Inventarisatielijst Hoe bereid je je voor op een cyberaanval

Cybersecurity is een hot topic in de huidige digitale wereld. Steeds meer ondernemers maken gebruik van online diensten, platforms en apparaten om hun bedrijf te runnen en te laten groeien. Maar dit brengt ook nieuwe uitdagingen en gevaren met zich mee. De kans dat je als bedrijf geraakt wordt door een cyberaanval is 20% volgens de Kamer van Koophandel. Hoe zorg je ervoor dat je bedrijf veilig blijft in het cyberlandschap? Hoe kun je je voorbereiden op een mogelijke cyberaanval? En wat moet je doen als het toch misgaat? In deze tekst geven we je een aantal tips en adviezen om je cybersecurity op orde te brengen en te houden. Zo kun je je bedrijf beschermen tegen cybercriminelen en hackers die uit zijn op je data, geld of reputatie. 

Waarom zou je voorbereiden op een cyberaanval?

Cyberaanvallen zijn een reëel risico voor elke ondernemer, groot of klein. Uit gegevens van het CBS blijkt dat voornamelijk kleine bedrijven (1 tot 10 personeelsleden) slachtoffer zijn van cyberaanvallen, kenmerkend aan deze groep is dat de basismaatregelen hier vaak niet in orde zijn. Een cyberaanval kan leiden tot financiële schade, reputatieschade, juridische gevolgen of zelfs het verlies van je bedrijf. Daarom is het belangrijk om je voor te bereiden op een cyberaanval, zodat je de kans op een succesvolle aanval verkleint en de impact beperkt. Door voorbereid te zijn, kun je sneller en effectiever reageren als het toch misgaat.

Wat is het nut van een inventarisatielijst?

Een inventarisatielijst is een handig hulpmiddel om te weten welke ICT-onderdelen je gebruikt in je bedrijf en hoe je ze kunt beschermen tegen digitale gevaren. ICT-onderdelen zijn alle apparaten, diensten en programma’s die je nodig hebt om je werk te doen, zoals je computer, je telefoon, je e-mail, je website, etc. Als je een inventarisatielijst maakt, kun je zien welke ICT-onderdelen belangrijk zijn voor je bedrijf en hoe je ze veilig kunt houden.

Om een inventarisatielijst te maken, moet je eerst een lijst maken van alle ICT-onderdelen die je gebruikt of hebt. Denk bijvoorbeeld aan de volgende vragen:

• Welke apparaten gebruik je, zoals computers, laptops, tablets, smartphones, printers, scanners, etc.?
• Welke diensten gebruik je, zoals internet, wifi, cloud, e-mail, social media, etc.?
• Welke programma’s gebruik je, zoals software, applicaties, websites, webshops, etc.?

Als je alle ICT-onderdelen hebt opgeschreven, moet je per onderdeel meer informatie verzamelen. Denk bijvoorbeeld aan de volgende vragen:

• Wat zijn de kenmerken van het onderdeel, zoals het merk, het model, het serienummer, etc.?
• Waar bevindt het onderdeel zich, zoals thuis, op kantoor, in de auto, etc.?
• Wie heeft toegang (en welke rechten) tot het onderdeel, zoals jijzelf, je medewerkers, je klanten, etc.?
• Hoe is het onderdeel beveiligd, zoals met een wachtwoord, een pincode, een antivirusprogramma, etc.?
• Hoe ziet het onderhoud eruit voor dit onderdeel? Wordt dit automatisch gedaan of moeten er bijvoorbeeld manueel updates uitgevoerd worden?
• Tot wanneer wordt het onderdeel ondersteund? Worden er nog regelmatig updates voor gemaakt of wordt dit onderdeel niet meer ondersteund?
• Wie is verantwoordelijk voor het onderdeel, zoals jijzelf, je leverancier, je beheerder, etc.?

Deze informatie kun je opschrijven in een tabel of een spreadsheet. Zo krijg je een duidelijk overzicht van al je ICT-onderdelen en kun je makkelijker zien waar de risico’s en kwetsbaarheden zitten. Je kunt dan ook beter bepalen welke maatregelen je moet nemen om je ICT-onderdelen te beschermen tegen hackers, virussen, diefstal en andere digitale gevaren.

Een goed voorbeeld van een maatregel die je kan nemen na het opstellen van een inventarisatielijst is het scheiden van onveilige apparatuur. Heb je bijvoorbeeld een camera systeem die geen updates meer ontvangt of heb je een set slimme lampen die al jaren lang geen updates hebben ontvangen? Deze apparaten zijn een potentieel gevaar voor je zakelijke netwerk. Om het risico te verlagen van deze apparatuur zou je deze apparatuur kunnen scheiden in het netwerk zodat deze niet kan communiceren met zakelijke apparatuur.

Wat kun je nog meer doen om je bedrijf voor te bereiden:

Er zijn nog een aantal stappen die je kunt nemen om je voor te bereiden op een cyberaanval. Hieronder noemen we drie aanvullende stappen die je kunt nemen op de volgorde van prioriteit, begin dus met de eerste stap en werk toe naar de derde stap:

• Bellijst: Maak een bellijst van de personen of instanties die je moet informeren of inschakelen bij een cyberaanval. Denk bijvoorbeeld aan je IT-leverancier, je verzekeraar, je klanten, je leveranciers, de politie of de Autoriteit Persoonsgegevens. Zorg dat je de contactgegevens van deze partijen altijd bij de hand hebt en dat je weet wie je moet bellen en wat je moet zeggen. Het opstellen van een bellijst is een van de simpelste maatregelen die je kunt nemen die tegelijk veel effect heeft.
• Cyber calamiteiten plan: Maak een cyber calamiteiten plan waarin je beschrijft hoe je moet handelen bij een cyberaanval. Dit plan bevat onder andere de volgende stappen: detecteren, analyseren, isoleren, oplossen, evalueren en communiceren. Het is belangrijk om dit plan regelmatig te oefenen en te actualiseren, zodat je weet wat je moet doen in geval van nood. Een cyber calamiteiten plan hoeft geen boekwerk te zijn, enkele pagina’s met duidelijke uitleg voor je personeel kan al heel veel impact hebben bij een cyberaanval.
• Disaster recovery plan: Maak een disaster recovery plan waarin je beschrijft hoe je je bedrijfsprocessen zo snel mogelijk kunt herstellen na een cyberaanval. Denk na over welke processen essentieel zijn voor je bedrijf en hoe je deze kunt voortzetten of alternatieven kunt vinden. Maak ook afspraken met je IT-leverancier over hoe zij je kunnen helpen bij het herstellen van je systemen en data.

Welke basismaatregelen moet je nemen tegen een cyberaanval?

Naast het voorbereiden op een cyberaanval, kun je ook een aantal basismaatregelen nemen om een cyberaanval te voorkomen of te bemoeilijken. Hieronder noemen we er vijf:

• Update regelmatig: Zorg dat al je apparatuur, systemen en software up-to-date zijn met de laatste beveiligingsupdates. Zo voorkom je dat hackers misbruik maken van bekende kwetsbaarheden in verouderde software. Vergeet hierbij niet apparatuur die geen automatische update systemen hebben zoals de Bios van je computer of je telefoon installatie.
• Gebruik sterke wachtwoorden: Kies voor elk account een uniek en sterk wachtwoord dat bestaat uit minimaal 12 tekens met hoofdletters, kleine letters, cijfers en symbolen. Gebruik geen persoonlijke of makkelijk te raden informatie in je wachtwoord. Verander je wachtwoord regelmatig en gebruik een wachtwoordmanager om al je wachtwoorden veilig te bewaren.
• Maak back-ups: Maak regelmatig back-ups van al je belangrijke data en bewaar deze op een externe locatie of in de cloud. Zo voorkom je dat je data verloren gaat bij een cyberaanval of dat hackers deze kunnen versleutelen of verwijderen.
• Train je medewerkers: Zorg dat al je medewerkers zich bewust zijn van de risico’s van cyberaanvallen en hoe ze deze kunnen herkennen en voorkomen. Geef ze voorlichting of schakel een bedrijf in die voorlichting geeft over bijvoorbeeld phishing, malware, social engineering en veilig internetgebruik. Maak ook duidelijke afspraken over wie verantwoordelijk is voor welke taken op het gebied van cybersecurity.