Een ton voor machines, maar 20.000 euro voor security is te veel?
Mkb-bedrijven investeren zonder aarzelen in machines, voertuigen en kantoorinrichting. Zodra cybersecurity op tafel komt, wordt er moeilijk over gedaan. Die disbalans is begrijpelijk – je ziet een machine staan, maar security is onzichtbaar. Tot het misgaat. Een cyberincident kost een Nederlands mkb-bedrijf gemiddeld 270.000 euro. Dat is een veelvoud van de investering die het had kunnen voorkomen.
Wat we vaak zien bij bedrijven in de maakindustrie: er gaan tonnen naar productieapparatuur, maar de IT-beveiliging is beduidend minder op orde. Een metaalbewerkingsbedrijf investeert in CNC-machines, een drukkerij in digitale persen en zo kunnen we nog wel wat voorbeelden bedenken. De investering in machines staat nooit ter discussie, maar er is geen monitoring, geen patchbeleid, geen zicht op wat er in het netwerk gebeurt. Terwijl die machines draaien op software die via het netwerk wordt aangestuurd en als dat netwerk platgaat door ransomware, staat de hele productie stil. Dit is geen uitzondering. Peter Landegent vertelt waarom mkb-bedrijven hun digitale beveiliging eens anders zouden moeten bekijken en hoe je met een bescheiden investering veel ellende voorkomt.
Waarom security altijd kan wachten (vindt de directie)
Een nieuwe machine levert direct iets op. Je ziet hem staan, hij produceert, hij verdient zichzelf terug. Security levert niets zichtbaars op. Het voorkomt iets wat misschien nooit gebeurt. Dat maakt het een lastig verhaal richting directie.
We zien het steeds weer. De IT-partner heeft een firewall neergezet en de directeur gaat ervan uit dat het geregeld is. De Microsoft-licenties worden elke maand betaald zonder dat iemand er vragen over stelt. Maar zodra er een offerte voor security-monitoring op tafel komt, begint de discussie.
De redenering is vaak: “Wij zijn niet interessant voor hackers” of “Onze IT-partner regelt de security toch?” Beide aannames zijn riskant. Cybercriminelen schieten met hagel. Ze scannen automatisch op kwetsbaarheden en het maakt ze niet uit of je metaal freest, hout zaagt, posters drukt of jaarrekeningen maakt. En je IT-partner beheert werkplekken; dat is iets anders dan beveiliging.
Wat een cyberincident je werkelijk kost
Uit onderzoek van ESET blijkt dat een cyberincident een Nederlands mkb-bedrijf gemiddeld 270.000 euro kost. Dat is een halve ton meer dan het wereldwijde gemiddelde. Dat komt door de sterke IT-afhankelijkheid van Nederlandse bedrijven en de hoge specialistentarieven. Het onderzoek omvat het brede mkb; de schade per incident verschilt per bedrijfsgrootte, maar de orde van grootte is duidelijk.
Neem een bedrijf met 80 medewerkers dat drie dagen platligt door ransomware. Je moet specialisten inhuren voor forensisch onderzoek, systemen herstellen. Je hebt te maken met productieverlies, klanten die niet geholpen worden, contractdeadlines die niet gehaald worden. En dan is er nog de reputatieschade: klanten en partners die het vertrouwen verliezen, dat herstel je niet met een patch.
Reken het eens uit voor je eigen bedrijf. Wat is je dagomzet? Drie dagen stilstand kost je dat bedrag keer drie en dan zijn de herstelkosten nog niet meegerekend. De monitoring die dat voorkomt of beperkt kost een fractie daarvan.
Klein beginnen, geleidelijk uitbreiden
En dan zijn er nog twee misverstanden die we vaak tegenkomen.
Het eerste: dat professionele beveiliging een groot budget vraagt. Dat was misschien ooit zo, maar met open-source technologie en slimme inrichting regel je security op een niveau dat voorheen alleen voor grote bedrijven bereikbaar was.
Het tweede: dat je alles in één keer moet aanpakken. De meest effectieve aanpak begint juist klein. Start met je meest kritieke systemen: domeincontrollers, firewalls en servers met bedrijfskritische applicaties. Zorg dat daar logging en monitoring op zit. Breid daarna geleidelijk uit naar werkstations en cloudomgevingen. Die gefaseerde aanpak spreidt de investering over tijd en voorkomt dat je verdrinkt in meldingen die je niet kunt verwerken.
