Je cyberweerbaarheid verhogen: Hoe kies je de juiste cybersecurity oplossing?
Je bent MKB’er en omdat je dit artikel leest, weet je al dat het tijd is om meer te doen aan je cyberweerbaarheid - zij het omdat je klanten daarom vragen, zij het omdat je denkt aan de mogelijke risico’s. In dit artikel bespreken we hoe je de beste oplossing kiest voor jouw bedrijf. Het is immers belangrijk om niet te weinig te doen, maar je wil ook de kosten zo laag mogelijk houden.
In dit artikel bespreken we dus welke cybersecurity-oplossingen bestaan, en leggen we uit welke het beste passen bij verschillende typen bedrijven. We spraken hierover met twee experts:
- Raymond Bierens, Voorzitter Bestuur van Stichting Connect2Trust en PhD researcher.
- Marcel Spruit, professor Cyber Security and Safety bij De Haagse Hogeschool
Identificeren van zwakke punten in je systeem
Het begint allemaal met een grondig begrip van je huidige situatie. Marcel Spruit benadrukt het belang van het identificeren van je risico’s: "Wat zijn je kroonjuwelen? Wie heeft waar toegang tot en kunnen we dat regelen? Wat zou je willen dat er zeker niet gebeurt?"
Voor MKB-bedrijven in de maakindustrie kan dit betekenen dat je kritisch kijkt naar je productieprocessen, klantgegevens en intellectueel eigendom. Welke systemen zijn cruciaal voor je dagelijkse operaties? Welke gegevens zouden catastrofaal zijn als ze in verkeerde handen vallen?
Risico-evaluatie is een cruciale stap in het beoordelen van je cyberveiligheidssituatie. Hierbij gaat het niet alleen om technische risico's, maar ook om bedrijfsrisico's. Raymond Bierens legt uit dat het risico van een bedrijf afhangt van veel factoren:
- Hoe afhankelijk het bedrijf is van IT en de operationele omgeving?
- Hoeveel soorten gegevens (persoonsgegevens, bedrijfsgeheimen en intellectueel eigendom) worden er opgegeslagen?
- Wat is het dreigingsprofiel van de sector?
Beoordeling van je huidige cyberveiligheidssituatie
Hoewel we het MKB nu als een homogene groep behandelen, is natuurlijk niets minder waar. Raymond Bierens spreekt liever over laag-, midden- en hoog-volwassen bedrijven. Bij een bedrijf dat in de fabriek één computer heeft staan, die niet verbonden is aan het IT-netwerk, en waar het personeel vooral toegang moet hebben tot e-mail, Word en PowerPoint zou alleen gebruikgemaakt hoeven worden van de Microsoft 365-cloudoplossing. “Dat is eigenlijk het makkelijkste. De cloud is zo disproportioneel veel veiliger dan dat je zelf een IT-netwerk kan beveiligen. Daar is bijna niet tegenop te werken. Dan heb je nog steeds het vraagstuk wat voor jouw een goede en veilige cloud is, maar dat is een makkelijker keuzeproces," zegt hij.
De hoog-volwassen mkb-teams zullen we in dit artikel nauwelijks behandelen, want dat zijn bedrijven die hun eigen security-teams hebben. “Maar de moeilijkste groep zit hier tussenin: midden-volwassen. Bij Greenport (de tuinbouwcluster in Noord-Holland, red.) zitten daar veel. Dat zijn bedrijven die OT-software hebben die soms is aangesloten op het IT-netwerk. Ze hebben ook een IT-server in de kelder staan, en ze hebben een cloud-oplossing. Zij moeten gaan kijken: hoe belangrijk is IT voor mijn bedrijf en heb ik alles nodig wat ik nu gebruik?” Hij raadt aan dat deze bedrijven op zoek gaan naar een trusted advisor die hierbij kan helpen.
Factoren die zij in overweging zullen nemen, behalve het volwassenheidsniveau, zijn:
- Technische expertise binnen het bedrijf: De aanwezige technische expertise binnen je bedrijf bepaalt mede welke oplossingen haalbaar zijn. Is er weinig technische kennis aanwezig? Dat pleit voor eenvoudigere, beter beheerbare oplossingen.
- Compliance-eisen en regelgeving: Afhankelijk van je sector en de aard van je bedrijf, kunnen er specifieke compliance-eisen en regelgeving van toepassing zijn. NIS2 is bijvoorbeeld indirect op veel bedrijven in de maakindustrie van toepassing, zoals we uitleggen in dit artikel.
- Schaalbaarheid en toekomstbestendigheid: Bij het kiezen van een oplossing is het belangrijk om niet alleen naar de huidige situatie te kijken, maar ook naar de toekomst. Marcel Spruit benadrukt altijd dat het makkelijk is om de techniek met het bedrijf mee te laten groeien, maar je moet dan wel het organisatorische aspect in de gaten houden. Hij geeft als voorbeeld: “het regelen van eigenaarschap, goede autorisaties, confiugratiebeheer, patching, sleutelbeheer, back-ups, incident response, etc.”. Als steeds meer mensen toegang hebben tot alle systemen, dan creeër je kwetsbaarheden. Je moet mensen dus toegang geven tot de systemen die ze nodig hebben.
De eerste stap: het krijgen van inzicht in de technologie die jouw bedrijf gebruikt én nodig heeft
Marcel Spruit stelt dat het gebruik van technologie begint bij inzicht. "Als je nog niet eens weet dat er kabels liggen waar je ze niet verwacht, of als onderhoudsmonteurs met USB-sticks tussen computers en automatische systemen lopen, dan heb je nog een hoop werk te doen."
Hij vervolgt: "Daarna is de awareness nodig dat alle computers en automatische systemen niet van zichzelf cyberveilig zijn. Daar moet je aan werken. Digital Trust Centre (DTC) heeft vijf stappen geformuleerd voor het beveiligen van computers en automatische systemen. Als je daar nog weinig of niets aan hebt gedaan, dan zijn dat eigenlijk de eerste zaken die je moet regelen.”
Wat opvalt aan deze stappen, is dat ze niet direct ingaan op technische producten die je aan moet schaffen:
- Inventariseer kwetsbaarheden. Inventariseer de ICT-onderdelen, kwetsbaarheden en maak een risicoanalyse. Bij risico's kijk je naar beschikbaarheid, integriteit en vertrouwelijkheid.
- Kies veilige instellingen. Controleer de instellingen van apparatuur, software en netwerk- en internetverbindingen. Pas standaardinstellingen aan en kijk kritisch naar functies en diensten die automatisch 'aan' staan.
- Voer updates uit. Controleer of apparaten en software up-to-date zijn. Installeer beveiligingsupdates direct. Schakel automatische updates in zodat je apparaten en software voortaan altijd draaien op de laatste versie.
- Beperk toegang. Definieer per medewerker tot welke systemen en data toegang vereist is om te kunnen werken. Zorg dat toegangsrechten worden aangepast als iemand een nieuwe functie krijgt of bij de onderneming vertrekt.
- Voorkom virussen en andere malware. Er zijn vier manieren om malware te voorkomen: stimuleer veilig gedrag van medewerkers, gebruik een antivirusprogramma, download apps veilig en beperk de installatiemogelijkheden van software.
Duidelijk is dus dat technologische oplossingen de laatste stap zijn. "Eerst is inzicht en awareness nodig, dan komt het organiseren van cyberveiligheid en pas dan komen de technische hulpmiddelen om de hoek kijken. Dan kun je denken aan bijvoorbeeld firewalls, anti-malware, anti-spam en automatische patching."
Soorten cybersecurity-oplossingen
Welke soort cybersecurity-oplossingen zijn er, en heeft jouw bedrijf ze nodig? In de volgende tabel hebben we ze allemaal op een rij gezet. Heeft jouw bedrijf al deze oplossingen nodig om veilig te zijn? Waarschijnlijk niet.
Raymond Bierens waarschuwt: "Je kan een mooie SIEM-oplossing nemen, maar dat is duur en complex. Het werkt eigenlijk alleen als de rest al geweldig geregeld is." Als je niet weet wat een oplossing precies doet, dan heb je hem waarschijnlijk ook niet nodig. Alles begint bij een risico-analyse en daaruit zal moeten blijken wat je wel en niet moet beveiligen.
In het volgende overzicht hebben we de belangrijkste technologische oplossingen op een rij gezet, met de vraag welk risico het dekt en wanneer het niet relevant is.
