/ Innovatie en startups / Waarom is uw mkb-bedrijf juist een doelwit voor ransomware ondanks dat u ‘niets te halen’ heeft?
Modern kantoor met medewerkers die samenwerken aan cybersecurity maatregelen op verschillende apparaten
maart 15, 2024

Uw mkb-bedrijf is geen bijvangst, maar het favoriete doelwit van cybercriminelen.

  • Criminelen jagen niet op ‘grote vissen’, maar op ‘laaghangend fruit’: makkelijk te kraken systemen met een gegarandeerde, snelle uitbetaling.
  • Uw data, hoe klein ook, is cruciaal voor úw bedrijfsvoering, en die afhankelijkheid maakt het waardevol voor afpersing.

Aanbeveling: Stop met denken ‘ik heb niets te halen’ en start met het dichten van de meest voorkomende digitale deuren die aanvallers gebruiken.

U bent een hardwerkende mkb-ondernemer. Cybersecurity voelt als een probleem voor de grote multinationals, niet voor u. ‘Bij mij is toch niets te halen’ is een veelgehoorde en gevaarlijke misvatting. U focust op uw klanten, uw product en uw groei, terwijl u de digitale beveiliging ziet als een kostenpost of een technische lastigheid die wel kan wachten. De standaardadviezen over sterke wachtwoorden en regelmatige back-ups kent u wel, maar de urgentie ontbreekt.

Maar wat als de dreiging niet gaat over de omvang van uw bankrekening, maar over de eenvoud waarmee uw bedrijf platgelegd kan worden? De realiteit is hard: voor een aanvaller bent u geen kleine vis, maar laaghangend fruit. Het businessmodel van ransomware is gebaseerd op volume, niet op trofeejacht. Een succesvolle aanval op tien kleine bedrijven met een relatief laag losgeldbedrag is vaak winstgevender en minder riskant dan één complexe aanval op een multinational. De waarde zit niet in wat uw data voor hén waard is, maar wat het waard is voor ú om uw bedrijf weer draaiende te krijgen.

In dit artikel doorbreken we deze mythes en kijken we door de ogen van een aanvaller naar uw bedrijf. We analyseren de concrete risico’s, van verouderde servers tot de psychologie achter CEO-fraude. We bieden geen abstracte waarschuwingen, maar strategische handvatten en concrete stappenplannen om uw verdediging wél op orde te krijgen, zonder dat het uw bedrijfsvoering verlamt.

Hieronder duiken we dieper in de specifieke kwetsbaarheden die uw mkb-bedrijf tot een aantrekkelijk doelwit maken en hoe u deze effectief kunt aanpakken. Elk onderdeel belicht een kritiek risicogebied met praktische oplossingen.

Inhoudsopgave: De Anatomie van Cyberrisico’s voor het MKB

Hoe dwingt u 2FA af zonder dat uw medewerkers klagen over gebruiksgemak?

Two-Factor Authenticatie (2FA) is een van de meest effectieve drempels tegen ongeautoriseerde toegang. Toch stuit de implementatie vaak op weerstand: medewerkers ervaren het als omslachtig en een hindernis voor hun productiviteit. De sleutel tot succes is niet het forceren van de strengste methode, maar het vinden van een balans tussen veiligheid en gebruiksgemak. De perceptie dat 2FA altijd onhandig is, is achterhaald. Moderne oplossingen zijn ontworpen om de frictie te minimaliseren.

De adoptie in Nederland groeit, maar is nog niet universeel. Volgens recent onderzoek is het gebruik van 2FA flink gestegen: waar in 2017 slechts 26% van de bedrijven 2FA had geïmplementeerd, was dit in 2024 toegenomen naar meer dan 61% van de Nederlandse bedrijven. Dit toont aan dat de noodzaak wordt erkend, maar ook dat er nog een aanzienlijk deel van het mkb kwetsbaar is. De uitdaging ligt niet alleen in de implementatie zelf, maar in een slimme uitrol die rekening houdt met de gebruiker.

