De meest gehoorde zin in mijn vak. En meestal de verkeerde.
In het kort
- "Wij zijn te klein, bij ons valt niets te halen" is de misvatting die ik het vaakst hoor.
- De meeste aanvallen kiezen jou niet uit. Een computer scant het hele internet af op open deuren, en jij komt voorbij.
- Voor een aanvaller hoeft je data niet waardevol te zijn. Hij gooit jouw spullen op slot, en jij betaalt om er weer bij te kunnen.
- Klein zijn maakt je vaak juist een makkelijker doelwit: dezelfde aanvallen, minder beveiliging.
- Het gaat niet om je grootte. Het gaat om de vraag of de deur openstaat.
In de vorige blogs van deze week legde ik uit wat er echt gebeurt als je netwerk niet goed beveiligd is, en waarom één plat netwerk een risico is.
Bij allebei kwam dezelfde tegenwerping naar boven. "Marcel, dat speelt vast bij grote bedrijven. Maar bij ons valt toch niets te halen?"
Dat is precies de zin waar ik het vandaag over wil hebben. Want ik hoor hem bijna elke week. En hij klinkt logisch, maar hij klopt niet.
Geen bangmakerij. Gewoon eerlijk uitleggen hoe het echt zit.
Waar komt dat idee vandaan?
Ik snap het wel, dat idee. Het voelt logisch.
Je denkt aan een hacker als iemand die een doelwit uitkiest. En waarom zou die voor jouw bedrijf van tien man kiezen, als er grote partijen zijn met veel meer geld?
Dus concludeer je: wij zijn te klein, ze hebben ons niet op de radar.
Het probleem zit in die ene aanname. Dat er iemand zit die kiest, want dat is bijna nooit zo.
Hoe kiezen aanvallers hun doelwit eigenlijk?
Eerlijk antwoord: meestal kiezen ze helemaal niet.
Vergeet het beeld van een persoon die jouw bedrijf uitzoekt. De meeste aanvallen draaien automatisch. Een computer scant dag en nacht het hele internet af, op zoek naar zwakke plekken.
Een verouderd apparaat, een open poort of een wachtwoord dat te makkelijk is. De machine kijkt niet wie je bent of hoe groot je bent. Hij kijkt alleen of er een deur openstaat.
Jij wordt niet uitgekozen. Je komt toevallig voorbij, en de deur blijkt open.
Dat is meteen waarom "te klein" niet helpt. Voor een geautomatiseerde scan ben je gewoon een adres met een zwakke plek. Net als alle andere.
GOED OM TE WETEN Een geautomatiseerde aanval kijkt niet naar je omzet of je grootte. Hij kijkt alleen of de deur openstaat.
Hoe groot die kans nou echt is, schreef ik eerder eerlijk op in hoe groot is de kans dat jouw bedrijf wordt gehackt.
"Maar bij ons valt toch niets te halen?"
Dit is de kern van de misvatting. En ik snap waar hij vandaan komt.
Je denkt: een aanvaller wil waardevolle data stelen. Wij hebben geen staatsgeheimen, dus voor ons hoeft hij niet te komen.
Maar zo werkt het meestal niet. De aanvaller hoeft jouw data niet waardevol te vinden. Het gaat erom dat jij hem waardevol vindt.
Hij steelt je gegevens niet per se. Hij gooit ze op slot. Je administratie, je orders, je tekeningen, je mail. Alles waar je morgen mee moet werken. En dan vraagt hij geld om het weer vrij te geven.
Jouw data is voor jou goud waard. Daar rekent hij op. Meer over hoe dat in de praktijk uitpakt, lees je in wat er écht gebeurt als ransomware toeslaat.
En er valt meer te halen dan je denkt
Even los van het gijzelen van je data. Er zijn nog twee dingen die aanvallers bij een klein bedrijf zoeken.
Je systemen als springplank. Een gekaapte server of mailbox van jou is handig om weer anderen mee aan te vallen. Jij bent dan niet het einddoel, maar het doorgeefluik.
Je verbindingen met klanten en leveranciers. Een mailtje vanuit jouw account wordt vertrouwd. Aanvallers gebruiken dat om bij je relaties binnen te komen, of om een valse factuur te sturen die er echt uitziet.
Dus zelfs als je vindt dat er bij jou weinig te halen valt: jouw toegang en jouw goede naam zijn op zichzelf al waardevol.
Ben ik als klein bedrijf juist niet makkelijker?
Eerlijk: ja, vaak wel.
