Skip to main content

Cybersecurity

Page 7

Sunbytes – Partner Content

Wanneer een routinehandeling een cyberrisico wordt

Een sollicitant doorloopt drie gespreksrondes, slaagt voor coderingstesten en wordt aangenomen. Op de eerste werkdag blijkt de persoon niet te bestaan. Het gezicht was nep. De stem was nep. De identiteit volledig gefabriceerd. Het klinkt uitzonderlijk, maar het weerspiegelt een bredere verschuiving in cybersecurity. Dreigingen bewegen zich niet langer alleen via technische kwetsbaarheden. Steeds vaker komen ze binnen via gewone momenten die vertrouwd en routinematig aanvoelen: een link in een e-mail, een QR-code op een gedrukte pagina, een gedeeld document of een remote goedkeuringsflow. deepfakes te zijn, volledig gefabriceerde identiteiten. Wat de fraude blootlegde, was niet één tool maar een proces dat rekening hield met de nieuwe werkelijkheid. “Uiteindelijk was het ons proces dat ons beschermde, en niet per se de systemen die we hadden”, zegt Flobbe. Die ervaring bevestigde wat het bedrijf al langer zag: technologie alleen volstaat niet. Zonder heldere procesafspraken blijven zelfs geavanceerde beveiligingssystemen kwetsbaar voor sociale manipulatie.

Amanuel Flobbe, CEO, Sunbytes

V

oor Amanuel Flobbe, CEO van Sunbytes, is die les concreet. In één geval bleken twee kandidaatengineers voor een Amerikaanse klant

Weten waar je staat

Voor veel mkb-bedrijven ligt precies daar de uitdaging. Voordat ze de beveiliging kunnen versterken, hebben ze een helder startpunt nodig. Veel organisaties weten dat

Kunt u nu met zekerheid zeggen hoe kwetsbaar uw organisatie is? cybersecurity belangrijk is, maar missen een gestructureerd beeld van waar ze staan, wat er geraakt kan worden en wat als eerste aandacht verdient. Een pentest kan kwetsbaarheden blootleggen. Een scan kan problemen signaleren. Maar geen van beide geeft het management automatisch een basis om beslissingen te nemen. “Het gaat niet alleen om wat er technisch kwetsbaar is, maar of je als organisatie kunt

contentway.nl

07

uitleggen wat je positie is”, aldus Flobbe. Dat wordt zichtbaar zodra een klant, partner of verzekeraar vragen begint te stellen. Kan de organisatie haar huidige situatie met vertrouwen toelichten? Kan het management laten zien wat er is, wat ontbreekt en wat de volgende stap is?

Baseline vóór framework

Veel kleinere bedrijven gaan er nog van uit dat serieuze cybersecurity pas begint als kaders zoals NIS2 of ISO 27001 in zicht komen. In de praktijk vereisen die kaders voorbereiding, structuur en interne afstemming. Zonder een helder startpunt voelt dit vaak te groot of te ver weg om op te handelen. Precies daar kan een praktische baseline helpen. Mkb-bedrijven hebben niet direct meer tooling nodig, maar een helderder beeld van welke processen het meest blootgesteld zijn en wat als eerste aandacht verdient. Flobbe ziet dat als de kern van Sunbytes CyberCheck: organisaties helpen een fundament te bouwen waarop ze kunnen handelen, nog voordat formele compliance-vereisten in beeld komen. “We merken dat bedrijven pas grip krijgen als ze hun uitgangspositie kennen. Pas dan kun je gericht bouwen.” Voor groeiende bedrijven begint beveiliging niet met complexiteit. Het begint met weten waar je staat.

Zou u dit hebben gescand als u niet wist waar de code naar leidt? sunbytes.io

You Sure – Partner Content

Na de cyberaanval begint het pas echt Elke week verschijnen nieuwe organisaties in het nieuws: bedrijven, ziekenhuizen, gemeenten die getroffen zijn door een cyberaanval. De reflex is vaak dezelfde: betere beveiliging, meer tools, strenger beleid. Maar wat er gebeurt ná een aanval, hoe een organisatie financieel standhoudt en hoe snel ze weer operationeel is, blijft onderbelicht. Juist daar zit het verschil tussen snel herstel en langdurige schade.

C

ybersecurity wordt in veel organisaties nog primair als ITkwestie gezien. Erik Kolsteren, cyberspecialist bij verzekeringsadviseur You Sure, plaatst daar vraagtekens bij. “IT is vaak tooling, de inzet van middelen om een organisatie te beschermen. Maar alleen tooling is niet toereikend. Cybersecurity is geen IT-onderwerp, maar een kwestie van risicomanagement.”

Een breder bewustzijn

Die bredere benadering wordt steeds belangrijker nu aanvallers geraffineerder opereren. Generatieve AI stelt kwaadwillenden in staat om op grote schaal aanvallen uit te voeren. “Het kan net zo goed de bakker op de hoek zijn die op het verkeerde linkje klikt.” Door de schaalvergroting van cyberdreigingen moet elk bedrijf, van mkb tot multinational, zijn risicopositie serieus nemen.

Kolsteren signaleert dat het bewustzijn bij kleinere bedrijven achterblijft. “Bij grote corporates staat het onderwerp hoog op de agenda. Bij het mkb ontbreekt organisatiebreed draagvlak. Dan is de ITmanager leidend in de tooling, maar is het geen onderdeel van het organisatiebeleid.”

De verborgen kosten van een incident Een cyberincident veroorzaakt niet alleen directe schade. De kosten die organisaties onderschatten, zijn juist de moeilijk meetbare posten. “Reputatieschade is ook financiële schade”, stelt Kolsteren. Daarnaast zijn er incidentresponskosten, forensisch onderzoek en juridische bijstand. Wat eveneens wordt onderschat, is de afhankelijkheid van derden. Veel organisaties vertrouwen te sterk op ITleveranciers of cloudproviders. “Microsoft ziet niet wie er inlogt, want die hacker heeft

Ben jij voorbereid op een cyberincident? yousure.nl

de juiste credentials. Voor Microsoft is dat een geldige inlog.” Verzekeraars nemen inmiddels een actievere rol in. “Vroeger was je met één A4’tje al verzekerd. Dat kon geen stand houden.” Nu stellen ze striktere acceptatiecriteria en willen ze meekijken aan de voorkant van het cyberrisico.

Cybersecurity is geen IT-onderwerp, maar risicomanagement You Sure positioneert zich als kennispartner die begint met een nulmeting: waar staat de organisatie, wat zijn de kwetsbaarheden en wat zijn de financiële gevolgen van een incident? Een cyberverzekering is geen vervanger voor preventie, maar een aanvulling. “Zorg dat je basisbeveiliging op orde is en weet wat je doet als het toch misgaat.”

Kolsteren benadrukt het belang van testen. “We maken maatregelen, maar die moeten ook getest worden. Hoe betrouwbaar is een back-up die nooit is getest? Op het moment dat je hem nodig hebt, is het te laat.” Voor welke organisaties is een cyberverzekering onmisbaar? “Voor elk bedrijf dat de financiële schade niet zelf kan dragen. Incidentresponskosten lopen dermate snel op dat veel bedrijven dat niet uit hun vrije cashflow kunnen opvangen.” Zeker nu richtlijnen zoals NIS2 steeds meer verplichtingen scheppen, neemt de druk toe. “Stilzitten is geen optie. Cyberdreigingen blijven zich ontwikkelen en worden steeds geavanceerder.”

Erik Kolsteren, Cyberspecialist, You Sure

Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: and more. Sign up and create your flipbook.
Cybersecurity by Contentway - Issuu