Vandaag in de serie ‘in de praktijk’: onze kijk op de noodzaak van cybersecurity voor een zzp’er of klein bedrijf. Ik (Michael) run nu al bijna 18 jaar een ICT-bedrijf, samen met mijn man Matti. Samen met collega’s helpen wij dagelijks zelfstandig ondernemers en middelgrote bedrijven (tot 20fte) met mooie ICT en Cloud oplossingen. En in het eerste gesprek komt vaak de beveiliging al naar boven.
Noodzakelijk kwaad?
In een van mijn voorgaande berichten schreef ik al dat ICT telkens verandert en dat al die kleine wijzigingen best een uitdaging kunnen zijn. Op het gebied van beveiliging is dat niet anders. Van een ingewikkeld wachtwoord, tot een extra handeling bij inloggen en “ingewikkelde” VPN-verbindingen zodat je niet meer zomaar even kunt inloggen op het bedrijfsnetwerk.
Nee, beveiliging is niet iets wat ondernemers en eindgebruikers als noodzaak zien en vaak ook niet als prettig ervaren. Maar hoe komt dat nou? Afgelopen week was ik te gast bij een ondernemer uit mijn netwerk. Direct bij binnenkomst vielen mij een aantal punten op. Zo hing het wachtwoord van de WiFi gewoon open en bloot op de tussendeur, stond er geen wachtwoord op de computer en was de printer zo geplaatst dat iedereen (aan de verkeerde kant) van de receptie de documenten kon zien en mee kon nemen.
En dat triggerde mij nogal: is hier niet over nagedacht? Of is dit zo ontstaan omdat het makkelijker is? In plaats van gezellig koffie te drinken en het te hebben over zijn aanstaande verhuizing (privé) kwam toch de consultant in mij naar boven… Gelijk onder het genot van een kop koffie en een appelflap (voor deze keer mocht het) maar even deze “issues” besproken.
Niet interessant voor criminelen?
En wat blijkt? Niemand had er echt bij stilgestaan dat de situatie een probleem was. Want “Wij zijn toch maar een klein bedrijf? We zitten met 4 mensen op kantoor. Wie wil er nou iets doen met onze data of hier binnenkomen en een document van de printer meenemen?”
En oké, midden in een dorp waar het ons-kent-ons gehalte vrij hoog is, zal de kans dat iemand een document van de printer meeneemt kleiner zijn dan in de randstad. Maar de kans bestaat wél. En het gebruik van één WiFi netwerk voor zowel bezoekers als de eigen apparaten, dat is natuurlijk ook vragen om problemen.
Beveiliging te duur?
Samen zijn we het bedrijfsproces maar in het kort door gaan nemen. Want als het bedrijf echt geen persoonsgegevens gebruikt en alle data die opgeslagen wordt niet gevoelig is, waarom dan maatregelen nemen? Ik zou het alsnog doen, maar oké.. Uiteindelijk zijn we samen tot de conclusie gekomen dat het bedrijf toch wel persoonsgegevens heeft opgeslagen en volgens de AVG een verwerker is. Wat betekent dat er maatregelen nodig zijn. En toen kwam het, de echte reden waarom er geen maatregelen zijn getroffen: “Daar hebben wij toch helemaal geen budget voor!” Een denkfout die zo ontzettend veel ondernemers maken. Beveiliging is belangrijk en beveiliging hoeft helemaal niet duur te zijn!
Goed huisvaderschap
Ik heb de eigenaar van het bedrijf uitgelegd wat er tenminste van hem wordt verwacht volgens de AVG-wetgeving: een goed “huisvader” zijn voor de data en alle maatregelen treffen die redelijkerwijs kunnen worden verwacht. Dat klinkt nogal vaag is het niet? En dat is het ook. Toch kun je veel doen om een goed huisvader te zijn, zonder grote investeringen. Voor een extra espresso heb ik samen met de eigenaar een begin gemaakt met een plan van aanpak.
Slim investeren
De printer.. die hebben we eerst maar eens een plankje omlaag gezet. Nu moeten ongenode gasten helemaal over de balie hangen om de documenten te kunnen zien. Dat was niet zo moeilijk! En de computers? Die bleken allemaal een lokaal gebruikersaccount te hebben, een gratis virusscanner en geen verdere beveiliging. Ik had geen ideeën in de hoge hoed zitten om dit zonder investeringen te veranderen. Daarom zijn we gegaan voor slim investeren / geld uitgeven. De computers hadden al Windows 10 Professional en via de website van Microsoft was ooit een keer Microsoft 365 aangekocht. Met een upgrade van het abonnement (+2 euro per maand) kon de computer al netjes aan Microsoft 365 worden gekoppeld. Het resultaat zou dan zijn dat iedereen een eigen bureaublad kreeg en de persoonlijke documenten in OneDrive terecht zouden komen. En nog veel belangrijker: de computers waren vanaf dat moment beschermd met een wachtwoord! Extra kosten: 6 euro per maand. Dat viel dus voor deze stap allemaal wel mee.
Nu bleef alleen de virusscanner nog over. En dat was best een uitdaging. Want op de ene computer zat nog Norton (uit de doos zo weggezet), de andere computer was gekocht via het OfficeCentre en had McAfee en de balie had helemaal niets.. Tsja. Dan moet er toch wel het een en ander gebeuren omdat allemaal netjes in lijn te brengen. Bitdefender heeft daar fijne oplossingen voor. “Maar dat gaat zeker veel geld kosten?” hoorde ik hem denken. Weer kon ik hem geruststellen: nee, dat gaat niet duur worden. We hebben goed gekeken wat er nu echt noodzakelijk is. En de virusscanner, firewall en harddisk encryptie waren echt een must. Door het pakket op maat samen te stellen kwamen we uit op een extra investering van ongeveer 20 euro per maand. Ook dat viel mee.
Neem privacy en security serieus
Uiteindelijk heb ik de eigenaar kunnen overtuigen: beveiliging is niet duur en een keiharde noodzaak. Tijdens een kopje koffie krijg ik echter niet alles geïnstalleerd en geregeld. Ik weet veel (al zeg ik het zelf), maar ik kan niet toveren. Daarom kwam een van mijn collega’s op een later moment langs om alles in orde te maken. En hebben we afgesproken dat we tijdens de volgende bak koffie de rest even aanpakken, want met alleen met het bovenstaande zijn we er nog niet. Maar het was gezellig, we vonden het beide leuk om te doen en de eigenaar is gerustgesteld: beveiliging is niet alleen voor grote bedrijven. Dat maakt het volgende gesprek een stuk makkelijker.