Een strategische aanpak is cruciaal. Begin niet met een ‘big bang’ uitrol voor het hele bedrijf. Start gefaseerd, bijvoorbeeld met de IT-afdeling en het management. Kies voor gebruiksvriendelijke methodes zoals authenticator-apps (Google Authenticator, Microsoft Authenticator) die een simpele push-notificatie sturen. Combineer dit met Single Sign-On (SSO). Met SSO hoeven medewerkers slechts één keer in te loggen met 2FA om toegang te krijgen tot meerdere applicaties. Dit verhoogt de veiligheid aanzienlijk terwijl het aantal inlogmomenten juist daalt, wat de acceptatie enorm verbetert. Zorg daarnaast altijd voor een back-up optie, zoals SMS-verificatie, voor het geval een medewerker zijn telefoon verliest.

Is een cloud-backup voldoende om uw bedrijf te redden na een crypto-locker aanval?

De gedachte “mijn data staat veilig in de cloud” is een gevaarlijke geruststelling. Veel ondernemers geloven dat een standaard cloud-backup hen immuun maakt voor ransomware. De realiteit is echter dat cybercriminelen hun strategie hebben aangepast. Ze weten dat een bedrijf zonder back-ups eerder losgeld betaalt. Daarom zijn back-ups juist een primair doelwit geworden. Schokkende cijfers van cybersecuritybedrijven tonen aan dat bijna 96% van de ransomware-aanvallen zich specifiek op back-ups richt.

Een standaard cloud-synchronisatiedienst zoals Dropbox of OneDrive is geen échte back-upstrategie tegen ransomware. Als uw lokale bestanden worden versleuteld, synchroniseert de dienst deze versleutelde (en dus onbruikbare) bestanden naar de cloud, waardoor uw ‘back-up’ ook waardeloos wordt. Een aanvaller die toegang krijgt tot uw systemen, kan vaak ook bij de cloud-omgeving en de daar opgeslagen back-ups verwijderen of versleutelen.

Een robuuste verdediging vereist een meer geavanceerde aanpak, zoals de 3-2-1-1-0 backupregel. Dit is een uitbreiding van de traditionele 3-2-1 regel, specifiek ontworpen voor ransomware-bescherming. Het principe is als volgt:

  • 3 kopieën van uw data.
  • Op 2 verschillende media (bijv. een lokale NAS en de cloud).
  • 1 offsite kopie (fysiek op een andere locatie).
  • 1 immutable (onveranderlijke) kopie die niet kan worden gewijzigd of verwijderd, zelfs niet met beheerdersrechten.
  • 0 fouten bij het herstellen, wat wordt gegarandeerd door regelmatig de herstelprocedure te testen.

De ‘immutable’ kopie is hier de cruciale extra laag. Deze onveranderlijke back-up is de laatste verdedigingslinie die ervoor zorgt dat u altijd een schone, werkende versie van uw data kunt terugzetten, ongeacht wat de aanvaller probeert.

LastPass of KeePass: welke wachtwoordmanager is veilig én AVG-proof voor bedrijven?

Het gebruik van een wachtwoordmanager is geen luxe meer, maar een absolute noodzaak voor een veilige bedrijfsvoering. Zwakke, hergebruikte wachtwoorden zijn nog steeds een van de makkelijkste manieren voor een aanvaller om binnen te komen. De keuze voor een wachtwoordmanager roept echter vragen op, met name rondom veiligheid, gebruiksgemak en AVG-compliance. Twee veelgenoemde opties, LastPass en KeePass, vertegenwoordigen twee fundamenteel verschillende filosofieën: cloud-gemak versus lokale controle.

LastPass is een commerciële, cloud-gebaseerde oplossing die bekend staat om zijn gebruiksgemak. Het biedt functies als automatisch invullen, veilige wachtwoorddeling binnen teams en centrale beheerconsole voor de IT-beheerder. Voor AVG-compliance is een groot voordeel dat LastPass een verwerkersovereenkomst aanbiedt en werkt volgens een ‘zero-knowledge’ model, wat betekent dat zij zelf uw hoofdwachtwoord en de ontsleutelde data nooit kunnen inzien. KeePass is daarentegen gratis en open-source. De wachtwoorddatabase wordt lokaal opgeslagen als een versleuteld bestand. U heeft de volledige controle, maar bent ook volledig zelf verantwoordelijk voor de beveiliging, back-ups en eventuele synchronisatie tussen apparaten.