Hoe je de directie meekrijgt
Als IT-manager of securityverantwoordelijke ken je het gesprek. Je weet dat er iets moet gebeuren, maar de directie ziet de urgentie niet. “Het is toch nooit misgegaan?”
Wat helpt is het vertalen van beveiliging naar bedrijfscontinuïteit. Stel de vraag: wat is ons belangrijkste bedrijfsproces en wat kost het als dat een dag stilligt? Bij een olieopslagbedrijf kost een schip dat een dag aan de kade ligt al snel een ton. Bij een productiebedrijf tikt de klok van het moment dat de machines stilstaan.
Een security-assessment helpt om dat gesprek concreet te maken. Je krijgt een overzicht van wat goed gaat en waar de gaten zitten – in taal die ook voor de directie begrijpelijk is. Geen technisch jargon, maar een rapportcijfer voor je beveiligingsniveau. Daar kun je op sturen.
Het verschil tussen IT-beheer en security
Veel mkb-bedrijven vertrouwen op hun IT-partner voor de beveiliging. Begrijpelijk – je werkt al jaren samen en ze regelen je werkplekken, je mail, je servers. Maar IT-beheer en security zijn twee verschillende vakgebieden.
We komen regelmatig bij bedrijven waar de IT-partner een firewall heeft geïnstalleerd, maar nooit meer naar de configuratie heeft gekeken. Niemand bekijkt de logbestanden, niemand pikt de meldingen op en updates blijven liggen. Niet uit onwil, maar omdat het een ander vak is.
Dat betekent niet dat je je IT-partner moet vervangen. Een securityspecialist kijkt met andere ogen naar je omgeving en houdt de bestaande IT-partner scherp. Die combinatie leidt in de praktijk vaak tot een betere samenwerking, waarbij iedereen doet waar hij goed in is.
Veelgestelde vragen
Hoeveel moet ik investeren in cybersecurity?
Dat hangt af van je bedrijfsgrootte en sector. Voor een mkb-bedrijf met 50 tot 250 medewerkers is een investering van 15.000 tot 25.000 euro per jaar realistisch. Vind je dat veel? De gemiddelde schade van één incident is 270.000 euro.
Ik heb al een firewall en antivirussoftware. Is dat niet genoeg?
Een firewall en antivirussoftware zijn onmisbaar, maar ze werken los van elkaar. Ze geven elk afzonderlijk signalen af. Als niemand die signalen bij elkaar brengt en er actief naar kijkt, mis je het grotere plaatje. Een platform zoals Apex Lumi verzamelt al die signalen op één plek en laat SOC-specialisten meekijken.
Hoe overtuig ik mijn directie van een security-investering?
Vertaal het naar bedrijfscontinuïteit. Reken uit wat een dag stilstand kost. Leg uit dat bestuurders onder de Cyberbeveiligingswet persoonlijk aansprakelijk kunnen worden gehouden als zij aantoonbaar nalatig zijn in het nemen van passende maatregelen. En vraag een security-assessment aan – dat geeft je een rapportcijfer waarmee je het gesprek concreet maakt.
Is mijn bedrijf niet te klein voor professionele security?
Het Apex Lumi-platform biedt vanaf 50 werkplekken functionaliteit vergelijkbaar met wat grote bedrijven gebruiken, maar dan betaalbaar en schaalbaar voor het mkb. Je begint met je meest kritieke systemen en breidt uit wanneer je wilt.
Wat is het verschil tussen mijn IT-partner en een securitypartner?
Je IT-partner beheert je werkplekken, servers en netwerk. Een securitypartner kijkt specifiek naar dreigingen, analyseert logbestanden en grijpt in bij afwijkingen. Vergelijk het met een aannemer die je huis bouwt en een beveiligingsbedrijf dat het bewaakt.
Meer weten?
Wil je weten hoe jouw beveiliging ervoor staat? Vraag een security-assessment aan of neem vrijblijvend contact op via +31 (0)85 4896060 of info@apexsecurity.nl. We laten je graag zien waar je staat en wat een logische eerste stap is.