| Oplossing | Beschrijving | Opgelost probleem en risico's | Minder relevant voor: | Voorbeelden van leveranciers: |
|---|---|---|---|---|
| Antivirus | Basissoftware tegen malware | Beschermt tegen virussen, malware, en andere kwaadaardige software. Risico zonder: infecties kunnen leiden tot gegevensverlies, diefstal van bedrijfsinformatie, of systemen die onbruikbaar worden. | Bij Microsoft 365 zit Bitdefender standaard in. |
|
| Firewall | Basis netwerkbeveiliging | Blokkeert ongeautoriseerde toegang tot het netwerk. Risico zonder: hackers kunnen gemakkelijker binnendringen en gevoelige data stelen of systemen beschadigen. | Bedrijven zonder eigen netwerk. |
|
| VPN | Veilige externe toegang | Biedt een beveiligde verbinding voor thuiswerkers. Risico zonder: onveilige verbindingen kunnen leiden tot onderschepping van bedrijfsgegevens. | Bedrijven zonder thuiswerkers, externe toegang tot bedrijfssystemen of die alleen in de cloud werken. |
|
| Cloudopslag | Veilige bestandsopslag en -deling | Voorkomt gegevensverlies en maakt veilig delen mogelijk. Risico zonder: verlies van belangrijke documenten bij apparaatfalen, onveilig delen van gevoelige informatie. | Bedrijven met zeer gevoelige data die on-premise moet blijven. |
|
| Wachtwoordmanager | Beheer van sterke, unieke wachtwoorden | Voorkomt gebruik van zwakke of hergebruikte wachtwoorden. Risico zonder: gemakkelijker te kraken accounts, potentieel domino-effect bij één datalek. | Zeer kleine bedrijven met minimaal gebruik van online diensten. |
|
| Multi-factor authenticatie | Extra beveiligingslaag voor accounts | Verhindert ongeautoriseerde toegang, zelfs als wachtwoorden gestolen zijn. Risico zonder: verhoogde kans op accountovernames. | Bedrijven zonder gevoelige online accounts of diensten. |
|
| E-mailbeveiliging | Bescherming tegen phishing en spam | Filtert kwaadaardige e-mails en voorkomt phishing-aanvallen. Risico zonder: verhoogde kans op succesvolle phishing-aanvallen, malware-infecties via e-mail. | Bedrijven die geen gebruik maken van e-mail voor communicatie. |
|
| Beveiligde backups | Regelmatige back-ups van belangrijke data | Beschermt tegen gegevensverlies door ransomware, systeemfalen of menselijke fouten. Risico zonder: permanent verlies van kritieke bedrijfsgegevens. | Bedrijven zonder eigen digitale gegevens of die volledig in de cloud werken met ingebouwde back-up. |
|
| Beveiligingsbewustzijn training | Educatie voor medewerkers | Vermindert risico op menselijke fouten in cybersecurity. Risico zonder: medewerkers blijven de zwakste schakel in beveiliging. | Eenmanszaken zonder personeel. | Er zijn zowel gratis als betaalde trainingen online te vinden, maar er bestaan ook gepersonaliseerde trainingen. |
| Updaten en patchen | Automatisch bijwerken van software | Dicht bekende kwetsbaarheden in software. Risico zonder: systemen blijven kwetsbaar voor bekende exploits. | Bedrijven zonder eigen IT-infrastructuur of die volledig beheerde diensten gebruiken. | Dit wordt meestal gedaan door een intern IT-team of de IT-beheerder. |
| Endpoint protection | Basisbescherming voor computers en mobiele apparaten | Beschermt tegen malware, ransomware en andere bedreigingen op eindgebruikersapparaten. Risico zonder: verhoogde kans op succesvolle aanvallen op individuele apparaten. | Bedrijven zonder eigen apparaten of die alleen thin clients gebruiken. | Afhankelijk van de benodigdheden. |
| MDR (Managed Detection and Response) | Uitbestede beveiligingsmonitoring en respons. Kan gezien worden als een uitbestede vorm van SOC-diensten die gebruiktmaakt van SIEM-technologie. | Biedt 24/7 bewaking en snelle reactie op bedreigingen door experts. Risico zonder: langzamere detectie en respons op aanvallen, potentieel grotere schade bij een incident. | Bedrijven met minimale digitale aanwezigheid of niet-kritieke data. | SBL Cyber Monitoring |
| SIEM (Security Information and Event Management) | Een gecentraliseerd systeem dat beveiligingsgegevens verzamelt, analyseert en correleert van verschillende bronnen in een netwerk om bedreigingen te detecteren en erop te reageren. Kan zowel door een interne SOC als door een externe MDR-dienst worden gebruikt. | SIEM lost het probleem op van vertraagde of gemiste detectie van complexe cyberaanvallen door real-time monitoring, analyse en waarschuwingen voor beveiligingsincidenten in de hele IT-infrastructuur. | Kleine bedrijven met een eenvoudige IT-infrastructuur, beperkte digitale aanwezigheid of niet-kritieke data. |
|
| SOC (Security Operations Center) | Uitbesteed beveiligingscentrum. Een SOC is een overkoepelende beveiligingsafdeling (een team) die vaak een SIEM-systeem gebruikt als een van zijn belangrijkste tools. | Centraal punt voor beveiligingsoperaties, incidentrespons en compliance. Risico zonder: gebrek aan gecoördineerde aanpak van beveiligingsincidenten, mogelijk niet voldoen aan sectorspecifieke regelgeving. | Kleine bedrijven zonder complexe IT-omgeving of specifieke compliance-eisen. |
|
Het testen van potentiële security-oplossingen
Voordat je een definitieve keuze maakt, is het verstandig om potentiële oplossingen te testen. Dit kan helpen om te bepalen of de oplossing daadwerkelijk past bij je bedrijfsprocessen en of je team ermee kan werken.