De keuze hangt sterk af van de technische kennis en de behoeften van uw organisatie. Zoals TechRepublic het verwoordt in een recensie:

KeePass is goed instelbaar en dat is ideaal voor gebruikers die veel ervaring hebben met IT. De uitgebreide aanpassingsmogelijkheden en de lokale opslag van KeePass zijn niet verkeerd, maar voor minder ervaren gebruikers kan de leercurve een uitdaging zijn.

– TechRepublic, TechRepublic recensie wachtwoordmanagers

Voor de meeste mkb-bedrijven zonder een grote IT-afdeling biedt een oplossing als LastPass een betere balans tussen hoge veiligheid, gebruiksgemak voor medewerkers en duidelijke kaders voor AVG-compliance. De verantwoordelijkheid voor de infrastructuur en security-updates ligt bij de leverancier, wat de interne last verlicht. De onderstaande tabel zet de belangrijkste verschillen op een rij.

De volgende vergelijking, gebaseerd op een analyse van de belangrijkste features, helpt u bij het maken van de juiste keuze.

Vergelijking LastPass vs KeePass voor bedrijven
Criterium LastPass KeePass
AVG/GDPR Compliance Verwerkersovereenkomst beschikbaar, voldoet aan AVG-vereisten Zelf verantwoordelijk als verwerker, lokale opslag
Gebruiksgemak Intuïtief, automatisch invullen, browserextensies Steile leercurve, technische kennis vereist
Opslag Cloud-gebaseerd met zero-knowledge encryptie Lokaal, geen cloud-synchronisatie standaard
Prijs Betaald abonnement vanaf €3/maand Gratis en open-source
2FA ondersteuning Uitgebreide MFA opties ingebouwd Beperkte 2FA mogelijkheden

Welk risico loopt u als u nog Windows Server 2012 draait na de end-of-life datum?

Het draaien van verouderde software is als het open laten staan van een achterdeur met een welkomstbordje voor inbrekers. Windows Server 2012 bereikte zijn ‘end-of-life’ (EOL) datum op 10 oktober 2023. Dit betekent dat Microsoft geen beveiligingsupdates, non-security updates, of technische ondersteuning meer biedt. Vanuit het perspectief van een aanvaller is dit een goudmijn. Elke nieuwe kwetsbaarheid die wordt ontdekt in de codebasis die Server 2012 deelt met nieuwere versies, wordt voor die nieuwere versies gedicht, maar blijft voor uw server een permanent en bekend veiligheidslek.

Hackers scannen het internet continu en geautomatiseerd op systemen met bekende kwetsbaarheden. Een server die nog op Windows Server 2012 draait, licht op hun dashboards op als een primair doelwit. Het risico is niet hypothetisch; het is een zekerheid dat er pogingen tot inbraak zullen worden gedaan. De gevolgen kunnen catastrofaal zijn: van een volledige dataversleuteling door ransomware tot de diefstal van gevoelige bedrijfs- en klantgegevens, met alle AVG-boetes en reputatieschade van dien.

Een volledige upgrade of migratie is de enige waterdichte oplossing, maar dit is niet altijd direct haalbaar voor elk mkb-bedrijf. Als een onmiddellijke migratie onmogelijk is, zijn er pragmatische maatregelen om het risico te beperken. Het isoleren van de verouderde server in een apart, afgeschermd netwerksegment (VLAN) is een cruciale eerste stap. Dit beperkt de schade als de server toch gecompromitteerd wordt, en voorkomt dat een aanvaller zich lateraal door uw hele netwerk kan bewegen. Daarnaast kan ‘virtuele patching’ via een Web Application Firewall (WAF) bekende aanvalspatronen blokkeren voordat ze de server bereiken. Dit is echter geen vervanging voor echte patches, maar een tijdelijke pleister op de wonde.

Actieplan: Audit uw verouderde systemen

  1. Inventarisatie: Breng alle systemen, software en applicaties in kaart en identificeer welke op verouderde besturingssystemen draaien.
  2. Documentatie: Documenteer voor elke verouderde server de exacte versie, de draaiende diensten en de kritieke afhankelijkheden met andere systemen.
  3. Risico-evaluatie: Evalueer de risico’s van elke verouderde component tegenover de impact op de bedrijfscontinuïteit als deze uitvalt of gecompromitteerd wordt.
  4. Kwetsbaarheidsanalyse: Identificeer de ‘single points of failure’ en de meest waarschijnlijke aanvalsvectoren voor deze specifieke systemen.
  5. Mitigatieplan: Stel een concreet plan op met een duidelijke tijdlijn voor migratie, vervanging of, als laatste redmiddel, isolatie van de verouderde systemen.

