Waterman ziet het als zijn taak om ‘cybersecurity te evangeliseren’, begint hij met een voorzichtig knipoog. ‘Dat klinkt heel zwaar, maar ik merk nog steeds dat het nodig is. Heel veel bedrijven, vooral uit het mkb, geven hier geen prioriteit aan. Ergens is dat begrijpelijk, want je wilt je focussen op jouw kernactiviteit: het aansturen van personeel en zorgen voor schone panden bij opdrachtgevers. Maar het is wel degelijk belangrijk om je bedrijf en jouw medewerkers te beschermen. Ik heb al genoeg hartverscheurende incidenten meegemaakt.’
Ver-van-mijn-bed-show
Er is te weinig bewustzijn over wat criminelen tegenwoordig allemaal kunnen en welke risico’s dat voor bedrijven oplevert, ziet Waterman. Veel mensen zien het vooral als een ver-van-mijn-bed-show en denken dat het hen niet zal overkomen omdat ze niet interessant genoeg zouden zijn. ‘Het is lastig om de noodzaak over te brengen. De kans dat jouw schoonmaakbedrijf wordt geraakt door een cybercrimineel is misschien niet groot, maar hij bestaat wel. Wees je daarvan bewust en bereid je daarop voor. Want ik denk dat ieder bedrijf interessante data heeft.’
Zo is ieder bedrijf bij wet verplicht om kopieën van de paspoorten van medewerkers te hebben. Als die in de verkeerde handen vallen, kunnen criminelen identiteitsfraude plegen.
Persoonlijk benaderd
Of het geeft ze de benodigde informatie om medewerkers persoonlijk te benaderen. Waterman: ‘Vaak zijn er maar een paar mensen in een organisatie die overal toegang toe hebben. De directeur-eigenaar, het hoofd IT en de schoonmaker. Want ook die moet overal bij kunnen. Ik heb weleens meegemaakt dat een schoonmaker werd benaderd door iemand die hem geld bood om een USB-stick in één van de computers bij zijn opdrachtgever te steken. ‘We willen alleen wat informatie over de mensen die hier werken, zodat we een gerichte marketingcampagne kunnen starten’, was het verhaal daarbij. Hij trapte er in en deed wat ze vroegen. Met alle gevolgen van dien.’
Dit voorbeeld laat zien hoe een medewerker gericht benaderd kan worden. Iets dat volgens Waterman steeds vaker gebeurt. Hij vertelt dat er niet altijd geld wordt geboden, maar dat er ook dreigementen geuit kunnen worden. ‘Dan zeggen ze te weten waar je woont of waar je kinderen op school zitten. Dat heeft een enorme impact. Je hebt als organisatie de verantwoordelijkheid om je medewerkers te beschermen.’
Bedrijfscontinuïteit waarborgen
Criminelen kunnen op nog veel meer manieren geld verdienen aan de gegevens binnen jouw bedrijf. Denk aan spoofing, waarbij ze zich heel geloofwaardig voordoen als een leverancier of een collega van de financiële afdeling en je vragen om geld over te maken.
Of aan ransomware, waarmee ze al jouw digitale gegevens kunnen versleutelen. Daardoor kun je niet meer bij je planningen, contracten, bankgegevens of emailverkeer met klanten, totdat je een flinke som geld naar ze overmaakt. ‘Ook voor het waarborgen van de continuïteit is cybersecurity belangrijk’, zegt Waterman hierover.
Tekst gaat verder onder de afbeelding
Datagestuurde schoonmaak
Een belangrijke trend in de branche is datagestuurde schoonmaak. ‘Ook hierbij geldt dat de kans dat criminelen met jouw data aan de haal gaan niet enorm groot is. Maar er zijn wel degelijk risico’s waar je je van bewust moet zijn’, aldus Waterman.
Hij schetst: ‘Bij datagestuurde schoonmaak wordt er vaak gebruik gemaakt van data over het gebruik van het pand of bepaalde ruimten. Zijn daar mensen aanwezig geweest? En zo ja, hoeveel? Op basis daarvan wordt dan de schoonmaakplanning gemaakt. Als criminelen dit soort data te pakken krijgen, krijgen ze inzicht in de bewegingen die binnen zo’n organisatie gaande zijn. Hieruit kunnen ze misschien opmaken wanneer de minste mensen in het gebouw aanwezig zijn. Dat is waardevolle informatie voor het plannen van een inbraak of een ransomware-aanval.’
Toegang tot bedrijfsnetwerk
Ook is het belangrijk om na te denken over de aansluiting van de sensor. Wordt die op een extern gastennetwerk aangesloten of gaat hij mee op het netwerk van het bedrijf? Waterman komt weer met een voorbeeld uit de praktijk: ‘Casino’s in de VS hebben over het algemeen ijzersterke cybersecurity, want daar gaat een hoop geld in om. Toch is het een groep hackers gelukt via een sensor in het aquarium van het betreffende casino. De sensor was niet goed beveiligd, maar was wel aangesloten op het bedrijfsnetwerk. Via daar konden ze dus verder de organisatie in. Het klinkt vergezocht, maar het gebeurt echt.’
Daarom adviseert Waterman om onderzoek te doen naar de leverancier van dergelijke technologie. Is zo’n apparaat goed beveiligd? Hoe vaak vinden er updates plaats? Gebeurt dat automatisch of moet je daar zelf actie voor ondernemen? ‘Ga er niet zomaar vanuit dat het goed geregeld is. Vraag hoe het zit en waar de verantwoordelijkheden liggen. Het is belangrijk om daar als schoonmaakbedrijf bij stil te staan.’
Hij deelt nog een aantal vragen die je zou moeten stellen als je aan de slag gaat met datagestuurde schoonmaak: welke data wordt er precies verzameld en met welk doel? Hoelang wordt die data vervolgens opgeslagen? En waar? Wordt dit versleuteld? Wie kan daarbij? Maar ook: is (een deel van) de data te herleiden tot specifieke personen? ‘Want als dat het geval is, dan krijg je ook te maken met privacywetgeving.’
Aan de slag met cybersecurity
‘We leven in 2025 en de digitalisering gaat alleen maar verder. Je kunt je kop niet in het zand blijven steken. Je moet maatregelen nemen om jezelf en je medewerkers te beschermen’, adviseert Waterman met klem.
Maar hoe pak je dat dan aan? ‘De maatregelen die je neemt moeten in verhouding staan tot de risico’s die je loopt. Je bent geen Fort Knox en hoeft dus ook niet zodanig beveiligd te zijn. Maar dat wil niet zeggen dat je niets hoeft te doen.’ Ga bij jezelf na: welke risico’s zie ik? En bedenk vervolgens hoe je voldoende drempels kunt aanbrengen zodat je geen laaghangend fruit bent voor criminelen. ‘Zoals we in de IT altijd zeggen: laat perfectie niet de vijand zijn van goed genoeg. Elke maatregel is beter dan geen.’
