De veiligheidsbarometer 2019 van Vias Institute toont aan dat maar liefst 43% van de bevraagde (kleine en grote) ondernemingen slachtoffer geworden zijn van cybercriminaliteit de afgelopen twaalf maanden. Hierbij gaf ook 38% toe niet voorbereid te zijn op cyberaanvallen, noch een plan van aanpak te hebben indien er zich toch een dergelijk incident voordoet. Het is trouwens een illusie om te denken dat alleen grote ondernemingen getroffen worden: kmo’s zijn vaak het geliefkoosde slachtoffer omdat zij dikwijls het minst goed zijn voorbereid hierop.
Mr. Franklin geeft dan ook graag een vijftal tips waarmee je jouw onderneming sterker kan wapenen tegen cybercriminaliteit.
Tip 1: implementeer passende technische en organisatorische maatregelen
Het spreekt bijna voor zich, maar met een up-to-date IT-infrastructuur kan je al veel problemen vermijden. Update dus steeds tijdig (automatisch) je software, je antiviruspakket en je firewall. Neem ook regelmatig back-ups en bewaar deze op een afzonderlijke en goed beveiligde server.
Zorg daarnaast voor een sterk wachtwoordbeleid, waarbij iedereen binnen jouw onderneming een strikt persoonlijk wachtwoord kiest dat voldoende lang (bv. wachtwoordzin) en ingewikkeld (letters, cijfers, tekens) is en dat op regelmatige basis verplicht moet gewijzigd worden.
Verder doe je er goed aan jouw personeel bewust te maken van cybercriminaliteit en hen te leren om steeds alert te zijn voor “verdachte” zaken (bv. phishing e-mails herkennen). Een policy die bepaalt wat te doen bij incidenten kan belangrijke tijd winnen op een kritiek moment.
Tip 2: Maak je onderneming GDPR-compliant
Een van de grootste risico’s van een cyberaanval, is dat (persoons)gegevens kunnen gestolen worden, misbruikt of verloren gaan. Het implementeren van een goed databeleid is belangrijk ik een onderneming. GDPR-compliancy is een must!
De GDPR legt aan de ondernemingen op om naast technische en organisatorische maatregelen ook volgende documenten op te maken in het kader van een privacy-beleid: een privacy policy, een intern privacybeleid voor werknemers, een verwerkingsregister, een datalekkenregister en een data retention policy. Werk in je interne privacybeleid zeker een doordachte procedure uit om efficiënt met datalekken om te gaan. Zodra je met al deze zaken in orde bent, is je onderneming sterker gewapend tegen cyberaanvallen en dus ook tegen datalekken. In een worst-case scenario kan je daarenboven verantwoorden dat je de nodige maatregelen hebt genomen en zo GDPR-sancties ontlopen.
Tip 3: verzeker je onderneming tegen cyberrisico’s
Het risico om slachtoffer te worden van cybercriminaliteit kan je helaas nooit 100% uitsluiten. Daarom is het zeker geen nutteloze kost om jouw onderneming hiertegen te verzekeren. De ene onderneming loopt uiteraard veel grotere risico’s dan andere (bv. bakkerij vs. bank) dus zoek zeker naar een polis die op maat van de specifieke behoeften van jouw onderneming gesneden is.
Enkele voorbeelden van veelvoorkomende cybercriminaliteit zijn phishing en cybersquatting.
Tip 4: meld de cyberaanval en/of het datalek
Ben je ondanks alle mogelijke preventieve maatregelen toch onverhoopt slachtoffer geworden van een cyberaanval? Heeft de bescherming tegen cyberaanvallen niet gebaat? Meld je datalek bij CERT.be. Je kan er ook onmiddellijk technische ondersteuning krijgen. Een datalek melden is verplicht onder de GDPR.
Zijn er ook persoonsgegevens gelekt? Dan ben je als slachtoffer van een cyberaanval verplicht om het datalek intern te registreren in je datalekkenregister. Vooreerst moet het incident geëvalueerd worden. Hierdoor kan de gratis tool Dr. Breach gebruikt worden. Bovendien moet je het datalek ook extern melden aan de Gegevensbeschermingsautoriteit binnen de 72 uur na vaststelling van het datalek, dus stel dit zeker niet nodeloos uit. Indien het datalek bovendien een hoog risico kan inhouden voor de betrokkenen, dan moet je iedere betrokkene persoonlijk inlichten, tenzij je kan aantonen dat je voldoende maatregelen hebt genomen om dit risico af te dekken.
Tip 5: improvise, adapt, overcome
Een ezel stoot zich geen twee keer aan dezelfde steen. Als je eenmaal ten prooi gevallen bent aan cybercriminelen, mag je niet bij de pakken blijven zitten om vervolgens nog eens door dezelfde criminelen te worden geviseerd. Herevalueer dus onmiddellijk jouw IT-infrastructuur, veiligheidssoftware, intern securitybeleid, GDPR-beleid, etc., om het veiligheidslek in kwestie op te sporen en op te lossen. Geef cybercriminelen met andere woorden niet de kans om je onderneming nogmaals het leven zuur te maken.
Wat kan Mr.Franklin voor jou doen?
Mr.Franklin begeleidt ondernemingen in het opstellen van een veiligheidsbeleid op maat, ISO27001-implementatie, phishing-simulaties,... Voor alle zaken gerelateerd aan cybersecurity en IT-recht kun je op ons rekenen.
Het is belangrijk om actief met databeveiliging en cybersecurity bezig te zijn. Als bedrijf loop je in het ergste geval het risico op het betalen van een schadevergoeding. In deze blogpost lees je een zaak waarbij een bedrijf werd veroordeeld tot het betalen van een schadevergoeding. Je onderneming beschermen tegen cyberaanvallen en cybercriminaliteit is daarom erg belangrijk!