Een degelijke security-oplossing bestaat voor elk budget. Althans, dat beweert Karel Dekyvere, chief security officer bij Microsoft. Hij probeert kmo’s te overtuigen van het belang van security.

Advertentie

 
Dat kmo’s niet altijd evenveel waarde hechten aan een solide beveiligingsbeleid, is al langer een probleem, legt Dekyvere uit. Ze onderschatten de risico’s waar ze als bedrijf aan worden blootgesteld en kunnen minder investeren in security dan een enterprise-bedrijf.
 
Bovendien wordt er stilaan een “security-moeheid” duidelijk: dag na dag worden ondernemers om de oren geslagen met hacks, malware en andere cyberaanvallen, tot er een soort fatalisme optreedt. Men raakt de constante waarschuwingen gewend, en als gevolg wordt het security-beleid nogmaals op een lager pitje gezet. Ten onrechte, want de gevaren blijven reël.

Drie security-risico’s voor de kmo

“We werken aan die bewustmaking,” verzekert Dekyvere. “We proberen onder andere met onze website CreateTrust.be uit te leggen wat de specifieke uitdagingen voor kmo’s nu net zijn, en hoe ze die zonder al te zware investering het hoofd kunnen bieden.” Die uitdagingen wijken niet erg af van de gevaren waarmee een groter bedrijf geconfronteerd wordt. Dat terwijl kmo’s kampen met een kleiner budget en beschikken over minder mensen om diezelfde bedreigingen af te weren. “Ze vallen uit de boot,” beaamt de CSO. Hij noemt de drie meest dringende risico’s waar kmo’s vroeg of laat mee te maken krijgen.
 
Allereerst de GDPR: de aanstormende privacywetgeving. Die treft zowel grote als kleine bedrijven, waardoor elke onderneming – ongeacht de grootte – moet zorgen dat hun data beschermd zijn. Bij een datalek moet immers kunnen worden aangetoond dat het bedrijf al het mogelijke heeft gedaan om de persoonsgegevens adequaat te bewaken. Zo niet, heb je kans op monsterboetes die 10 miljoen euro of tot 2 procent van de globale jaaromzet kunnen bedragen. “Met andere woorden, boetes die meteen de hele winstmarge van een kmo in beslag kunnen nemen,” verklaart Dekyvere.
 
Daarnaast de plaag van het moment: ransomware. Dankzij ransomware kunnen cybercriminelen bedrijven voor duizenden, zo niet miljoenen euro’s afpersen, zonder zelf veel werk en tijd te investeren. “Grotere bedrijven gaan zich sneller  beschermen met geavanceerde middelen,” voegt Dekyvere toe. “Veel kmo’s denken dat ze beschermd zijn door een online back-up, maar weten niet dat ransomware ook die gegevens kan versleutelen.”
 
Ten slotte is er social engineering. “Ettelijke miljoenen mensen in België zijn al bestolen geweest met behulp van het social engineering-model,” beaamt Dekyvere. Daarbij doen cybercriminelen zich voor als een leidinggevende, vaak via e-mail of telefoon. Ze overtuigen werknemers die toegang hebben tot de financiële middelen van het bedrijf een som geld over te schrijven. “Het is zo makkelijk om je er tegen te beschermen, maar je moet de juiste maatregelen implementeren.”
 
Daar wringt het schoentje. Want veel security-oplossingen zijn duur. Heel duur. Enterprises kunnen een mooi security-budget afromen van de winstmarges, maar die marges voor kmo’s zijn veel kleiner, en dus is er zelden ruimte voor state-of-the-art security-oplossingen. Gelukkig hoeft dat ook niet altijd. Er bestaan oplossingen op maat van de kmo, zegt Dekyvere, en die zijn aangepast aan het budget.

Is duurder beter?

Goedkopere oplossingen voor de kmo dus. Mooi, maar is het wel een goed idee om te besparen op beveiliging? Je krijgt immers altijd waar je voor betaalt, en zelden meer. Mogen we aannemen dat er een kwaliteitsverschil zit tussen de security-oplossing voor het budget van de kmo en dat van een enterprise?
 
“Ja en nee,” verduidelijkt Dekyvere onverstoord. “Het is logisch dat hoe meer geld je investeert, hoe beter je beveiliging is.” Hij vergelijkt het met een autoverzekering. Een chauffeur kan kiezen voor de omniumverzekering: ze zijn dan tegen bijna alles ingedekt, maar betalen ook een stuk meer. Voor sommige auto’s is het echter niet nodig om je voor zoveel geld te verzekeren. “Het is belangrijk dat je beslist wat je wilt beschermen. Daarom stem je je investering af op het risico dat je wilt dekken, en welk residueel risico voor jou doenbaar is.”
 
Daarnaast is het mogelijk om een degelijke bescherming te voorzien, ook met een klein budget. “Neem nu een disaster recovery-site: dat is verschrikkelijk duur. Je moet een tweede site voorzien, al je data verdubbelen, en dat vergt een budget waar de meeste kmo’s niet over beschikken. Daar is de cloud een oplossing.” In de cloud kunnen klanten een back-up maken van servers en virtuele machines. Zo kan het bedrijf rekenen op die kopieën als de fysieke servers het door een noodsituatie laten afweten, zonder te betalen voor het onderhoud van een fysieke disaster recovery-site.
 
Bovendien kunnen kmo’s besparen door het abonnementsmodel. “Dat is het voordeel van de cloud,” zegt Dekyvere. Door de cloud hoeven bedrijven niet meer te investeren in een on-premise infrastructuur of een aparte locatie voor disaster-recovery. Je betaalt daarnaast alleen voor wat je nodig hebt, aangezien de kosten bijvoorbeeld worden gebaseerd op het aantal gebruikers. “Tien of honderd werknemers; zo kan het een hoop geld schelen.”

Het ajuin-principe

Hoewel elke security-oplossing dus kan worden aangepast aan de noden van het bedrijf in kwestie, verzekert Dekyvere ook dat er enkele maatregelen zijn die elke kmo kan uitvoeren. “Maar wel volgens een ajuin-principe: in laagjes. Hoe meer stappen je uitvoert, hoe veiliger je het speelt.”
 
Eveneens kunnen veel kmo’s nog sleutelen aan hun beleid, iets dat doorgaans niets kost en toch veel problemen uit de weg kan helpen. Dekyvere geeft een voorbeeld. “Werknemers loggen nog steeds met een account die admin-rechten heeft. Dat maakt je kwetsbaar voor ransomware, aangezien alle accounts zo de rechten hebben om bijvoorbeeld programma’s meteen uit te voeren.” Zijn raad is dan ook om de doorsnee account zo weinig mogelijk rechten toe te kennen. Wanneer de gebruiker dan met een ransomware-aanval wordt geconfronteerd, is de impact miniem.
 
“Wat kost dat? Niets. Het is helemaal gratis. Het is perfect mogelijk om geavanceerde oplossingen te integreren: een volledige DRM-oplossing, data loss prevention, advanced threat protection, enzovoort. Maar uiteindelijk kan je als kmo al starten met enkele simpele dingen die al heel veel opbrengen,” concludeert Dekyvere.