Magazines | Noord Limburg Business nr 4 2021

Alex Klaassen, IT Risk organisatie NewDay


Weer is er een grote hack in het nieuws: VDL. Weer wordt een grote organisatie vrijwel lam gelegd en loopt de bedrijfscontinuïteit gevaar. Weer wordt er door diverse gremia gewaarschuwd voor dit gevaar en weer blijkt uit allerlei onderzoeken dat er zeker in het mkb te weinig wordt gedaan én dat soms de meest basale maatregelen ontbreken. Al enkele jaren wordt geroepen dat 'het mkb' een 'sitting duck' is voor hackers en toch blijven de cijfers van het aantal mkb'ers dat succesvol is gehackt constant en hoog. De aanbieders van diensten die hulp bieden bij bescherming tegen deze risico's uiten zich ook veelal in dezelfde bewoordingen; het risico wordt pas echt serieus genomen op het moment dat het geen risico meer is maar een voldongen feit.

Hoe komt het toch dat zelfs een kleine moeite op dit vlak om dit soort risico's inzichtelijk te krijgen en te verkleinen of te elimineren zo lastig blijkt? Dit heeft in een aantal gevallen een hele plausibele verklaring. Eén daarvan is het gebruik van maatwerk automatisering. Veel mkb'ers zijn niet gisteren hun bedrijfsprocessen gaan automatiseren. Daar zijn ze soms al jaren mee bezig. Al voordat 'internet' en 'de cloud' een breed en bekend fenomeen was. Samen met softwareleveranciers is jarenlang een grote hoeveelheid kennis en geld geïnvesteerd om een applicatie te bouwen die specifiek is voor de bedrijfsprocessen van deze mkb'er.

In deze applicaties zit dus heel veel kennis, tijd en geld én ze leveren ook vandaag nog steeds veel toegevoegde waarde voor de desbetreffende onderneming. Ze zijn vaak echter niet gebouwd met behulp van de laatste technologieën en zijn soms zelfs niet gebouwd 'om aan het internet gehangen te worden'. Toch gebeurt dat. Men wil immers vooruit, maar men wil ook de gedane investering (en wellicht het concurrerend voordeel) niet weggooien. Dus is het vaak: "zo lang het goed gaat, gaat het goed". In de IT is vaak niks zo permanent als een tijdelijke oplossing.

Het merendeel van de 'gaten' in de afweer hebben nog vaak hun oorsprong in 'overblijfselen' uit letterlijk de vorige eeuw. Veel (grotere) softwareleveranciers zijn zich dit bewust en accepteren het dus niet meer als je bij hun software niet tijdig een update doorvoert of een 'security patch' installeert. In een verouderde versie blijven hangen, kan in deze gevallen vaak niet meer. Maar in andere gevallen wel. En dan kunnen er geen updates meer 'gedraaid' worden. Want dat wordt dan een hele nieuwe systeemimplementatie en dan kunnen er ook geen security patches meer worden doorgevoerd, want die zijn niet 'compatible' met de software in productie. Zie hier een beknopt voorbeeld van een 'sitting duck' voor een niet te overijverige hacker.

Wat te doen? Allereerst begint het met goed inzicht in de specifieke situatie, de risico's maar ook de mogelijke oplossingen met hun voor- en nadelen. Soms is het mogelijk om de verouderde applicatie 'stand-alone' te laten draaien (niet op het netwerk welke aan het internet is verbonden). Soms blijken er al standaardoplossingen te zijn die het maatwerk heel dicht naderen. Maar, zo hoor ik regelmatig, "daar hebben wij toch niet de tijd en kennis voor om dit allemaal goed uit te zoeken". Natuurlijk kom ik graag helpen, maar veel belangrijker is volgens mij dat deze mkb'ers zich meer gaan organiseren op dit vlak. We zien dat er allerlei overlegstructuren zijn bij banken, verzekeraars, accountants, ziekenhuizen en overheden, etc om (specifieke) kennis te delen en zich zo beter te kunnen wapenen tegen deze gemeenschappelijke dreiging. En met een toenemend succes. In het mkb zijn deze nog steeds (te) schaars en (te) beperkt in omvang. Wanneer gaat de rasondernemer, waar de gemiddelde mkb'er zich op laat voorstaan, eens gezamenlijk iets ondernemen om dit gevaar te keren en kijkt deze daarbij over de schutting van de eigen onderneming? Ik hoop snel, en help graag elk initiatief op dit vlak te ondersteunen.

delen: