Ondernemers zijn zich nog steeds niet bewust van ICT-risico’s

Afgelopen maand was het weer raak… Deze keer was het Mandemakers Groep die slachtoffer werd van een ransomware aanval. Een groot deel van hun operationele systemen werd geblokkeerd en de hackers eisten losgeld.

In de media werd gedeeld dat klanten er weinig last van zouden hebben, dankzij back-ups. Zaakjes goed voor elkaar zou je denken. Maar zo eenvoudig is het meestal niet. Je kunt dan wel terugvallen op de reservekopie die is gemaakt, maar afhankelijk van wanneer de back-up is gemaakt, kan er alsnog veel data verloren zijn gegaan. Bovendien wordt er altijd gedacht in gegevens, maar dat is niet het complete verhaal. Je hebt immers ook nog:

  • Systeem software: werkt deze nog naar behoren. Hiervoor heb je bovendien een heel andere soort back-up nodig.
  • Werken je hardware en je applicaties nog?
  • Soorten data-back-ups: niet alle data is hetzelfde. Welke data is gewaarborgd bij een hack/gijzeling? Data uit een database of ook losse bestanden zoals teksten, spreadsheets en foto’s. Die kunnen minstens zo belangrijk zijn als de data uit je databases.

Niet vreemd dat wij klanten dus altijd adviseren en begeleiden om hun specifieke risico’s in kaart te brengen. Een ziekenhuis heeft ten slotte hele andere prioriteiten dan een winkelketen.

Na het ‘terugzetten van de back-up’ weer up and running?

De directeur van Mandemakers Groep was (zoals we in een artikel van Omroep Brabant konden lezen) optimistisch. Hij gaf aan dat er oudere versies van het systeem zouden worden gebruikt om hun systeem geleidelijk weer op te starten. Het hele schouwspel van de zijlijn volgend, vroegen wij ons toch wel een paar dingen af:

  • Hebben ze al vaker een back-up teruggezet en ook getest? Zal dit plan vlekkeloos verlopen?
  • Ze werken met oude gegevens, hoe gaan ze om met de ‘timegap’? (dit is de tijd die is verstreken tussen het maken en het terugzetten van de back-up. Dan kan het zomaar gebeuren dat je belangrijke gegevens van een werkdag mist. Of als je de back-up van een ICT-systeem terugzet, communiceert het dan nog wel op de juiste manier met andere systemen?).
  • Hebben ze wel door hoe lang het kan duren om systemen te herstellen? Hebben ze hier op voorhand een draaiboek voor opgesteld?
  • De berichtgeving in de artikelen op het internet worden regelmatig aangepast. Is dat om criminelen niet wijzer te maken dan ze zijn? Of moeten zij voortdurend bijsturen omdat er geen duidelijk protocol klaarlag?
  • En als ze dan weer up en running zijn. Hebben de criminelen geen achterdeurtje open gezet waarlangs ze later weer binnen kunnen komen?
  • Hebben criminelen vertrouwelijke gegevens kunnen inzien?

Dat deze vragen bij ons opkwamen en tot vooralsnog onbeantwoord blijven, zorgen ervoor dat we onze twijfels hebben of ze wel goed voorbereid waren. Dit zijn slechts enkele vragen die wij vooraf wél stellen wanneer we een risicoanalyse voor een klant maken.

Geen uitzondering op de regel

Mandemakers was helaas niet het enige bedrijf dat in juli gehackt werd. Wij zijn hier natuurlijk enorm alert op, maar voor wie ze in de media (begrijpelijk) over het hoofd heeft gezien; deze headlines waren de afgelopen maand ook in het nieuws:

  • ‘Universiteit Leiden gehackt en Iraanse criminelen willen geld zien’.
  • ‘In de USA zijn 200 bedrijven in korte tijd gehackt’.
  • ‘De Management Service Provider van Kaseya is gehackt. Deze software wordt door ICT leveranciers gebruikt om  ICT omgevingen op afstand te beheren en hun diensten te kunnen leveren’.

Struisvogelpolitiek

Voor heel veel ondernemers zijn dit soort risico’s helaas toch een ver-van-hun-bed-show. Ondanks de voorvallen die regelmatig in de media opduiken. Als wij met ondernemers praten, dan zijn sommigen toch wel onder de indruk, maar uiteindelijk halen ze een keer hun schouders op en gaan verder zoals ze altijd deden. Natuurlijk, het is geen leuk onderwerp en de meesten hebben geen idee waar te beginnen, daardoor steken velen liever hun kop in het zand.

De impact van hacking en gijzeling van gegevens op onze maatschappij is echter veel groter dan wordt gedacht en het is bovendien maar de vraag of je het als ondernemer gaat redden als je slachtoffer bent geworden van hacking.

Een aantal voorbeelden van mogelijke gevolgen: in de schappen van Albert Heijn lag een tijdje geen kaas. Ook een ICT-probleem bij een leverancier. Nu hebben we het over kaas, vervelend, maar geen ramp. Maar wat als het om medicijnen zou gaan? Of dat alle bruggen en spoorwegovergangen niet meer open of dicht kunnen? Of we kunnen niet meer betalen? Of we hebben net als in de USA geen brandstof om dat olieleidingen niet werken als gevolg van een hack?

En dan hoef je niet eens per se zelf gehackt te worden. Heb je er al eens over nagedacht wat er kan gebeuren als jouw ICT-leverancier of je accountant wordt gehackt?

We kunnen niet genoeg benadrukken hoe belangrijk het is om over jouw specifieke risico’s na te denken. Omdat we ook snappen dat je als leek op dit gebied door de bomen het bos niet ziet, niet weet wie je hierin moet geloven of vertrouwen. Bij No Corners nemen we daarom een onpartijdige rol in.  We verkopen geen ICT-producten, maar bieden alleen neutraal advies.

Wil je eens vrijblijvend kennismaken? Mail naar info@nocorners.nl, dan maken we een afspraak.