Een groot bedrijf heeft een eigen IT-afdeling, een beveiligingsbudget en mensen die hier de hele dag op letten. Een kleiner bedrijf heeft dat meestal niet.
Dezelfde geautomatiseerde aanval komt bij jullie allebei langs. Alleen is de kans groter dat hij bij het kleinere bedrijf een open deur vindt.
Dat is geen verwijt. Je hebt een bedrijf te runnen, geen beveiligingsteam. Maar het is wel precies waarom "klein" je geen bescherming geeft. Eerder het tegenovergestelde.
Geldt dit ook voor een productie- of maakbedrijf?
Juist daar. En daar zit nog een extra reden.
Bij een productiebedrijf draait er geld zolang de machines draaien. Ligt dat stil, dan tikt elk uur dubbel aan. Dat maakt je een aantrekkelijk doelwit om te gijzelen, want de druk om snel te betalen is hoog.
En de gedachte "wij maken alleen maar [product X], wie wil dat nou hebben" verandert daar niks aan. Het gaat niet om wat je maakt. Het gaat erom dat jij niet stil kunt liggen.
Daarover schreef ik eerder in waarom je als maakbedrijf niet om cybersecurity heen kan.
"We hebben nog nooit iets gehad, dus het zal wel meevallen"
Dat hoor ik ook vaak. En ik snap het, want het voelt als bewijs.
Maar er zitten twee adders onder het gras.
De eerste: dat het nog niet is gebeurd, betekent niet dat het niet kan gebeuren. Het betekent alleen dat je tot nu toe geluk had, of dat je het simpelweg niet gemerkt hebt.
De tweede: een inbraak en de schade vallen vaak niet samen. Soms kijkt iemand al weken stil mee voordat hij toeslaat. "Nog nooit iets gehad" is dan eerder een gevoel dan een feit.
Of het bij jou nu goed zit, daar ging mijn eerdere blog over: is mijn bedrijf veilig tegen hackers.
Wat betekent dit dan concreet voor mij?
Geen paniek, en geen dichtgetimmerd fort. Wel de basis op orde.
De meeste van die geautomatiseerde aanvallen lopen vast op een paar simpele dingen. Twee-staps verificatie, zodat een gestolen wachtwoord alleen niet genoeg is. Apparaten die hun updates krijgen. Een back-up die los van je netwerk staat. En een firewall die meekijkt en je netwerk opdeelt.
Dat is geen grote verbouwing. Het is de open deur dichtdoen waar die scans op afkomen.
Je hoeft niet onneembaar te zijn. Je hoeft alleen geen makkelijk doelwit te zijn. De meeste aanvallen zoeken de weg van de minste weerstand. Zorg dat jij die niet bent.
Eerlijk: voor wie speelt dit minder?
Want zo eerlijk wil ik ook zijn.
Werk je echt in je eentje, met één laptop, zonder eigen netwerk, zonder klantgegevens en zonder apparatuur? Dan is je risico klein en is een zware aanpak waarschijnlijk overdreven.
Maar zit je met meerdere mensen op een netwerk, met klantgegevens, wifi en misschien een loods of productie? Dan ben je niet te klein. Dan ben je precies groot genoeg om een open deur te zijn.
Twijfel je waar jij staat? Daar denken we graag in mee.
Tot slot
"Wij zijn te klein om gehackt te worden" klinkt logisch, maar het rust op een verkeerd beeld. Dat er iemand zit te kiezen. In de praktijk kiest een geautomatiseerde scan niet. Hij zoekt een open deur, en je grootte doet er niet toe.
Het goede nieuws: je hoeft geen groot bedrijf te zijn om je hier goed tegen te wapenen. De basis op orde houdt het overgrote deel buiten.
Je hoeft er niet bang voor gemaakt te worden. Je moet alleen weten hoe het zit. En dat weet je nu.
Wil je weten of jij een open deur bent?
Gokken hoef je niet. Met een Cyber Threat Assessment kijken we precies hoe jouw netwerk ervoor staat. We plaatsen een week lang een apparaat in je netwerk en analyseren wat er gebeurt. Zonder dat je er iets van merkt en zonder impact op je productie.
Je krijgt een helder rapport: waar zitten de open deuren, en wat los je als eerste op. Geen verhaal, maar feiten over jouw situatie.
Laat een Cyber Threat Assessment uitvoeren →
Vind je dat een te grote stap? Plan dan eerst een kwartiertje met mij. Even je vragen langs, zonder verplichtingen.
Plan een kwartiertje met Marcel →
Waarom "wij zijn te klein om gehackt te worden" niet klopt