Cybersecurity: de MKB ondernemer als makkelijk doelwit

Cybersecurity: de MKB ondernemer als makkelijk doelwit
IT Advies 30 oktober 2019 3 min. leestijd

Minister van Justitie en Veiligheid Ferdinand Grapperhaus liet eind september 2019 weten dat de overheid harder gaat optreden tegen bedrijven die hun netwerkbeveiliging niet op orde hebben. “Met boetes of desnoods door zelf in te grijpen” wil de minister afdwingen dat ondernemingen maatregelen gaan treffen om hun gebrekkige cybersecurity aan te pakken.

 

Vanuit onze praktijk zien we dat bedrijven vaak beschikken over firewalls en antivirus. Hiermee verwachten ze dat de kous af is. Hoewel dit een goede “first line of defense” is, kunnen hedendaagse cybercriminelen deze gemakkelijk omzeilen door lekken of kwetsbaarheden in hun voordeel te gebruiken. 

 

Zo verschijnen er dagelijks berichten over beveiligingslekken bij grote organisaties, maar wij ondervinden ook bij onze (kleinere) klanten dat er steeds meer malware en phishing aanvallen zijn en merken we dat er in veel gevallen zeer beperkte maatregelen zijn getroffen. Ook heeft de onderneming soms totaal geen inzicht in de beveiligingsmaatregelen waarover ze beschikken. 

 

Veel van onze klanten hebben hun IT uitbesteed en denken dat het hiermee wel goed zit. Dit is echter niet zo. Een goed voorbeeld hiervan is de onderneming Pulse Secure, een organisatie die bedrijfsnetwerken verzorgt. Zij hebben een lek dat in maart 2019 was gemeld - en waarvoor een update van de software beschikbaar was - pas in augustus gedicht. Hierdoor waren er begin augustus nog 528 systemen kwetsbaar voor hacks die gebruik maken van dit lek.

 

Voor de MKB onderneming is het daarom van belang om inzichtelijk te hebben bij wie de verantwoordelijkheden liggen indien IT-activiteiten worden uitbesteed. Een onderneming kan dan wel de maatregelen omtrent cybersecurity hebben uitbesteed, maar de eindverantwoordelijkheid van het up-to-date houden van de hardware en software blijft altijd bij de onderneming zelf liggen. Bij het uitbesteden van de IT-activiteiten dient deze verantwoordelijkheid te worden beschreven en vastgelegd in een uitbestedingscontract en/of Service Level Agreement (SLA).

 

Indien dit niet goed is geregeld, bestaat de kans dat wanneer de klant geïnfecteerd raakt of wordt gehackt, de verantwoordelijkheid niet bij de IT-beheerder ligt en het afbreukrisico bij de klant ligt. Zo draait de onderneming alsnog zelf voor de gevolgen op.

 

De IT-audit en advies afdeling van WVDB is bekend met de laatste risico’s inzake cybersecurity en kan u ondersteunen bij cyber- en uitbestedingsvraagstukken. Wij kunnen met u meekijken wanneer u uw IT wil uitbesteden, bijvoorbeeld door te beoordelen of er afdoende maatregelen in het contract en/of SLA staan. Daarnaast kunnen wij eenmalig of periodiek een security scan uitvoeren om de risico’s met betrekking tot de cyberveiligheid van uw organisatie bloot te leggen en u helpen om maatregelen te treffen.

Terug