“Wat valt er bij mij nou te halen? Nee, hackers gaan mijn deur wel voorbij, hoor. Ik heb geen dure ICT-beveiliging nodig.” Totdat ransomware de zaak op slot zet, of datadiefstal voor verlies en misschien zelfs boetes zorgt. Maar kan het wél goedkoop, en ook nog eens gemakkelijk?
Een ondernemer kijkt waar er kansen liggen en hoe hij (of zij) die zo efficiënt mogelijk kan grijpen. Efficiënt vertaalt zich daarbij zakelijk gezien naar de verhouding tussen ‘minimale inspanning’ versus ‘maximale opbrengst’. Economische factoren, waaronder de marktomvang, de mate van ontginning in die markt en het niveau van concurrentie, spelen hierbij een rol. Helaas gelden deze ‘regels’ ook voor cybercrime.
Een kwestie van ondernemen
Ook cybercriminelen pakken hun malafide zaken aan als ondernemers. Hun inspanningen kunnen al minimaal zijn dankzij voortschrijdende technologie, dankzij kant-en-klare tools (zoals hackpakketten, exploitkits en meer), en dankzij opgebloeide marktplaatsen voor gestolen data of e-commerce verstoring-op-bestelling (bijvoorbeeld middels massale DDoS-aanvallen). Er bestaat een ware ondergrondse economie, compleet met gespecialiseerde ecosystemen voor bepaalde soorten ‘business’.
Tegelijkertijd kunnen de opbrengsten voor deze criminele ondernemers fors zijn. Enerzijds fors door een grote klapper te slaan, anderzijds fors door de optelsom van vele kleine klusjes. Al die kleine klusjes worden immers volautomatisch uitgevoerd. Zie het als een grote bankkraak met tonnen of miljoenen als buit enerzijds en zakkenrollen anderzijds met enkele tientjes als opbrengst. Alleen valt laatstgenoemde criminele activiteit uit te voeren zonder noemenswaardige inspanning en met hoge snelheid bij grote aantallen slachtoffers. Dus vele tientjes per minuut als opbrengst.
Volautomatisch zakkenrollen
Bovenstaande optelsom van vele kleine klusjes vereist wel een geschikte markt om haalbaar te zijn voor de criminele ondernemer. Waar vallen er veel zakken te rollen? In de analoge wereld in een volle winkelstraat, op een drukke markt of goedbezocht congres. Je zal misschien denken: “Daar schiet je als zakkenroller niet heel veel mee op. Enkele tientjes, of hooguit een paar honderd euro misschien?” Maar wat als dat volautomatisch gebeurt, telkens als de lege portemonnee weer is aangevuld?
In de digitale wereld vereist succesvol ‘zakken rollen’ ook een volle markt: een terrein met vele, kleinere partijen. Zoals argeloze consumenten of bedrijven die niet veel expertise of middelen in huis hebben om goed op hun ‘portemonnee’ letten. In Nederland voldoet het omvangrijke MKB aan dit signalement. MKB-ondernemingen zijn dus rijpe doelwitten voor cybercrime.
Bovendien kan een initiële diefstal slechts het begin zijn. In de analoge wereld geven creditcards, pinpassen en andere inhoud van portemonnees toegang tot veel meer geld. Daarnaast geeft de gemiddelde portemonnee dankzij rijbewijs, id-kaart en toegangspas ook meer malafide mogelijkheden: zoals identiteitsfraude voor frauduleuze bestellingen. In de digitale wereld speelt een vergelijkbaar neveneffect: een eerste hack kan leiden tot verdere cybercrime. Bijvoorbeeld frauduleuze bestellingen bij webshops, plundering van bedrijfsrekeningen of diefstal van kostbare bedrijfsgegevens.
Geen Coca Cola-recept
“Cybercriminelen komen bij mij heus geen data stelen. Ik heb geen Coca Cola-recept.” Dit kan een reactie zijn op het laatstgenoemde gevaar van datadiefstal. Ook op dit gebied valt er in het grote Nederlandse MKB meer te halen dan veel mensen denken. Zo kunnen klantgegevens waardevol zijn, om daarmee – of daar – weer cybercrime te plegen. Het doel blijkt soms ‘slechts’ een middel te zijn.
Zo is er in Nederland zo’n vier jaar terug al digitaal ingebroken bij een bekend ondernemersplatform. Daarbij is het complete gebruikersbestand buitgemaakt. Kort daarna kregen de aangesloten ondernemers malafide mails die wel erg overtuigend waren, bijvoorbeeld aanmaningen uit naam van een echt bestaande deurwaarder. Dit waren stuk voor stuk phishingmails, om weer meer inloggegevens, data en bankrekeningen buit te maken. Tegenwoordig gelden voor dergelijke datalekken dan ook boetes, opgelegd door de Autoriteit Persoonsgegevens.
Beste klant = slachtoffer
Terwijl boetes voor datalekkage flink kunnen oplopen, dreigt er eerst nog een grotere schadepost. De ergere en directere impact van ransomware. Daarbij weten cybercriminelen de interne gegevens van bedrijven te gijzelen, door het met krachtige versleuteling ontoegankelijk te maken. De financiële administratie, dossiers van lopende projecten, planningsdocumenten, offertes, enzovoorts zijn dan gegijzeld. En welke klant hecht de grootste waarde aan die gegevens? Juist, de ondernemer zelf.
Meestal hebben ondernemers al genoeg aan hun hoofd. Namelijk hun eigen zaak, hun eigen activiteiten. Vaak hebben ze niet genoeg geld, tijd en ICT-kennis in huis om cybersecurity serieus aan te pakken. Immers, security komt vaak bovenop ‘gewone’ ICT, waar veel MKB’ers al niet zoveel kaas van hebben gegeten. Dit is geen negatief oordeel over ondernemers. Integendeel, want ze hebben wel andere dingen te doen: ondernemen, hun core business voeren.
Geen ontkomen aan
Toch ontkomen ondernemers niet aan cybersecurity. Correcter gezegd: ze ontkomen niet aan cybercrime. Want zoals hierboven al geschetst: het MKB is een grote, rijpe markt waar ondernemende cybercriminelen zich op storten. Cybercrime komt naar de ondernemer toe, deze winter. En komende lente, zomer, herfst, enzovoorts.
Eigenlijk net zoals eerder voorheen-complexe ICT-zaken zijn ‘afgedaald’ naar de zakelijke realiteit van gewone bedrijven. Met gewone bedrijven bedoel ik dus het gros van de Nederlandse bedrijfssector: middelgrote en kleinere ondernemingen die geen grote eigen ICT-afdeling hebben, willen of zich kunnen veroorloven. Toch gebruiken zij veel ICT en zijn ze daarvan afhankelijk voor hun reilen en zeilen.
Met je meedenkend
Gelukkig is er ook goed nieuws. Net zoals nuttige computers, handige toepassingen, slimme smartphones en meer digitale zaken gewoon in het bereik van MKB-ondernemingen zijn gekomen, zo is betere beveiliging tegenwoordig ook haalbaar – en betaalbaar. Het is zelfs afneembaar als dienst in cloudvorm, met betaling-naar-gebruik en bediening ingericht op eenvoud. Ter bescherming van het MKB, waar voor cybercriminelen wel degelijk wat te halen valt. Of je nu klein of middelgroot bent, groeiende of herijkende, met of zonder IT-expertise in huis. Het MKB heeft anno 2016 wél security nodig en gelukkig kan dat zonder enorme inspanning of rib uit het lijf.