“Waarom zou een hacker mij aanvallen? Bij mij valt toch niks te halen.”
Het zijn klassieke uitspraken van ondernemers die cybersecurity nog niet serieus nemen. Maar dat is een gevaarlijke vergissing. Juist kleine en middelgrote bedrijven zijn steeds vaker het doelwit van cybercriminelen. Waarom? Omdat het vaak eenvoudig is om binnen te komen én omdat de schade voor de ondernemer zélf wél groot is. Tijd om de vier meest gehoorde excuses te tackelen.
1. “Mijn IT-leverancier regelt de cybersecurity”
IT-leveranciers zijn onmisbaar voor je digitale infrastructuur, maar zijn ze ook verantwoordelijk voor je cybersecurity? In de meeste gevallen niet. Veel IT-contracten beperken zich tot hardwarebeheer, software-installatie en netwerkonderhoud. Security komt daar slechts deels in terug.
Wat ontbreekt vaak?
- Geen heldere afspraken over cyberbeveiliging in de contracten.
- Geen back-up restore tests.
- Geen awareness bij medewerkers.
- Geen afdekking van risico’s rondom SaaS, cloudopslag of slimme apparaten (IoT).
Stel jezelf (of je IT’er) deze vragen:
- Welke data is voor mij het meest waardevol – en hoe is die beschermd?
- Is er een noodplan bij een hack of datalek?
- Worden er restore tests gedaan?
- Voldoen we aan de AVG?
- Zijn thuiswerkplekken net zo goed beveiligd?
Een voorbeeld uit de praktijk:
Een bedrijf liet updates slechts twee keer per jaar uitvoeren. In de tussenliggende maanden werd er een beveiligingslek bekendgemaakt… en benut. De schade? Duizenden euro’s verlies én klantdata op straat.
2. “Al mijn data staat in de Cloud, dus ik zit goed”
Cloudopslag is handig en schaalbaar, maar niet automatisch veilig. Je maakt namelijk nog steeds verbinding via je eigen (mogelijk besmette) apparaten. Daarnaast is de verantwoordelijkheid voor de beveiliging deels jouw eigen taak – zeker bij bijvoorbeeld Microsoft 365.
Veelgemaakte misvattingen:
- “De cloudprovider maakt back-ups.” Niet altijd waar.
- “Mijn bestanden staan veilig.” Alleen als je ook MFA, VPN, rechtenbeheer én offline back-ups geregeld hebt.
Vragen om over na te denken:
- Staat je data op Europese servers? En wat zegt de SLA over aansprakelijkheid?
- Heb je back-ups buiten de cloud? En worden die getest?
- Wat gebeurt er als je geen internet hebt?
- Hoe goed is je wachtwoordbeleid?
Een praktijkvoorbeeld:
Een medewerker haalt onbedoeld ransomware binnen via een privé-laptop. Die besmetting synchroniseert direct met de cloud. Gevolg: alle documenten, ook die van collega’s, zijn gegijzeld.
3. “Bij mij valt toch niets te halen”
Een veelgehoord excuus. Maar cybercriminelen kijken niet naar hoe groot je bent, wél naar hoe makkelijk je te hacken bent. En alles wat voor jou waardevol is – bestanden, klanten, toegang tot systemen – kan worden gegijzeld.
Waarom juist jij doelwit bent:
- MKB en zzp’ers hebben vaak zwakkere beveiliging.
- Ransomware werkt: ondernemers betalen om weer aan de slag te kunnen.
- Hackers gebruiken jouw systemen voor aanvallen op anderen (botnets, spam, phishing).
Een praktijkvoorbeeld:
Een tomatenkweker kreeg te maken met hackers die de automatisering van zijn kas overnamen. De criminelen dreigden de instellingen te wijzigen, wat de oogst zou verpesten. Hij betaalde het losgeld – want de schade zou anders nog groter zijn.
4. “Wij verwerken geen persoonsgegevens”
Denk nog eens goed na. Heb je klanten? Medewerkers? Nieuwsbriefinschrijvers? Dan verwerk je persoonsgegevens. Zelfs alleen naam en e-mailadres zijn al persoonsgegevens volgens de AVG.
Waarom dit excuus niet opgaat:
- Een klein datalek kan al leiden tot boetes en reputatieschade.
- Zelfs ‘onschuldige’ gegevens kunnen waardevol zijn voor identiteitsfraude.
- Bedrijfsgegevens zijn ook interessant – en essentieel voor je continuïteit.
Een praktijkvoorbeeld:
Een hacker bestelde 20 iPhones op naam van een tandartspraktijk. De bestelling werd op het juiste adres bezorgd, maar stond open en bloot in de inbox van de praktijk – inclusief inloggegevens. Een gestolen mailbox was genoeg om dit op te zetten.