Wat dekt een cyberverzekering wel en niet als de aanval komt door menselijke fouten?

Een cyberverzekering wordt vaak gezien als het ultieme vangnet. Als het misgaat, betaalt de verzekeraar de schade wel. Deze gedachte is begrijpelijk, maar gevaarlijk simplistisch. Een verzekering is een onderdeel van uw risicomanagement, geen vervanging voor een solide beveiliging. Verzekeraars worden steeds kritischer en de kleine lettertjes in de polis zijn van doorslaggevend belang, met name als de aanval te wijten is aan menselijke fouten of nalatigheid.

De meeste polissen dekken directe kosten zoals het betalen van losgeld, de kosten voor forensisch onderzoek, dataherstel en juridische bijstand. Echter, de dekking kan komen te vervallen als blijkt dat er sprake is van ‘grove nalatigheid’. Wat hieronder valt, is vaak ter interpretatie, maar het niet implementeren van basisbeveiliging zoals 2FA, het negeren van software-updates op kritieke systemen, of het gebrek aan enige vorm van personeelstraining kan als zodanig worden aangemerkt. Een succesvolle phishingaanval door een ongetrainde medewerker kan leiden tot een moeizame discussie met uw verzekeraar.

Praktijkvoorbeeld: De VDL-groep cyberaanval

De aanval op de VDL-groep, een grote industriële speler in Nederland, toont de immense impact van ransomware. De aanval legde wereldwijd alle met internet verbonden productie stil. VDL koos ervoor geen losgeld te betalen en investeerde in een kostbaar en tijdrovend herstelproces door ‘schone’ data uit back-ups terug te plaatsen. Een belangrijke les uit dit en vergelijkbare incidenten is dat het mkb een significant doelwit is. Zoals blijkt uit een analyse van de VDL-aanval en de lessen voor het MKB, vindt 70% van de hackaanvallen plaats in het mkb, met een gemiddelde schade van €63.000 per incident. Dit bedrag omvat niet alleen directe kosten, maar ook productiviteitsverlies en reputatieschade.

Een cyberverzekering is dus geen vrijbrief om achterover te leunen. Verzekeraars eisen steeds vaker dat bedrijven kunnen aantonen dat ze een bepaald niveau van ‘cyber-hygiëne’ handhaven. Dit betekent dat u moet investeren in technologie, processen (zoals een deugdelijk back-up- en herstelplan) en mensen (training en bewustwording). Zonder deze basisinspanningen loopt u het risico dat u wel premie betaalt, maar bij een incident geen dekking krijgt.

Komt uw software-ontwikkeling in aanmerking voor de WBSO en hoeveel loonbelasting bespaart dat?

Veel mkb-bedrijven die innoveren, laten onbewust geld op de plank liggen. De Wet Bevordering Speur- en Ontwikkelingswerk (WBSO) is een fiscale stimuleringsregeling die een deel van de loonkosten en andere uitgaven voor Research & Development (R&D) compenseert. Dit is met name interessant voor bedrijven die zelf software ontwikkelen, maar de voorwaarden zijn specifiek. Het simpelweg ‘bouwen van een app’ komt niet in aanmerking.

De kern van een succesvolle WBSO-aanvraag voor softwareontwikkeling ligt in het aantonen van technische onzekerheid. U moet kunnen bewijzen dat uw team voor een technische uitdaging stond waarvoor de oplossing niet voor de hand lag of publiekelijk beschikbaar was. Het gaat niet om de functionele wens (“we willen een chatfunctie”), maar om de technische horde (“hoe zorgen we dat onze chatfunctie schaalbaar is voor 10.000 gelijktijdige gebruikers met end-to-end encryptie op onze bestaande infrastructuur?”).

