europa. Met als aanleiding de versterkte digitalisering tijdens de corona-pandemie analyseerde de instantie waar bedrijven steken laten vallen en hoe het beter kan. Er staan adviezen in voor de bedrijven zelf, maar ook geeft het rapport aan hoe de lidstaten bedrijven zouden moeten beschermen tegen cybercrime. Het rapport concludeert dat mkb-bedrijven (en hun medewerkers) onvoldoende bewust zijn van de risico’s, dat de kosten van goede beveiliging een belemmering vormen, er te weinig cybersecurity-kennis is bij de bedrijven en het management er maar geringe prioriteit aan geeft. Ook zijn de meeste mkb’ers ervan overtuigd dat cybercrime iets is wat alleen grote bedrijven overkomt. Niets is minder waar, zo blijkt.
Terwijl het aantal fysieke diefstallen drastisch afnam tijdens de pandemie, groeide het aantal digitale inbraken dramatisch. In het eerste halfjaar van 2021 steeg het aantal meldingen van cybercriminaliteit bij mkb-bedrijven in Nederland met ruim 75 procent ten opzichte van 2020. Vergeleken met dezelfde periode in 2019 verviervoudigde het zelfs. Kantoormedewerkers werkten vaker thuis en bedrijven digitaliseerden alles wat maar kon. Ze werden kwetsbaarder voor uitval en verstoring van IT. Hackers muntten het veelal op thuiswerkers en drongen vaker binnen bij de computers van midden- en kleinbedrijven, die zelden ‘digitale bewakers’ in dienst hebben.

Naar schatting leiden mkb-bedrijven jaarlijks voor gemiddeld 1 miljard euro aan schade door cyberaanvallen

Externe cyberbeveiliger

Installatiebedrijven zijn wat dat betreft geen uitzondering. Hoewel er geen specifieke cijfers van zijn, is duidelijk dat ook zij steeds vaker te maken krijgen met virussen, ransomware, malware, Botnet, phishing of DDoS-aanvallen. Iedereen herinnert zich het voorval in juli; een hackersgroep die een wereldwijde cyberaanval uitvoerde met ransomware, blokkeerde ook bij installatiebedrijf Hoppenbrouwers tijdelijk de toegang tot de digitale bestanden. Dat gebeurde mogelijk via software voor beheer-op-afstand. Omdat het bedrijf met een security operations center (soc) werkt, een externe cyberbeveiliger, werd de aanval snel opgemerkt, nog voordat er om losgeld werd gevraagd. Alle computers zijn meteen afgeschakeld en vervolgens opgeschoond. Omdat er recent nog een back-up was gemaakt, was het bedrijf maar een paar uur aan gegevens kwijt.

Impact

De impact van digitale aanvallen varieert. Sommige leiden tot een korte verstoring van processen, zoals een DDoS-aanval die een website een paar uur platlegt. Er zijn ook aanvallen die een langdurige impact hebben, zoals die met ransomware. Ransomware kan processen ontoegankelijk maken, maar ook data ontfutselen. Er wordt om losgeld gevraagd om weer toegang te krijgen tot de systemen of gedreigd met het openbaar maken van gevoelige informatie. Aanvallers kunnen zelfs klanten van hun doelwit proberen af te persen. Door ook back-ups van systemen onbruikbaar te maken, wordt de impact van die aanvallen nog groter. In het uiterste geval is de schade aan systemen zo ernstig, dat herstel niet mogelijk is. Naar schatting leiden mkb-bedrijven jaarlijks voor gemiddeld 1 miljard euro aan schade door cyberaanvallen.

Tips voor veilige digitale ­installaties

• Zorg ervoor dat de databeveiliging voldoet aan de hoogste normen en de huidige Nederlandse wet- en regelgeving.
• Weet hoe de aansturing en beveiliging van sensoren in elkaar steekt. Dat geldt voor zowel de zenders als ontvangers, plus het complete netwerk waarover alle data gaan.
• Let ook op de fysieke bescherming en check of de dataservers beschermd zijn. Ga na of de provider voldoende back-up systemen heeft draaien om de data onder alle omstandigheden veilig te kunnen stellen.
• Maak alleen gebruik van producten van betrouwbare leveranciers die met de nieuwste beveiligingsprotocollen werken.
• Zorg ervoor dat apparaten die met elkaar communiceren, dat veilig doen. Door de gegevensoverdracht op elk kruispunt te versleutelen. Ofwel: je hebt end-to-end-encryptie nodig om informatie te beschermen.
• Zorg dat updates voor het apparaat en de software beschikbaar zijn en installeer deze op tijd.
Controleer de beschikbare functies op de apparaten en schakel alle functies die je niet wilt gebruiken uit, om de kans op een aanval te verkleinen.

10 basisregels

Het is naïef om ervan uit te gaan dat cybercriminelen aan jouw digitale deur voorbijgaan. Iedereen krijgt er vroeg of laat mee te maken, maar je kunt je er wel tegen weren. Juist als je geen eigen cyberbewaker hebt of met een security operations center werkt, zul je er als ondernemer zelf de verantwoordelijkheid voor moeten nemen. Als het gaat om het vergroten van de cyberweerbaarheid, gelden er tien basisregels:

  1. Inventariseer de systemen en data in je bedrijf en maak regelmatig een risicoanalyse. Welke vitale processen en data moet je absoluut beschermen? Denk daarbij ook in risico-scenario’s. Wat als...
  2. Maak regelmatig back-ups van belangrijke gegevens. Zet die bij voorkeur op meerdere plekken, waarvan één offline, waar criminelen ze niet kunnen versleutelen. Test ook regelmatig of het herstellen van back-ups wel werkt.
  3. Gebruik veilige, unieke wachtwoorden. Een digitale wachtwoordmanager kan handig zijn voor het beheer van wachtwoorden. Ze worden daar versleuteld in opgeslagen.
  4. Maak zoveel mogelijk gebruik van twee-factor-authentificatie, zoals met een eenmalige code per sms. Dat is veiliger dan het gebruik van alleen een wachtwoord. Een inbreker kan in dat geval met alleen het wachtwoord nog steeds geen toegang krijgen tot systemen en informatie.
  5. Houd apparaten en software up-to-date door regelmatig of automatisch updates door te voeren. Fabrikanten zorgen daarmee voor de meest recente bescherming tegen veiligheidsrisico’s. De voordelen van updates voor met name beheer op afstand zijn groot. Maar pas wel op: helaas is gebleken dat slimme cybercriminelen updates soms gebruiken als een paard van Troje en er schadelijke virussen of malware mee naar binnen brengen.
  6. Gebruik antivirussoftware om je apparaten te beschermen tegen zowel virussen als malware.
  7. Maak medewerkers bewust van de risico’s van onveilige sites, mails en software. Train hen waar nodig in cyberveiligheid.
  8. Beperk de toegang van medewerkers tot gegevens die ze voor hun werk niet nodig hebben.
  9. Neem privacy- en gegevensbescherming integraal op in de bedrijfscultuur. Belast één persoon met de eindverantwoordelijkheid voor beveiliging en gegevensbescherming.
  10. Zorg dat er een actieplan en een bellijst klaar liggen voor het geval er zich incidenten voordoen.

Wat doet Techniek Nederland?

Om alarm- en camera-installaties bij klanten veilig te houden, biedt Techniek Nederland leden een Cyber Risicoscan en adviezen voor cyberweerbaarheid aan (bit.ly/EW-CyberTN ). Hier is ook een modelovereenkomst te vinden voor het verwerken van persoonsgegevens door derden. Techniek Nederland biedt tevens ledenkorting op de diensten van 4iTrust. Zij helpen bij het voorkomen en verhelpen van schade door cybercrime.
Techniek Nederland is partner van het Digital Trust Center, dat is opgericht door de Nederlandse overheid om de cyberweerbaarheid van het mkb te versterken en concrete adviezen te geven. Kijk voor meer informatie op www.digitaltrustcenter.nl.

Cyberverzekering Techniek Nederland

Schade als gevolg van een cyberincident is niet gedekt bij een normale computerverzekering. Techniek Nederland Verzekeringen biedt hiervoor een aparte cyberverzekering. Die dekt de kosten van:

  • Schadevergoeding en juridische bijstand bij aanspraken van derden als gevolg van verlies van persoonsgegevens en/of bedrijfsinformatie, smaad, laster of plagiaat.
  • Kosten voor onderzoek door een toezichthouder en boetes.
  • Cyber-afpersing, zoals losgeld bij ransomware.
  • Vergoeding van de belkosten bij het hacken van een telefooncentrale.
  • Gederfde nettowinst bij netwerkonderbreking.
  • De kosten van de inzet van een incident response-team, dat zorgt dat u zo snel mogelijk weer aan de slag kunt.

Meer informatie: verzekeringen.technieknederland.nl/home.

Onder de pet

Bedrijven die slachtoffer worden van cybercriminaliteit, houden het in de regel onder de pet. ‘Dat is jammer,’ zegt Peter Zwakhals, specialist digitalisering bij Techniek Nederland. ‘Want zo is het ook moeilijker te bestrijden. Van voorbeelden als die van Hoppenbrouwers kunnen we met zijn allen heel veel leren. Hoe pijnlijk het ook is, je zult soms toch ook je klanten moeten inlichten dat er bij je is ‘ingebroken’. Wellicht zijn privacygevoelige klantgegevens in handen gekomen van de hackers. Je kunt er maar beter eerlijk over zijn,’ adviseert hij.

Digitale installaties

Als het gaat om kantoorautomatisering, lopen installatiebedrijven tegen exact dezelfde risico’s en uitdagingen aan als andere branches. Waar de installatiebranche wel in afwijkt, is dat ze niet alleen de eigen bedrijfsprocessen moet beveiligen, maar ook de installaties van hun klanten. Aan bijna alle componenten zit tegenwoordig wel een internetstekkertje. IoT-toepassingen, digitale gebouwbeheersystemen en beheer-op-afstand nemen toe. Dat is een mooie ontwikkeling, maar er kleven ook gevaren aan als het gaat om cyberveiligheid. Digitale systemen zijn kwetsbaar voor cyberaanvallen. Met het risico dat criminelen complete klimaat- en verlichtingssystemen platleggen, de bediening van bruggen en sluizen overnemen of via de installateur binnendringen in de systemen van klanten. Meestal komt dat door een samenspel van onvoldoende beveiligde hardware, software en menselijk handelen.
Zwakhals: ‘Voor de meeste elektromonteurs is de IT-wereld onbekend, daar hebben ze op school niets van meegekregen. Routers configureren was tot voor kort nog het domein van IT-specialisten, nu komt die discipline steeds meer op het bordje van de monteur. Opleidingen moeten daar meer aandacht aan gaan geven. En fabrikanten van IoT-producten moeten zorgen dat die aan minimale veiligheidseisen voldoen. Zolang dat allemaal nog niet op orde is, zullen bedrijven maximale veiligheidsregels moeten betrachten.’

Tekst: Astrid Zoumpoulis - Verbraeken
Fotografie: iStock