Op deze pagina lees je echte verhalen van ondernemers die vertellen over de cyberrisico's en -dreigingen waar hun bedrijf mee te maken heeft gehad. Het Digital Trust Center (DTC) hecht waarde aan deze verhalen die bijdragen aan de bewustwording en het vergroten van de weerbaarheid. Dit doet het DTC door slachtofferschap bespreekbaar te maken en het taboe hierop te doorbreken. Ben je ondernemer en heb je zelf een verhaal dat je wilt delen? Vul dan het contactformulier in.

‘Goed back-up systeem redde ons’

Rein Advocaten & Adviseurs is een kantoor met 13 medewerkers in Assen. Net als zoveel ondernemingen in de zakelijke dienstverlening hebben ook zij hun bedrijfsvoering voor een groot deel gedigitaliseerd. Zo communiceren ze met de rechtbank via een aparte portal waar zij bijvoorbeeld hun bewijs- en andere processtukken aanleveren. Voor het beheer van hun debiteuren werken ze samen met een externe partij die hen regelmatig links mailt om vorderingen in te zien en bij te werken.

Ransomware

Zo ook twee jaar geleden op een doordeweekse ochtend. Echter, de mail is deze keer niet afkomstig van hun leverancier maar van cybercriminelen. Wanneer een kantoormedewerker op de link klikt, worden verschillende bestanden van het kantoor gegijzeld. Om weer toegang tot de bestanden te krijgen wordt een bedrag van € 5.750 in bitcoins geëist. Het kantoor was slachtoffer van ransomware.

Niet betalen

Jeroen Sprangers, partner van Rein: “Ons besluit om niet te betalen stond eigenlijk meteen vast. Welke garantie heb je dan dat je je bestanden weer terugkrijgt? Bovendien was ons back-up systeem goed op orde en met hulp van onze IT-leverancier hadden we de boel binnen een paar uur weer onder controle.” Al voor dit incident was Rein Advocaten & Adviseurs al vrij bewust van de digitale risico’s. Toch besloten ze om daar bovenop ook regelmatig pentesten te laten uitvoeren.

Bewust van de menselijke kant

Kort na het incident werd de opdracht gegeven om zo’n een pentest uit te voeren.  “De focus lag volledig op de technische kant van de zaak”, zegt Sprangers. Een medewerker van het bedrijf dat de pentest uitvoerde, kwam het kantoor binnenlopen en deed bij de receptie zijn verhaal: “goedemiddag, ik kom namens Jeroen Sprangers de IT-systemen controleren. Om mijn werk te kunnen doen heb ik toegang nodig tot die en die systemen.” “Binnen de kortste tijd had hij toegang tot alle systemen van het kantoor. Sindsdien zijn we ons ook nog meer bewust van de menselijke kant van de zaak en besteden we hier ook in onze awareness sessies de nodige aandacht aan”, verklaart Sprangers.

Taboe doorbreken

“Ik wil ons verhaal vertellen om andere ondernemers te waarschuwen. En omdat ik vind dat ondernemers moeten stoppen met zich kapot te schamen wanneer ze door cybercrime getroffen zijn. Maar ook voor ons kantoor betekent het vertellen van dit verhaal dat we een drempel over moeten. Ons kantoor staat namelijk zelf ook cliënten bij die te maken hebben met cyberincidenten zoals datalekken. Doordat wij dit verhaal nu delen, stellen we ons dus kwetsbaar op. Maar als niemand dit doet of durft, verandert er nooit iets. Het taboe rond slachtofferschap van cybercriminaliteit moet verdwijnen. Het is in mijn ogen niets anders dan wanneer er bij je ingebroken wordt. Dat vertellen we toch ook gewoon?”