Veel kmo’s investeren vandaag gericht in talent , slimme processen en technologieën, maar besteden vaak te weinig aandacht aan hoe ze met hun activiteiten in het oog springen van cybercriminelen. Twee bedrijfsadviseurs van VLAIO geven tips. ‘Start met het aanleggen van een allesomvattende inventaris.’
Maar liefst veertig procent van de kmo’s werd in 2021 geconfronteerd met onbruikbare ICT-systemen als gevolg van cyberaanvallen. Dat is gebleken uit een nulmeting die de Vlaamse regering liet uitvoeren om de maturiteit van cybersecurity bij onze bedrijven in kaart te brengen. ‘Het bewustmaken, adviseren en opleiden van kmo’s en bedrijfsleiders rond cybersecurity is belangrijker dan ooit’, meent Patrick Hauspie, programma-adviseur AI & cybersecurity bij het Agentschap Innoveren en Ondernemen (VLAIO).
‘Een sterk cybersecuritybeleid wekt vertrouwen op bij klanten en leveranciers’
Cybersecuritystrategie start met een inventaris
‘Zero risk bestaat niet: elk bedrijf, groot of klein, loopt de kans om ooit gehackt te worden’, benadrukt Jeroen Fiers, adviseur cybersecurity bij VLAIO. ‘Om dat risico zo klein mogelijk te maken en bedrijven te leren hoe ze het best reageren wanneer ze toch gehackt worden, is een op maat gemaakt cybersecuritybeleid onmisbaar.’ Dat start met het inventariseren van alle cruciale bedrijfsprocessen, toestellen, systemen, software en gegevens. ‘Daarbij is het belangrijk om op te tekenen welke zaken daarvan ook op afstand – online – aangestuurd kunnen worden’, zegt Patrick Hauspie. ‘Zo krijgt een bedrijf een zicht op zijn cyberrisico’s en waar er beveiligd dient te worden.’ Het is ook nuttig om met een specialist een plan op te stellen met de zwakke punten die eerst aangepakt moeten worden, klinkt het.
Niet alleen de IT-provider is verantwoordelijk
Kmo’s denken helaas vaak dat hun IT-leverancier er wel voor zorgt dat alle systemen up-to-date en veilig blijven. Patrick Hauspie: ‘De eindverantwoordelijkheid ligt bij de onderneming zelf. De IT-leverancier heeft vaak geen volledig zicht op alle systemen die een onderneming gebruikt.’ Dat geldt zeker voor productie- en maakbedrijven, die naast software ook allerlei specifieke en soms verouderde machines gebruiken waarmee een IT-provider helemaal niets te maken heeft.
De mens als risicofactor
Daarnaast is de mens vaak de zwakste schakel binnen cybersecurity. Hackers trachten bijvoorbeeld met frauduleuze mails medewerkers naar een fake website te lokken, waar ze aan de haal gaan met paswoorden en login-gegevens. Of ze mailen valse facturen, zogezegd in naam van een manager van het bedrijf, de zogenaamde CEO-fraude. Slimme software en firewalls volstaan niet. Iederéén binnen het bedrijf moet waakzaam zijn voor hacking. ‘Daarom is het cruciaal om medewerkers alert te maken via trainingen en campagnes’, stelt Jeroen Fiers. ‘Daar horen ook goede afspraken en procedures bij. Er moeten bijvoorbeeld richtlijnen bestaan over waar en hoe medewerkers laptops en smartphones van het bedrijf mogen gebruiken.’
‘Zero risk bestaat niet: elk bedrijf, groot of klein, loopt de kans om ooit gehackt te worden’
Cyberveiligheid is een mindset
Als er ondanks alles toch een cyberaanval opduikt, is het belangrijk dat bedrijven die snel detecteren en er gepast op reageren. Jeroen Fiers: ‘Een draaiboek moet aangeven wie wat doet bij een cyberaanval, hoe de impact beperkt kan worden, hoe en door wie er gecommuniceerd wordt, enzovoort.’ Cybersecurity is bovendien nooit afgerond, maar moet altijd up-to-date blijven.
Veiligheid is een belangrijk aspect geworden binnen een bedrijf. ‘Cybersecurity moet mee verweven zitten in de dagelijkse bedrijfsvoering’, besluit Patrick Hauspie. ‘Het is ook steeds vaker een belangrijke verkoopstroef. Een sterk cybersecuritybeleid wekt vertrouwen op bij klanten en leveranciers, en geeft ondernemingen veerkracht en een professionele uitstraling.’