Beveilig je bedrijf: zo voorkom je dat je wordt gehackt

Dat bedrijf maakt software waarmee bedrijven hack-aanvallen kunnen monitoren terwijl ze gehackt worden. Daarmee kan BitSensor de software die door andere bedrijven wordt gemaakt beschermen. Het bedrijf haalde hiermee meerdere prijzen en 400.000 dollar aan investeringen binnen. Dings stopte met zijn opleiding aan de TU Eindhoven en steekt zijn tijd nu liever in BitSensor. “Ik heb het wel geprobeerd te combineren, maar op een gegeven moment moest ik mezelf eens goed aankijken”, vertelt hij. “Iedereen neemt ons serieus, waarom doe ik dat zelf niet? Een studie kan ik altijd weer oppakken, maar een kans zoals dit komt maar één keer langs.”

In eerste instantie richtte BitSensor zich op mkb’ers, maar nu werkt het bedrijf alleen voor grote bedrijven. “Een zzp’er of mkb’ers is voor een hacker eigenlijk niet zo’n interessant doelwit”, zegt Dings. “Het is voor een hacker namelijk ook een investering. Het is immers niet zijn hobby om bedrijven kapot te maken. Wat hij wil, is geld verdienen, dus dan ga je daarheen waar het geld te halen is.”

Foto: Bart van Overbeeke

Basiskennis

Dat betekent niet dat zzp’ers en mkb’ers op het gebied van digitale security achterover kunnen leunen. Toegang tot een computer en internet is noodzakelijk om het als ondernemer te maken. Dat maakt de ondernemer automatisch kwetsbaar. Voor zzp’ers geldt bovendien dat zij als persoon het bedrijf zijn. Hackpogingen gericht op consumenten, kunnen automatisch een zzp’er raken. Met name de plek waar je persoonsgegevens opslaat, bijvoorbeeld van klanten, is een risico. “Tegenover je klanten heb je de verantwoordelijkheid om voorzichtig met hun gegevens om te gaan.”

In tegenstelling tot grote bedrijven, kunnen mkb’ers of zzp’ers zelf weinig doen om een aanval tegen te gaan (tenzij je bedrijf zelf in de IT-sector werkt, natuurlijk), toch heeft Dings enkele tips. “Een hack voorkomen gaat vooral om bewustzijn”, zegt Dings. “Pas op met phishing, houd je software up to date en stop geen willekeurige usb-sticks in je computer. Het is basiskennis,” zegt Dings, “maar wordt soms wel vergeten. Mensen snappen wel wat ze wel en niet moeten doen, maar toch vallen ze voor dit soort trucs”, zegt hij. “Als ik een leuke usb-stick op straat laat vallen, weet ik zeker dat iemand ‘m oppakt. ‘Oh, 32 GB, even kijken wat er opstaat’. Je weet dat je ‘m eigenlijk niet in je computer moet stoppen, maar je hebt er toevallig net een nodig. Ja, dan is het al te laat.”  

Paniek

Pogingen tot phishing zijn, in tegenstelling tot hacks, vaak niet gericht op één bedrijf. Een nepmail wordt vaak aan heel veel mensen en/of bedrijven tegelijk gestuurd. Laat je niet verleiden, is het advies in het geval van phising. Maar laat je ook niet onnodig afschrikken. Niemand zegt dat hij in een nepmailtje van de bank trapt, maar toch gebeurt het. “Bij phishing raken mensen snel in paniek”, denkt Dings. “Hetzelfde geldt voor spookfacturen. Je valt ervoor, omdat je bang bent dat je anders een deurwaarder voor de deur hebt.”

“Neem als zzp’er een keer een cursus”, adviseert hij. “Mkb’ers zou ik aanraden om door een externe partij met kennis naar de bedrijfsprocessen en de IT-infrastructuur te laten kijken. Laat je liever van tevoren een keer adviseren zodat je weet wat je mist, dan dat je ervan uitgaat dat het niet fout gaat. Mkb’ers zijn mkb’ers omdat ze iets doen waar ze heel goed in zijn. Voor zzp’ers geldt hetzelfde. Besef dan ook dat je niet per se goed hoeft te zijn in security. Laat iemand anders daar goed in zijn.”

“Door zich bewust te zijn van de gevaren, hebben zzp’ers en mkb’ers de grootste risico’s al afgedekt”, zegt Dings. “Dan moet je wel heel veel pech hebben, als je niet in de IT zit, als je toch nog gehackt wordt. Voor bedrijven die veel persoonsgegevens beheren, betekent dit overigens wel dat ze extra op moeten letten.”

Open kaart

Waar bedrijven zich ook bewust van moeten zijn, is de meldplicht voor datalekken. Sinds 2016 is het in Nederland voor elk bedrijf, van zzp’ers tot multinationals, verplicht om een lek te melden. Er is niet alleen sprake van een datalek als een hacker inbreekt in je systeem, maar ook als je een usb-stick met klantgegevens kwijtraakt of per ongeluk een e-mail met persoonsgegevens naar de verkeerde klant stuurt. Mocht zoiets gebeuren, dan is het zeker niet iets om je voor te schamen, vindt Dings. “Ik denk dat je ervan moet leren”, zegt hij. “Het kan bij iedereen gebeuren. Je moet juist vertellen: wij zijn gehackt, dit is er gebeurd en zo probeerden we het te voorkomen. Dat is niet voldoende geweest, dus we gaan er op deze manier mee verder. Als je dat doet, laat je als bedrijf zien dat je er serieus mee bezig bent. Ik denk dat dat positiever is dan wanneer je er als bedrijf helemaal niets mee doet.

Toch kan het lastig zijn om je klanten te vertellen dat er iets is gebeurd. “Als je het publiceert ben je, zeker als zzp’er, kwetsbaar. Ik denk ik dat met name zelfstandigen vrezen dat ze klanten gaan kwijtraken, omdat ze bang zijn om als persoon afgerekend worden.” Dat risico bestaat natuurlijk, maar kun je wel verkleinen.

Laat dus zien dat je voldoende moeite hebt genomen om gegevens te beveiligen. Als je je klanten niet kunt vertellen hoe je hebt geprobeerd om een hack te voorkomen, zal de reputatieschade veel groter zijn. “Mocht het gebeuren, dan zou ik toch de eerste zijn die naar de klant toegaat. De impact hoeft niet groot te zijn als je open kaart speelt. Het is belangrijk dat je weet wat je doet, zodat de klant het van jou hoort, en het niet in het nieuws ziet.”