Na de selectie en implementatie van een oplossing, is continue monitoring en evaluatie cruciaal. Marcel Spruit benadrukt: "Welke oplossingen je ook kiest, er is bewaking en onderhoud nodig om de gekozen oplossingen op niveau te houden. De directeur is verantwoordelijk voor de organisatie en dus ook voor de oplossingen die worden gebruikt. De directeur kan dit natuurlijk delegeren, maar dan wel aan een medewerker die daar voldoende kennis van heeft, die er voldoende tijd voor heeft en die de directeur op de hoogte houdt. De directeur zal interesse moeten blijven tonen in dit onderwerp."
Conclusie
Het kiezen van de juiste cybersecurity-oplossing voor je MKB-bedrijf in de maakindustrie is geen eenvoudige taak. Het vereist een grondige analyse van je huidige situatie, een duidelijk begrip van je risico's en beveiligingsdoelen, en een weloverwogen afweging van verschillende oplossingen.
Raymond Bierens vat het treffend samen: "Het antwoord is altijd: 'dat ligt eraan'. Hebben we het over een cloud? Hebben we het over beheer? Heb je het zelf, doet een ander het?"
Marcel Spruit benadrukt het belang van een holistische benadering: "Cyberveiligheid begint bij eenvoudige maatregelen, maar als de automatisering groter, complexer en belangrijker wordt dan zijn er meer en complexere maatregelen nodig om cyberveilig te blijven."
Uiteindelijk gaat het erom een oplossing te kiezen die past bij jouw specifieke situatie en die je cyberweerbaarheid verhoogt zonder je bedrijfsprocessen te belemmeren. Door de adviezen van experts te volgen en een stapsgewijze aanpak te hanteren, kun je een weloverwogen keuze maken die je bedrijf beschermt tegen de steeds evoluerende cyberdreigingen.
Heb je behoefte aan vrijblijvend advies over jouw IT- en OT-infrastructuur en of je die goed hebt beveiligd? Neem contact met ons op. Bij SBL Cyber Monitoring zijn we altijd beschikbaar voor vrijblijvend advies - óók als blijkt dat jouw bedrijf geen MDR-oplossing nodig heeft.
Raymond Bierens is een vooraanstaand cybersecurity-expert en strategisch adviseur met meer dan 20 jaar ervaring in de sector. Als bestuurslid van het Dutch Institute for Vulnerability Disclosure (DIVD) en voorzitter van de Connect2Trust Foundation adviseert hij organisaties in zowel de publieke als private sector over digitale risico's en cybersecurity-strategieën, met name bij grote digitale transformaties. In zijn rol als onderzoeker aan de Vrije Universiteit Amsterdam ontwikkelt Bierens een digitaal risicomanagement-raamwerk om leiders en toezichthoudende organen te ondersteunen. Zijn onderzoek richt zich op de complexe relatie tussen bestuurders en technische teams, waarbij hij zich concentreert op het verbeteren van wederzijds begrip en effectieve samenwerking in het managen van digitale risico's.
Marcel Spruit is professor Cyber Security & Safety aan de Haagse Hogeschool, met meer dan 30 jaar ervaring in het veld. Hij leidt een onderzoeksgroep die zich richt op de menselijke factor in cybersecurity, met een focus op cybersecurity governance en bewustwording. Zijn onderzoek concentreert zich op non-profit organisaties zoals gemeenten, waterschappen en ziekenhuizen, waar hij onderzoekt hoe mensen en organisaties effectief gemotiveerd kunnen worden om cybersecurity-maatregelen te implementeren. Spruit's werk belicht de cruciale rol van menselijk gedrag en organisatorische processen in het versterken van cyberveiligheid, naast technische oplossingen.
