Hoewel cyberaanvallen op bedrijven ruimschoots onder de aandacht komen in de media, gaat het niet goed met de cyber-weerbaarheid van de Nederlandse MKB bedrijven. Volgens Ben Krutzen heeft dit te maken met een gebrek aan aandacht, vaak als gevolg van naïviteit. Zoals de titel aangeeft is er voor internet criminelen bij ieder bedrijf wel iets te halen en de consequenties voor de bedrijfscontinuïteit kunnen groot zijn. De genoemde 20% van de MKB bedrijven – met tussen 50 en 250 medewerkers – lijden door een cyber-incident een verlies van 1 tot 5 procent van de jaaromzet. Na gewerkt te hebben als Security Officer bij Shell en als Partner bij KPMG, maakt Krutzen met ValueTracks doeltreffende cybersecurity toegankelijk voor kleinere en middelgrote commerciële en publieke organisaties.
Cybersecurity als ondergeschoven kind in het MKB
Krutzen vertelt dat bij kleinere – en zeker bij snelgroeiende – bedrijven de focus vaak volledig ligt op de product-market fit, de financiering, en het realiseren van groei. Niet zozeer op IT dus, en zeker niet op cybersecurity. “Wanneer ondernemers denken aan cybersecurity wordt nog te vaak gedacht: ‘Welke crimineel is er nou in onze business of data geïnteresseerd’? Internet criminelen zijn echter vaak niet selectief en gaan achter ieder bedrijf aan waarbij ze zich alleen afvragen ‘Wat kan dat bedrijf missen’? Natuurlijk zijn bedrijven die werkzaam zijn in “deep technology” kwetsbaarder voor cyberaanvallen gericht op hun intellectueel eigendom, maar uiteindelijk slagen criminelen er evengoed in om significante bedragen buit te maken bij hele normale bedrijven”.
Cyberaanvallen kunnen op elk bedrijf, groot en klein, een grote impact hebben. Allereerst door de aanval zelf, die ervoor kan zorgen dat bedrijfsactiviteiten wekenlang compleet stil komen te liggen. De grootste impact komt echter veelal pas in de nasleep. Klanten raken het vertrouwen kwijt in het bedrijf, waardoor zij sneller geneigd zijn om over te stappen naar de concurrentie. Krutzen heeft meerdere bedrijven hun leiderschapsrol in de markt op deze manier zien verliezen.
Ook vertelt hij dat de dreiging er niet minder op wordt. Waar ‘Ransomware’ aanvallen zich voorheen voornamelijk focusten op particulieren, is er een grote markt ontstaan die haar pijlen richt op het bedrijfsleven. Een markt die zich steeds verder professionaliseert, strategischer te werk gaat en samenwerkt, waardoor het moeilijker wordt hen buiten de deur te houden. Er is bij bepaalde criminele partijen zelfs sprake van een professionele helpdesk voor de getroffen bedrijven. Waar de mogelijkheden van IT continu toenemen, doen de kansen voor cybercriminelen dat ook.
Van monoloog naar dialoog
Ondanks dat er door deze ontwikkelingen en de toename in aanvallen meer bekendheid over cybersecurity is ontstaan, wordt er door het MKB in Nederland nog te weinig tegen gedaan. Krutzen vertelt dat er bijvoorbeeld wel certificeringen worden gehaald, in de veronderstelling dat de beveiliging daarna goed geregeld is, maar dat de praktijk leert dat dit vaak niet het geval is.
“Certificeringen zijn meestal proces georiënteerd. Dit vertelt ondernemers wel wat ze moeten doen, maar bijvoorbeeld niet welke beveiligingsoplossingen zij het beste kunnen inzetten. Daardoor wordt er nog te vaak een gratis oplossing ingezet met onvoldoende kwaliteit, of worden goede oplossing niet op een effectieve manier geïmplementeerd. Het resultaat is dat de beveiliging niet of nauwelijks verbetert”.
Daarbij komt de kloof in kennis tussen ondernemers en bedrijven die zich bezighouden met cybersecurity. Er wordt veelal gesproken in vakjargon, waar de ondernemers geen weet van hebben. Hierdoor ontbreekt het aan een basis om de juiste keuzes te kunnen maken.
ValueTracks pakt het anders aan. Het bedrijf is gespecialiseerd in het maken van analyses van de risico’s die bedrijven lopen en het aanbrengen van prioriteiten voor verbeteringen in de beveiliging, samen met de ondernemer. Een praktische en zo efficiënt mogelijke aanpak staat centraal. Alles dichttimmeren is in veel gevallen niet nodig, geeft Krutzen aan. Daarbij wordt de informatie voor de ondernemers begrijpelijk gemaakt. Kan het geheime recept van het bedrijf worden gestolen, kan een cyberaanval ervoor zorgen dat klanten niet zullen betalen en vooral: met welke bedrijfseffecten zouden de scenario’s gepaard gaan? Zo maakt ValueTracks van de technische monoloog over security een dialoog over bedrijfsprocessen.
Door begrip aan de kant van de ondernemer kan worden bepaald waar en in welke mate cybersecuritymaatregelen moeten worden ingezet. ValueTracks draagt desgewenst de meest geschikte technische securityoplossingen aan en kan zorgen voor de implementatie.
Met relatief weinig inspanning kunnen op deze wijze grote verbeteringen worden bereikt. Het risico om slachtoffer te worden wordt dan significant verlaagd: van gemiddeld een keer per 5 jaar, naar minder dan eens in de 50 jaar.
Met deze aanpak ambieert ValueTracks een positieve impact te maken op de veiligheid van de Nederlandse MKB-sector. Door bedrijven te laten nadenken over cybersecurity en de juiste oplossingen op praktische wijze aan te reiken kan het geld dat nu verloren gaat aan de zwarte markt, de weg terugvinden naar de reguliere economie en ten goede komen aan de maatschappij.