Interview: georganiseerde cybercrime groeit, klein- en middenbedrijf onder vuur
Herman Peeters is Senior Global Consultant bij Experian. Namens de toonaangevende softwareontwikkelaar helpt hij bij het beheersen van de risico’s rondom de financiële kant van uiteenlopende ondernemingen te beheersen. En risicobeheersing anno 2020 is onlosmakelijk verbonden met cybersecurity. Om te achterhalen wat de meest recente criminaliteitstrends kunnen betekenen voor midden en kleinbedrijven, en daarmee jouw dienstverlening, doen weinig betere aanspreekpunten zich aan.
‘Volgens de studie van Forrester zijn gegevensdiefstal (58 procent), identiteitsdiefstal (47 procent) en overnamefraude (45 procent) momenteel de meest voorkomende soorten aanvallen in de EMEA-regio’, vangt Peeters aan. ‘Je kunt je voorstellen dat goed georganiseerde criminele organisaties eigenlijk ook werken met een ‘business plan’. Ze zijn zeer intelligent en weten met financiële middelen en geavanceerde technieken precies welke groep ze moeten aanvallen om marktaandeel te krijgen, te behouden of te vergroten.’
Maar als cybercriminelen zo slim en geavanceerd zijn, waarom vallen ze dan niet de grotere bedrijven aan?
‘Het klopt dat veelal de grootbedrijven, overheden en banken bovenaan hun lijst met doelwitten staan. Tegelijkertijd zijn dat ook vaak bedrijven die het gevaar van cybercrime 24/7 onderkennen en de financiële middelen en kennis in huis hebben om zich ertegen te wapenen. Uit het onderzoek van Forrester blijkt bijvoorbeeld dat meer dan de helft (51 procent) van de respondenten in EMEA van plan is om de komende drie jaar te investeren in oplossingen die gebruikmaken van kunstmatige intelligentie en machine learning om cybercrime tegen te houden. Dus als het voor de criminelen lastiger wordt om ‘marktaandeel’ te houden of krijgen in die hogere segmenten, dan is het een reëele kans dat ze hun business plan aanpassen en hun aandacht verplaatsen naar andere doelgroepen, waaronder het MKB.’
Stel: ik adviseer een kleinbedrijf. Bezit het MKB überhaupt over data die interessant kan zijn voor een georganiseerde cybercrimegroep of fraudeur?
‘Het gaat er niet om of het MKB iets te verbergen heeft, het gaat er meer om hoe interessant je bedrijfs- of persoonsgegevens en je activiteiten zijn voor een fraudeur. Ook binnen MKB Nederland bevinden zich heel veel ‘parels’ waar veel geld valt te halen. Criminelen richten zich hierbij vooral op bedrijven die veel exposure hebben en waarbij te achterhalen is wat de winstgevendheid is. Maar ook wie de directie voert en of er innovatieve producten worden ontwikkeld of verkocht zijn factoren waarmee de crimineel denkt het bedrijf of de eigenaar te kunnen oplichten of afpersen.’
Cybersecurity van veel kleinbedrijven gaat vaak niet verder dan het forwarden van een artikel of een gratis antivirusprogramma. Is dat wel voldoende?
‘Nee, ik denk dat dit niet voldoende is en dat weten de bedrijven vaak ook zelf. Zo is 86 procent van de bedrijven in EMEA van mening dat hun oplossingen voor fraudebeheer niet zo goed zijn als ze zouden kunnen en moeten zijn. Bij een gezonde bedrijsvoering staat de veiligheid en bescherming van goederen en medewerkers hopelijk centraal. Zo zijn een bepaald toegangsbeleid, het gebruik van camera’s en anti-diefstal-sloten gebruikelijk voor veel MKB’ers en geldt dit vaak voor alle lagen binnen het bedrijf.’ ‘Zo goed als het geregeld is in de fysieke wereld, zijn in de digitale wereld veiligheids- en beschermingsmaatregelen te vaak nog onderbelicht. Cybercrime is niet alleen de verantwoordelijkheid van de IT-afdeling en kun je niet alleen laten afhangen van een gratis antivirusprogramma. Ongeacht de grootte van je organisatie geldt dat het gedragen moet worden door iedereen binnen je organisatie. Bewustwording creëren is een eerste stap, het vasthouden en up-to-date houden vereist meer discipline, vooral van de eigenaar of het management. Ook hier geldt: voorkomen is beter dan genezen en goed voorbeeld doet goed volgen.’
Is er überhaupt een prijskaartje aan een risico – een mogelijkheid, een eventualiteit - te hangen? Hoe overtuig ik een partij van de waarde van een investering in cyberveiligheid?
‘De meerwaarde van een investering is ook hier een afweging van de investeringskosten versus de baten. Dit is per bedrijf verschillend. Een extern bedrijf kan helpen door een risk assesment te doen. Hierin dient niet alleen gekeken te worden naar de software (antivirus/anti-hack), maar ook naar de frauderisico’s binnen de hele keten.’
Het MKB werkt met beperkte budgetten, al helemaal wat betreft risk management. Waar begin ik te bepalen welke maatregelen en investeringen noodzakelijk zijn voor een bedrijf?
‘Als onderdeel van een risk assesment wordt gekeken naar de kans van een incident en het eventuele verlies dat hiermee gepaard gaat. Die combinatie bepaalt in feite waar je de prioriteit legt in je interne aanpassingen al dan niet ondersteunt met softwaretoepassingen. Een eerste investering is relatief klein: bewustzijn creëren en dit vasthouden bij medewerkers. Ze moeten beseffen dat ze, net als in hun privé-omgeving, ook in een zakelijke omgeving te maken krijgen met cybercrime. Maar ook investeren in goed personeel is belangrijk.'
'Om nieuwe fraudetrends te bestrijden zijn de ontwikkeling en toepassing van nieuwe technologie en vaardigheden nodig. Hierdoor kampen sommige bedrijven nu met een duidelijk tekort aan data-analisten op het gebied van fraude. Bedrijven bevinden zich in een digitale wapenwedloop met fraudeurs die grenzeloos opereren. Maar de uitdagingen zullen het tempo waarmee technologische veranderingen worden doorgevoerd duidelijk moeten versnellen.’
Over Herman Peeters
Herman Peeters is inmiddels ruim 25 jaar werkzaam op het vakgebied van credit management. Credit management definieert het managen van risico’s binnen de ‘credit lifecycle’ van een klant, van aanvraag tot order en van klantbeheer tot achterstandsbeheer. Frauderisico is hier onderdeel van uit. Als Global Consultant helpt Peeters bedrijven in Nederland en Europa bij vraagstukken die hiermee te maken hebben. De specifieke uitdagingen met fraudeproblematiek zijn voor velen niet voldoende bekend, vaak onbemind. Vandaar besteden Experian en Herman Peeters veel aandacht aan cybercrime.