10 tips voor mkb’ers om cybercrime te voorkomen

Geef hackers geen kans

Onderneem veilig en bereid je voor op cyberincidenten. Je medewerkers spelen hierbij een sleutelrol, want als zij de risico’s niet inzien of slordig omgaan met de beveiligingsmaatregelen, gaat het snel mis. Deel onderstaande tips daarom ook met je medewerkers.
  1. Installeer systeem- en software-updates zo snel mogelijk
    Systeem- en software updates, ook wel patches genoemd, zijn aanpassingen in bestaande software of programma’s om bugs op te lossen of lekken te dichten. Als er zwakke plekken bekend worden van een systeem of software, horen hackers dat ook. Dus wacht niet en installeer updates onmiddellijk.
  2. Installeer een virusscanner en firewall en zorg voor automatische updates
    Een virusscanner
    spoort virussen die zich op je computer of netwerk bevinden op en verwijdert ze. Een firewall functioneert als een soort schild tussen jouw netwerk en het internet. Het voorkomt dat criminelen toegang krijgen tot je netwerk en apparaten. De Goudse adviseert Sophos Cloud Advanced InterceptX. Dit is een beveiligingsoplossing die bestaat uit antivirus, firewall, netwerkbeveiliging, bescherming tegen ransomware. De Goudse biedt dit kosteloos aan bij Cyberrisk. Je kunt het ook zelf aanschaffen via de Preventiezaak.
  3. Zorg voor sterk wachtwoord 
    Hoe meer tekens, hoe beter. Het beste zijn combinaties van hoofdletters, cijfers, speciale tekens en zinnen. Om het makkelijker te onthouden, kun je er een zin van maken (IkEetIedereDag4Boterhammen) en er nog een cijfer en een leesteken aan toevoegen. Bijvoorbeeld door de letter a te vervangen voor een @. Of een letter te veranderen in een cijfer. Je kunt ook een wachtwoordmanager gebruiken, zodat je zelf geen wachtwoorden hoeft te onthouden. (Bijvoorbeeld: 1password, sticky password, Lastpass of Dashlane)
  4. Open geen vreemde links of bijlagen in e-mails
    - Beweeg je muis boven een link om te kunnen lezen of die overeenkomt met de link-omschrijving. Let op bewuste spelfouten om eventuele bekende merken of namen na te bootsen.
    - Check of het e-mailadres van de afzender overeenkomt met het bedrijf of met het e-mailadres dat bij je bekend is. 
    - Sluit pop-ups direct af en klik er niet op. Hierdoor kun je namelijk malware installeren. Je kunt ook een pop-up-filter installeren om pop-ups te blokkeren.

    Steeds vaker wordt er
    ook via de telefoon informatie gevraagd over jou of je bedrijf (social hacking). Log daarom nooit op verzoek in op een website en geef nooit vertrouwelijke gegevens via de telefoon. Ook al klinkt het allemaal nog zo vertrouwd.
  5. Gebruik twee-staps-verificatie
    Door het instellen van twee-staps-verificatie voeg je een extra beveiligingslaag toe aan je e-mailaccount of clouddienst. Dit houdt in dat je, nadat je met je gebruikersnaam en wachtwoord bent ingelogd, nog een extra code moet invullen. Deze code kan je via e-mail, sms of app ontvangen. Hackers hebben dan aan je gebruikersnaam en wachtwoord alleen niet meer genoeg om toegang tot je account of cloud te krijgen. Een groot aantal e-mailproviders, clouddiensten en sociale media zoals Apple, Microsoft, LinkedIn, Facebook, Google en Dropbox, bieden deze twee-staps-verificatie standaard aan.
  6. Versleutel vertrouwelijke bestanden
    Versleuteld opslaan is een goede manier om ervoor te zorgen dat onbevoegden geen toegang hebben tot je gegevens, zeker als het om persoonsgegevens of vertrouwelijke informatie gaat. Dat kan met software van bijvoorbeeld Sophos, Eset en Kaspersky of met de gratis tools Bitlocker (Windows 10), 7-zip en AESCrypt. Bij het gebruik hiervan wordt er een sleutel (key) aangemaakt die nodig is om de documenten te ontsleutelen.
  7. Beveilig je website met een SSL-certificaat
    Dit certificaat herken je 
    aan ‘https://’ aan het begin van de URL, een slotje aan het begin van de URL-balk of een groene URL-balk. Hiermee wordt het gegevensverkeer van en naar je website versleuteld. Sinds juli 2018 is een website zonder SSL-certificaat gemarkeerd met de melding ‘niet veilig/not secure’. Een SSL-certificaat is dus niet alleen een noodzakelijke beveiliging, het laat ook zien dat je bedrijf veiligheid en privacy belangrijk vindt. Je kunt zo’n certificaat aanvragen bij je ICT-adviseur of een online certificaatautoriteit (zoals Comodo of Versio).

