Maar liefst 60 procent van de ondernemingen gaat binnen de eerste zes maanden na een cyberaanval failliet. Het wordt daarom hoog tijd dat bedrijven zich nog bewuster worden van de risico’s en consequenties van aanvallen. Het Programma Cyber Security Noord-Nederland is erop gericht dat bewustzijn te vergroten en concrete kennis, tools en expertise beschikbaar te maken mkb-bedrijven te helpen veilig te stellen “De noodzaak om actie te ondernemen is echt ontzettend groot”, zegt projectleider Annette Dupree.
Om uitdagingen rondom cybersecurity het hoofd te kunnen bieden, ging het Programma CyberSecurity Noord-Nederland van start: een samenwerking tussen de overheid en noordelijke kennisinstellingen, Rijksuniversiteit Groningen (RUG, penvoerder van het programma), Noorderpoort en Hanzehogeschool Groningen en de Stichting Cyber Security Centrum Noord Nederland. Dupree, projectleider bij de Hanzehogeschool: “Bij mkb-ondermers, en daar hebben we er veel van in de regio, is de schade door cyberaanvallen heel erg groot. Binnen dit programma richten we ons daarom specifiek op de veiligheid van het mkb.”
Er is nog steeds te weinig aandacht voor het probeem, zo vindt ook Joris Mellens, docent bij Hanzehogeschool Groningen en onderzoeker bij Cybersecurity Noord-Nederland. “Cybersecurity wordt over het algemeen niet gezien als heel ‘fancy’. Het is niet verleidelijk om geld eraan uit te geven. Het verbetert je product niet en is eigenlijk niet veel meer dan een verzekering voor je bedrijf. Maar kijk maar naar de cijfers: bewustwording is harder nodig dan ooit.”
Veilige wachtwoorden en slimme apparaten
Aan de ene kant richt het programma uit het noorden zich op mkb’ers in de breedste zin en met welke handreikingen zij hun digitale veiligheid kunnen verbeteren. “Eigenlijk hebben alle bedrijven baat bij deze kennis. Het is de kunst om informatie op een zo begrijpelijk mogelijke manier aan te bieden zodat zij zelf geen boeken meer door hoeven spitten”, zegt Mellens. “Denk aan kennis overdragen op het gebied van kantoorautomatisering en veilige softwareontwikkeling. Veel cyberaanvallen kunnen hierdoor eenvoudig worden voorkomen.“ In het kader van het programma worden daarnaast onder andere sessies voor ondernemers georganiseerd om hen van de risico’s bewust te maken en tegelijkertijd met dit soort makkelijk toe te passen adviezen te helpen.
Ook focust het programma zich op leveranciers, van bijvoorbeeld slimme apparaten zoals smartwatches, of andere apparaten die verbonden zijn met ‘internet of things (IOT)’. Een van de bedrijven waar het programma contact mee zocht om meer te weten te komen over de applicatie van cybersecurity is Climotion. Het bedrijf richt zich op climate control voor grote panden in de regio. Mellens legt uit: “Zij maken veel gebruiken van IOT-apparaten en hebben kleine hubjes om die apparaten mee aan te sturen. Ze verzamelen informatie om hun product te optimaliseren en dat moet veilig gebeuren. Wij zoeken met hen samen naar manieren om dat veilig te doen; om daarna met die kennis ook weer andere bedrijven verder te kunnen helpen.”
En niet alleen techniek staat bovenaan de prioriteitenlijst. Net zo belangrijk is het overdragen van kennis op juridisch vlak. “De combinatie van die twee in een programma is relatief nieuw in Nederland”, zegt Dupree. “Op juridisch vlak is er veel aan de hand. Denk bijvoorbeeld aan vragen als ‘wie is er aansprakelijk als het fout gaat met de slimme apparaten die je als winkelier verkoopt? ‘ Of: ‘hoe is het geregeld met de toegankelijkheid van data uit medische apps en apparatuur?’ Binnen het programma wordt daar onderzoek naar gedaan. De resultaten zijn straks ook weer beschikbaar voor ondernemers in het mkb.”
Zo vroeg mogelijk deteceren
Cybercriminaliteit staat niet stil; er ontstaan daarmee steeds nieuwe risico’s. Behalve bijdragen aan bewustzijn en (tools en werkwijzen voor) beperken en oplossen van risico’s, is het interessant te kijken wat er vroeg in het proces gedaan kan worden. Dupree: “Vandaar dat in het programma ook specifieker wordt gekeken naar hoe je veiligheid meer kunt inbouwen in het ontwikkelproces. Daar hebben dan niet alleen ict-ontwikkelaar van nu baat bij. Maar via het onderwijs ook de ontwikkelaars van morgen en overmorgen.”
Ook als het gaat om techniek wordt komende tijd het programma verder uitgerold. “We richten ons nu nog op het detecteren van kwetsbaarheden, maar komende jaren willen we verder werken aan ‘patching’: het automatisch oplossen van kwetsbaarheden en problemen in de software”, zegt Mellens. “Dat gaat nog een hele uitdaging worden. We hebben al een stagiair op het oog die daar mee bezig gaat.” Ook bij de andere onderdelen van het cyber security programma zijn studenten van verschillende mbo, hbo en wo-opleidingen betrokken.
Tips voor eigen gebruik
Tot slot geeft Mellens een paar handige tips die, hoewel simpel en eenvoudig toe te passen, nog steeds erg belangrijk zijn. “Ik heb onderzoek gedaan naar aanvallen op IoT-apparaten en het gros ervan komt doordat wachtwoorden nog steeds vaak te simpel zijn. Ga in plaats van een kort wachtwoord voor een zinnetje. Zorg ervoor dat je ten minste 12 tot 14 tekens gebruikt.” En een tweede tip, die van pas komt tijdens het browsen op het internet: “Als je inlogt, bijvoorbeeld op je bankpagina, let dan goed op het slotje links bovenin. Dat slotje betekent dat het verkeer tussen jou en de website versleuteld is, en er niemand met jouw webverkeer meeluistert.”