De regeling is niet beperkt tot tech-bedrijven. Een productiebedrijf dat software ontwikkelt om een uniek machinepark aan te sturen, of een logistieke dienstverlener die een eigen planningsalgoritme creëert, kan ook in aanmerking komen. De besparing kan aanzienlijk zijn: voor de eerste €350.000 aan R&D-kosten (loon en overige uitgaven) bedraagt het voordeel 32% (voor starters zelfs 40%). Dit vertaalt zich direct in een lagere afdracht van loonbelasting. Een gedegen documentatie van het R&D-proces, inclusief hypotheses, experimenten en (juist ook mislukte) pogingen, is cruciaal voor de toekenning.

Hoe onderscheidt u een CEO-fraude mail van een echt verzoek van uw directeur?

CEO-fraude, ook wel bekend als ‘Business Email Compromise’, is een van de meest verraderlijke en effectieve vormen van social engineering. Het speelt niet in op technische kwetsbaarheden, maar op de menselijke psychologie: autoriteit, vertrouwen en de druk om snel te handelen. Een medewerker op de financiële administratie ontvangt een e-mail die afkomstig lijkt van de directeur, met een dringend en geheim verzoek om een groot bedrag over te maken. De gevolgen kunnen desastreus zijn. Dat dit geen zeldzaamheid is, blijkt uit onderzoek: ongeveer 76% van de mkb’s heeft al te maken gehad met een vorm van cyberdreiging, waarbij phishing en fraude-aanvallen prominent zijn.

Het herkennen van een frauduleuze e-mail vereist een combinatie van technische alertheid en procedurele waarborgen. Criminelen zijn meesters in het nabootsen van e-mailadressen (‘spoofing’) of gebruiken adressen die er bijna hetzelfde uitzien (bijv. ‘directeur@uwbedrijf.co’ in plaats van ‘.com’). Ze spelen in op een gevoel van urgentie en geheimhouding (“dit is voor een vertrouwelijke overname, niemand mag dit weten, het moet nu gebeuren”). Dit zijn de belangrijkste rode vlaggen.

De meest effectieve verdediging is het implementeren van strikte interne processen die menselijke impulsiviteit omzeilen. Een aantal praktische maatregelen zijn onmisbaar:

  • Het vier-ogen-principe: Implementeer een vast beleid dat voor alle betalingen boven een bepaald bedrag altijd autorisatie van een tweede persoon vereist is, ongeacht de afzender van het verzoek.
  • Een ‘safe word’: Spreek intern een codewoord af dat telefonisch of persoonlijk geverifieerd moet worden bij ongebruikelijke of urgente financiële verzoeken.
  • Training in psychologische triggers: Leer medewerkers de trucs van de aanvaller herkennen: het appèl op autoriteit, de gecreëerde urgentie en het verzoek tot geheimhouding.
  • Technische inspectie: Train medewerkers om de ‘message headers’ van een e-mail te inspecteren. Hierin is vaak de werkelijke, frauduleuze afzender te achterhalen, ook al lijkt de naam van de directeur in het ‘Van:’-veld te staan.

De kracht van CEO-fraude ligt in het omzeilen van technische verdediging. Daarom moet uw reactie primair gericht zijn op proces en menselijke alertheid.

Kernpunten om te onthouden

  • Uw MKB is een doelwit vanwege de ‘makkelijke’ toegang, niet de ‘grote’ buit.
  • Een simpele cloud-backup is onvoldoende; onveranderlijke (immutable) kopieën zijn essentieel.
  • Technologie (2FA, wachtwoordmanagers) is nutteloos zonder een duidelijke strategie voor implementatie en adoptie door medewerkers.

Hoe gebruikt u het STAP-budget (of opvolger) effectief voor een carrièreswitch naar IT?

De krapte op de arbeidsmarkt voor IT-personeel is een groot probleem voor het mkb. Tegelijkertijd zijn er veel professionals die een carrièreswitch naar de IT overwegen. Subsidies zoals het (inmiddels beëindigde) STAP-budget en diens opvolgers bieden een kans om deze kloof te overbruggen. Voor zowel de werkgever als de potentiële switcher is het zaak om strategisch te denken en niet zomaar een willekeurige cursus te kiezen.

De sleutel tot een succesvolle switch is niet alleen het aanleren van technische vaardigheden, maar ook de slimme combinatie met reeds aanwezige ervaring. Een marketeer die leert over data-analyse, of een projectmanager die zich certificeert in cybersecurity-principes, creëert een uniek en waardevol profiel. Dit wordt ook wel een ‘T-shaped professional’ genoemd: diepgaande kennis in één specialisme (de verticale balk van de ‘T’) gecombineerd met brede kennis en vaardigheden in aangrenzende gebieden (de horizontale balk).

Voor een effectief gebruik van een opleidingsbudget, of het nu een overheidssubsidie of een investering van het bedrijf is, zijn de volgende strategische stappen aan te raden:

  • Focus op erkende certificeringen: Kies voor opleidingen die leiden tot internationaal erkende certificaten zoals CompTIA A+, Microsoft AZ-900, of Google IT Support. Deze hebben directe waarde op de arbeidsmarkt.
  • Combineer met bestaande soft skills: Een carrièreswitcher brengt waardevolle vaardigheden mee, zoals communicatie, klantcontact of projectmanagement. Koppel de nieuwe IT-kennis expliciet aan deze bestaande competenties.
  • Bouw een portfolio: Theoretische kennis is belangrijk, maar praktische toepassing is cruciaal. Pas de opgedane kennis direct toe in persoonlijke projecten om een portfolio op te bouwen.
  • Anticipeer op de toekomst: Wees voorbereid op de opvolgers van het STAP-budget, die zich waarschijnlijk nog sterker zullen richten op cruciale sectoren zoals IT, techniek en de energietransitie.

Voor het mkb biedt dit een kans om talent aan te trekken dat niet alleen technisch onderlegd is, maar ook bedrijfskundig inzicht en relevante werkervaring meebrengt. Investeren in de juiste omscholing kan een zeer rendabele strategie zijn om het tekort aan IT-personeel aan te pakken.

Een carrièreswitch is meer dan alleen een cursus volgen. Het vereist een strategische aanpak. Om dit succesvol te doen, is het essentieel om te begrijpen hoe u een opleidingsbudget effectief inzet.

Veelgestelde vragen over WBSO voor MKB

Wat is het verschil tussen ‘software bouwen’ en technische uitdagingen voor WBSO?

WBSO is niet voor simpel programmeren maar voor het oplossen van technische onzekerheden. ‘Hoe zorgen we dat onze app met 10.000 gebruikers werkt?’ is een WBSO-vraag, ‘We bouwen een chatfunctie’ niet.

Komt interne software-ontwikkeling ook in aanmerking?

Ja, bijvoorbeeld een productiebedrijf dat software ontwikkelt om machines aan te sturen of een logistiek bedrijf met een uniek planningsalgoritme komt in aanmerking.

Hoe belangrijk is documentatie voor WBSO?

Cruciaal. Houd een R&D-dagboek bij met hypotheses, experimenten (ook mislukte!) en conclusies. Mislukte pogingen zijn juist sterk bewijs voor WBSO.

Geschreven door Ing. Joris Vermeulen, Ing. Joris Vermeulen is een IT-security expert opgeleid aan de TU Eindhoven met ruim 14 jaar ervaring in de ICT-sector. Hij adviseert bedrijven over databeveiliging en geeft trainingen over digitale vaardigheden en omscholing. Joris is gespecialiseerd in privacywetgeving (AVG), smart home security en programmeertalen zoals Python.
Hybride warmtepomp of ‘all-electric’: wat is de slimste tussenstap voor een woning uit 1980?
Hoe vindt u de juiste ‘Angel Investor’ voor uw duurzame tech-startup in de vroege fase?
Recente berichten
Waarom is uw achtertuin op het zuiden 5 graden heter dan die van de buren en wat doet u eraan?
Hoe sluit u uw toilet aan op een regenwaterput en wat bespaart dat op jaarbasis?
Dekt uw opstalverzekering de schade als uw kelder onderloopt door extreme regenval?
Waarom faalt 60% van de online cursussen en hoe houdt u de discipline wél vol?
Hoe gebruikt u het STAP-budget (of opvolger) effectief voor een carrièreswitch naar IT?
Soortgelijke berichten
Waarom een betaalbare woning in Brainport de ultieme carrière-uitdaging is (en hoe u die wint)
Therapie-app: vergoeding door de verzekeraar of een slimme eigen investering?
Is vertical farming in een leegstaand kantoor rendabel te krijgen met de huidige energieprijzen?
Kweekvlees of krekelburger: welk alternatief gaat de Nederlandse consument écht omarmen?