Beveiliging bij middelgrote en kleine bedrijven om te huilen

De werkelijkheid die de mannen van Syntens tijdens hun Cybercrime-onderzoek aantroffen bij vijftig mkb-bedrijven in Flevoland tart de verbeelding. 64 Procent van de bedrijven is in hoge mate afhankelijk van ICT, maar heeft geen beleid voor informatiebeveiliging. Bij meer dan een kwart staat de server inderdaad onder een trap of in de hal. De helft maakt geen back-up’s van alle data. Ze hebben allemaal toegang tot internet, maar bij meer dan 80 procent is de beveiliging niet volledig. Patches worden niet geïnstalleerd, virus-updates ontbreken, poorten staan onnodig open en de configuraties deugen niet. De helft doet niets tegen spyware en een kwart controleert de mail niet op virussen. De firewall is ‘een ondergeschoven kindje’.
Bij de 40 procent die een draadloos netwerk in het bedrijf heeft, is slechts de helft beschermd en dan ook nog met de laagste vorm van gegevensversleuteling (WEP). Iedereen gebruikt cd’s en USB-sticks met bedrijfsinformatie zonder dat wordt bijgehouden wat daarmee gebeurt. Personeel kan naar hartelust surfen, mailen en software downloaden en installeren.
De onderzoekers concluderen dat de gebreken veelal te maken hebben met instellingen van besturingssoftware van servers en netwerkapparatuur. Zaken waar de mkb’er ‘geen benul van heeft’. Hij vertrouwt op zijn ICT-leverancier. Dat vertrouwen ‘blijkt meestal misplaatst’.De ICT-sector moet de handschoen opnemen, menen staatssecretaris Karien van Gennip en MKB Nederland-voorman Loek Hermans. De sector moet ‘totaaloplossingen’ voor het mkb leveren en ICT-bedrijven bij welke de beveiliging in goede handen is certificeren. In de woorden van Hermans: “Het moet zo eenvoudig gemaakt worden dat de ondernemer er zijn hoofd niet meer over hoeft te breken.” Van Gennip vindt dat het keurmerk er snel moet komen. “Dat is de eerste stap. IT-bedrijven moeten de ondernemers de juiste instructies geven. Wij zullen ons met voorlichting op het mkb richten.”
Een week na het congres is er van de opwinding niet veel meer te merken. Bij ICT~Office heeft niemand aangeklopt met een voorstel voor een keurmerk, zegt woordvoerder Michel van Schie. “Maar als die komt, zullen we een uitnodiging aanvaarden. Maar we geloven niet dat een keurmerk nu dé oplossing is. De zwakste schakel is toch de gebruiker.” Veiligheid is een zaak van technologie en procedures. Mkb-bedrijven zijn zich niet altijd bewust van de ernst en weigeren vaak de benodigde investeringen te doen. Bovendien staat of valt de beveiliging bij het naleven van de procedures op gebruikersniveau. “EZ onderkent dat en zet daarom in op voorlichting”, meent Van Schie.
Economische Zaken laat weten dat er inderdaad nog geen concrete plannen zijn voor een keurmerk. Het idee zal echter zeker opgepakt worden als de voorlichtingscampagne DigiBewust, die zich nu nog richt op burgers, vanaf 1 januari de focus richt op het mkb.