Perfect Day helpt dagelijks ondernemers om de basis cyberveiligheid van hun bedrijf op orde te brengen. Samen met Samen Digitaal Veilig bereiden willen ze ondernemers goed voorbereiden op de NIS2. Wij spraken met Thomas over updates, identiteitsfraude, huilende ondernemers en “autorijden zonder gordel”.
Thomas en Marc, jullie zijn op een feestje en iemand vraagt wat jullie doen voor werk. Hoe omschrijven jullie dat?
Thomas: ‘Ik ben cyber-expert bij Perfect Day. Wij helpen en scannen bedrijven, met name MKB-bedrijven, op het gebied van cybersecurity en privacy. We zorgen ervoor dat zij cyberveiliger worden en dat ook de medewerkers bewuster worden.’
Marc: ‘Ik werk bij Perfect Day. Ik ga naar mkb-bedrijven toe en op basis van een gesprek zorg ik ervoor dat ze meer inzicht krijgen in hun cybersecurity. Ik help ze te begrijpen waar de risico’s zitten en werk vervolgens samen met de ondernemer aan het veiliger maken van hun bedrijf.’
Hoe komen klanten bij jullie terecht?
Thomas: ‘Klanten komen bij ons via meerdere kanalen. We zijn onderdeel van Nationale Nederlanden, dus veel klanten komen via hun netwerk. We werken samen met verschillende verzekeringskantoren, zoals MEVAS die inzet op het cyberveiliger maken van de metaalsector’. We hebben klanten uit allerlei sectoren. We richten ons op een brede doelgroep, zowel binnen mkb als bij grotere klanten. Sectoren zoals de zorg, onderwijs, bouw, metaal-, en agrosector, en veel maakindustrie zijn vertegenwoordigd.’
Verzorgen jullie alles voor een bedrijf, van scannen tot implementeren?
Thomas: ‘Onze scope is vrij duidelijk. We richten ons op het auditen, onafhankelijk adviseren, en bieden diensten om awareness te verhogen. We scannen netwerken en helpen bij het op orde krijgen van AVG en noodprocessen. We zitten echter niet op de stoel van de IT’er, we hacken ook geen computers, maar blijven als onafhankelijke security adviseurs optreden.’
Marc: ‘We hebben wel verschillende partners voor intensievere tests zoals pentesten. We kunnen helpen met technisch advies na een audit, maar we doen de implementatie zelf niet. We leggen wel nadruk op de noodzaak van bijvoorbeeld een virusscanner, als dat nodig is.’
Wat verbaast jullie het meest in jullie werk op het gebied van digitale weerbaarheid bij mkb?
Thomas: ‘Klanten die blindelings vertrouwen op hun IT-leverancier en zich niet realiseren dat de veiligheidsmaatregelen ontoereikend zijn, blijven me verbazen. Het is verrassend hoe vaak bedrijven niet begrijpen wat cyberveiligheid inhoudt. Veel medewerkers werken wel met een computer, maar hebben nooit geleerd om daar veilig mee te werken. Zie het als wel leren autorijden, maar niet leren stoppen voor rood licht en een gordel omdoen. Ook op de digitale snelweg moet je leren wat veilig en onveilig is en je daartegen beschermen.’
Marc: ‘Onlangs verbaasde het mij hoe iemand volledig negeerde dat updates essentieel zijn en dacht dat ze alleen maar problemen veroorzaken. Dit is een gevaarlijke misvatting die wij proberen te corrigeren.’
Hoe gaan jullie om met klanten die pas in actie komen nadat ze getroffen zijn door cyberaanvallen?
Thomas: ‘Vaak is een directe ervaring met cybercriminaliteit een wake-up call voor bedrijven. Wij helpen hen dan om hun processen te versterken en meer proactieve maatregelen te nemen.’
Marc: ‘Ik heb gevallen gezien waarin bedrijven pas na een incident beseffen hoe kwetsbaar ze zijn. Het is ons doel om bedrijven te helpen zich te wapenen voordat er iets ernstigs gebeurt, maar soms is een incident de trigger die nodig is om actie te ondernemen.’
Wat voor verhalen van vervelende incidenten blijven jullie bij?
Marc: ‘Er zijn veel verhalen die ik zou kunnen vertellen over de impact van cyberaanvallen, maar er zijn er een paar die me echt bijblijven. Soms volwassen mannen, met een groot bedrijf die huilend aan de telefoon hangen. Omdat ze echt niet weten wat ze moeten doen.’
‘Eén verhaal gaat over een magazijnmedewerker, wat echt laat zien dat cyberdreigingen iedereen kunnen raken, niet alleen de hogere echelons binnen een bedrijf. Deze medewerker ontving een email die zogenaamd van zijn baas kwam. De baas zou bij een klant zijn en de deal zou gesloten zijn, maar hij had dringend Apple Pay cards nodig voor een waarde van 400 euro. De baas kon zogenaamd niet bellen of zelf de betaling regelen omdat hij geen bereik had en niet in zijn mail kon komen. Hij vroeg de medewerker om het geld voor te schieten en beloofde dat hij het die maandag terug zou krijgen.’
‘De medewerker, die in goed vertrouwen handelde, ging dus het weekend in, 400 euro armer, en je raadt het al, hij heeft dat geld nooit teruggezien. Dit verhaal raakte me diep omdat het laat zien hoe gewone, goedbedoelende werknemers slachtoffer kunnen worden van cybercriminelen. Het toont aan dat het belangrijk is om alle lagen van een bedrijf te trainen in cybersecurity, niet alleen de IT-afdeling of het management.’
Wat zou iedereen volgens jullie moeten begrijpen over cybersecurity?
Thomas: ‘Het belangrijkste is dat elk bedrijf risico loopt. Dat geldt ook voor bedrijven die zichzelf misschien niet als een interessant doelwit zien, omdat ze denken dat ze weinig omzet hebben of geen gevoelige gegevens bezitten. Cybersecurity is veel breder dan alleen de techniek; het omvat het geheel van maatregelen en processen. Bedrijven moeten proactief zijn en nadenken over wat te doen als het misgaat. Het valt me op dat binnen het mkb de noodprocessen zoals recovery of continuïteitsplannen vaak ontbreken, en dat ketenveiligheid niet serieus genoeg wordt genomen. Het is echt tijd om daarmee aan de slag te gaan. Zeker met de NIS2 wet die eraan komt.’
Marc: ‘Wat ik vaak merk is dat klanten onze adviezen soms onhandig vinden omdat ze gewend zijn dingen op een bepaalde manier te doen en dat werkt fijn. Maar wat makkelijk is voor jou, is vaak ook makkelijk voor een hacker. Het mkb moet dit echt gaan inzien: onze adviezen zijn niet bedoeld om het leven moeilijker te maken, maar juist om het veiliger te maken. Verder sluit ik me aan bij Thomas: cybersecurity is breder dan alleen de techniek. Als je je server in een bunker zet maar vervolgens het wachtwoord op een post-it schrijft en de deur niet op slot doet, dan ben je nog steeds kwetsbaar. Cybersecurity draait om een combinatie van techniek, proces, en menselijk gedrag.’