Van cybersecurity kan je een toegevoegde waarde maken voor je bedrijf, vooral nu nieuwe wetgeving grote bedrijven verantwoordelijk maakt voor de situatie van hun leveranciers. SBL Cyber Monitoring sprak hierover met André Boer, directeur van Hi Delta.
In eerdere artikelen sprak SBL Cyber Monitoring al over wat nou echt de kans is dat je als mkb’er wordt gehackt, en wat de risico’s zijn als je wordt gehackt. Uiteraard is het belangrijk om cyberweerbaarheid te investeren om vervelende situaties te voorkomen, maar het moet geen last worden.
Wat kan je doen als mkb’er?
Bewustwording is de eerste stap
Veel mkb’ers geven cybersecurity niet de juiste aandacht. Dat is volgens André de grootste uitdaging. “Dat is logisch natuurlijk: mkb-bedrijven zijn heel druk bezig met hun product, met hun dienst. Dat staat voorop, dat is hun business. En cyberweerbaarheid verdwijnt dan snel naar de achtergrond.”
Maar deze houding kan gevaarlijk zijn. André waarschuwt: “Je hoort weleens verhalen van bedrijven waar data gegijzeld is, waar databases kapot gemaakt zijn, je hoort ook wel verhalen, serieuzer nog, van bedrijven die er failliet aan gegaan zijn.”
Ketenverantwoordelijkheid
Een interessant punt dat André maakt, is hoe cybersecurity een rol speelt bij het kiezen van leveranciers. “Ik zie dat grotere bedrijven op hun beurt in hun toeleveranciersketen vragen gaan stellen over cyberweerbaarheid,” legt hij uit. “De nieuwe NIS2-richtlijn wordt in sommige gevallen direct – wanneer je opereert in de maakindustrie en al een bepaald formaat hebt – en altijd indirect toepasbaar op het mkb. Want als je wil verkopen aan bedrijven op wie die wetgeving wel van toepassing is, dan zal je toch iets moeten doen.”
Dit biedt kansen voor mkb’ers om zich te onderscheiden. André voegt toe: “Als jij je klant gerust kan stellen omdat jij je cyberweerbaarheid goed op orde hebt, dan scoor je een extra punt.” En het tegenovergestelde is ook waar. Zo maakte André ooit de situatie mee waarin één van zijn leveranciers werd gehackt. Dat was een vervelende maar vooral ook ongemakkelijke situatie. Dat kan je beter voorkomen want je hebt wat uit te leggen bij je klanten.
Menselijke factor niet vergeten
Naast technische maatregelen benadrukt André het belang van de menselijke factor. “Negen van de tien keer zie je dat de problemen ontstaan omdat er iemand toch even op een linkje klikt of een fotootje downloadt of iets in die richting,” zegt hij. Regelmatige training en bewustwording zijn daarom cruciaal, want je personeel is niet alleen je zwakke, maar óók je sterke punt. Zij zijn degenen die snel doorhebben dat er iets raars gebeurt als ze daarop zijn getraind. Zij kunnen dus cybercriminelen tegenhouden.
Concrete stappen voor meer cyberweerbaarheid voor mkb’ers
André geeft twee concrete adviezen aan mkb’ers die aan de slag willen met cybersecurity:
- De eerste stap hoeft volgens hem niet ingewikkelder te zijn dan eens een middag of ochtend vrij te maken om naar een bijeenkomst te gaan van bijvoorbeeld het Cyberweerbaarheidscentrum voor de Maakindustrie Zuid-Holland van Hi Delta, al kunnen dat natuurlijk ook bijeenkomsten zijn van andere cyberweerbaarheidscentra.
- Zoek in je netwerk, of in het netwerk van Hi Delta, naar een bedrijf met de nodige expertise en kijk met hen naar jouw specifieke situatie.
- Maak samen met hen een plan en een roadmap over hoe je je cyberweerbaarheid kan verbeteren.
Hij zegt daarover: “Je leert veel bij zo’n meeting. Zo hadden we twee weken geleden een lezing van een expert die sprak over die nieuwe wetgeving, en welke impact dat zal hebben op bedrijven in de maakindustrie.” Ook is het belangrijk om te horen van anderen wat zij al hebben meegemaakt en om te bespreken of dat risico voor jou ook bestaat.
Hoe het plan er uiteindelijk uit komt te zien, dat zal verschillen van bedrijf tot bedrijf. “Voor het ene bedrijf zal het wat sneller moeten, en zij zullen meer moeten investeren dan anderen. Maar doe dat, maak zo’n roadmap en ga daar mee beginnen.”
Wat steek je op van zo’n meeting?
Een concreet voorbeeld van zo’n bijeenkomst is een presentatie van Katja Ottens, CFO van APM Terminals tijdens ZIE 2022. Zij sprak over de hack bij het bedrijf in 2017 en deelde haar ervaring. Een belangrijke les die daaruit te leren was, is niet zozeer het belang van het voorkomen van hacks, maar ook weten wat je moet doen als het wél fout gaat.
Katja Otten benadrukte het belang van voorbereiding: “Zorg dat je een business continuity plan hebt, en dat regelmatig oefent. Uiteindelijk helpt een goed beleid op het gebied van cybersecurity je bij toekomstige commerciële groei. Dus zie het niet als kostenpost, maar als een commerciële kans.”
Conclusie
Door deze stappen te volgen en cybersecurity serieus te nemen, kunnen mkb’ers niet alleen risico’s verkleinen, maar ook hun positie in de markt versterken. Zo wordt cybersecurity van een last tot een echte kracht voor je bedrijf.