    Handig:
    met een quick vulnerability scan wordt via je ip- of webadres gescand hoe veilig jouw website is. Zijn er bijvoorbeeld openstaande poorten of lekken? Deze scan geeft een heel goed eerste beeld van de kwetsbaarheid. Met de uitslag kan je ICT-adviseur aan de slag.
  8. Beveilig je wifi-netwerk
    Beschikt je bedrijf over een wifi-netwerk, zorg dan dit goed beveiligd is. Als dit niet goed geregeld is, hebben buitenstaanders toegang tot je bedrijfsnetwerk(en). Hackers kunnen eenvoudig je bestanden en gegevens inzien. Of de internetverbinding misbruiken voor kwalijke zaken (versturen spam, kinderporno). Je kunt een WPA- (Wifi Protected Acces) of WPA2-beveiliging instellen op je router. De huidige modellen beschikken allemaal over WPA-beveiliging. Biedt je router geen WPA-beveiliging, dan is het aan te raden om een nieuwe aan te schaffen. Pas altijd het fabriekswachtwoord van je WPA(2)-beveiliging aan, hackers weten deze wachtwoorden eenvoudig te kraken.

    Belangrijk
    : zorg voor een apart wifi-netwerk voor je gasten. Zo hebben ze geen toegang tot je gegevens en voorkom je besmetting door virussen van apparaten van je bezoekers.
  9. Maak dagelijks een back-up
    Elk mkb-bedrijf dat afhankelijk is van ICT zou dagelijks een back-up van zijn gegevens moeten maken. Zorg dat je back-up extern wordt opgeslagen, dan blijft die beschikbaar na een brand, waterschade of hack. Met deze online data-back-up regel je dit eenvoudig en betrouwbaar.
  10. Maak een Incident Response Plan
    Hierin staat wat er moet gebeuren na een cyberincident. Zo’n plan helpt je snel en effectief te reageren, om schade te beperken en mogelijke betrokkenen te informeren. Ook toon je hiermee bij de Autoriteit Persoonsgegevens aan dat je zorgvuldig bent en je verantwoordelijkheid neemt

En als het toch misgaat...
Hoe veilig je ook werkt, cybercrime is niet altijd te voorkomen en kan veel geld en tijd kosten. Denk bijvoorbeeld aan het opsporen en repareren van een datalek en het herstel van systemen en gegevens. Daarom is het belangrijk dat je een verzekering afsluit waarbij onafhankelijke beveiligingsexperts je helpen met de preventie en het herstellen van de ‘schade’, en dat je een financiële vergoeding krijgt als dit niet mogelijk is.

Je slaat je data veilig op in de cloud. Heb je dan wel een cyberverzekering nodig?

Soms horen we: ‘Mijn gegevens staan in de cloud. Ze zijn veilig en ik heb dus geen cyberzekering nodig.’ Maar dat klopt niet. Hoe veilig de cloud ook is, cybercrime kan toch voorkomen. De mens is en blijft de zwakste schakel  in de beveiliging. Denk aan een medewerker die op een foute link klikt. 
Ook via ‘social hacking’ kunnen criminelen via de telefoon inloggegevens van je medewerkers ontfutselen en toegang krijgen tot je netwerk. Zo kunnen persoonsgegevens op straat komen te liggen. Volgens de privacywetgeving moet je kunnen aantonen dat je er alles aan hebt gedaan om dit te voorkomen en dat je beveiliging op orde is. En er moet worden vastgesteld wat de oorzaak van de inbreuk is en waar het datalek is ontstaan. Hiervoor is onderzoek nodig van onafhankelijke specialisten. Dit kost je al gauw € 200,- per uur.

Daarnaast heb je bijkomende kosten. Je moet je relaties informeren over het datalek, je kunt een boete krijgen van de Autoriteit Persoonsgegevens, het lek moet gerepareerd worden, je kunt aansprakelijk worden gesteld, het kan zijn dat je gegevens of systemen moeten worden hersteld en software moet worden vervangen.

Cybercrime kan je dus veel tijd en geld kosten. Hierbij helpt een clouddienst niet. Daarom is een goede Cyberverzekering zo belangrijk. Die helpt bij het voorkomen en het herstel van schade.

Cyberrisk van De Goudse

Ons Cyberrisk-product helpt je met het voorkomen en beperken van cybercrime. Krijg je er toch mee te maken, dan helpen wij je met het herstel. Als dit niet mogelijk is, ontvang je een financiële vergoeding.
Lees meer over Cyberrisk