Hightech bedrijf uit Schiedam is goed voorbereid

Met een geschiedenis van ruim 125 jaar heeft Boers & Co Precision Solutions al behoorlijk wat veranderingen meegemaakt. Het Schiedamse bedrijf weet dan ook als geen ander hoe het steeds weer moet aanpassen om relevant te blijven. De oprichters van Boers & Co begonnen ooit met het graveren van metaalplaatjes. In de loop der tijd heeft het bedrijf zich doorontwikkeld in de maakindustrie. Tegenwoordig is Boers & Co een bedrijf dat hightech onderdelen en apparaten ontwerpt en produceert, waarin fijnmechanica, plaatwerk en elektronica gecombineerd worden.

‘Nooit 100% veilig’

‘Wij kunnen ons bijna een IT-bedrijf noemen’, zegt CEO Ronald Koot. Het bedrijf is dan ook zo afhankelijk geworden van computers en data, dat het geen enkel risico neemt op het gebied van cyber. Ze hebben een geavanceerd back-upsysteem en doen veel aan bewustwording bij de medewerkers. Ook de basisprincipes van het DTC worden bij het bedrijf nageleefd. En zelfs dan kan het mis gaan. Hoort bij het vak, vindt Ronald. ‘Je bent nooit 100% veilig. Het gaat elke ondernemer hoe dan ook een keer overkomen dat hij of zij gehackt wordt. De vraag is alleen: wanneer?'

Bijlage met een virus

De laatste keer dat Boers & Co getroffen werd door een hack is alweer een paar jaar geleden. In 2017, vertelt Ronald. ‘Een van onze werknemers opende een bijlage met een virus. Binnen enkele seconden waren alle bestanden op ons netwerk besmet. Ontwerptekeningen, contracten, technische informatie. Alles. Die medewerker wist gelijk dat het fout zat en heeft direct een melding gedaan. Daardoor konden we heel snel in actie komen. Een paar uur later waren we weer up en running.’

Geheim back-upplan

Boers & Co kon zo adequaat reageren, omdat het bedrijf continu back-ups wegschrijft naar meerdere locaties. ‘Wij zijn misschien ook niet helemaal een doorsnee bedrijf. We lopen ver voor op de techniek. We hebben veel IT’ers in dienst en zelf weet ik ook het een en ander.’ Het precieze back-up plan wil Ronald ook niet uit de doeken doen. ‘Als kwaadwillenden dat lezen, kunnen zij die informatie weer gebruiken om ons aan te vallen. Daar geef ik dus liever geen inzicht in. Alles wat je publiek deelt, maakt je kwetsbaar. Dus als klanten ernaar vragen, zeg ik altijd: kom zelf maar kijken.’

Safety by design

Sinds die laatste cyberaanval heeft Boers & Co aanvullende beveiligingsmaatregelen genomen. Noem het 'safety by design' of iets anders, maar waar het op neer komt: bestanden die macro’s of links bevatten en verstuurd zijn door onbekende afzenders, worden automatisch tegengehouden. En Ronald geeft toe, dat is soms lastig voor medewerkers, want die willen gewoon snel en makkelijk werken. Maar veiligheid staat bij Boers & Co voorop. ‘Om je een indruk te geven: wij krijgen gemiddeld zo’n 50 van dit soort kwaadaardige e-mails per dag. Dan kun je geen risico’s nemen.’

Interne helpdesk

De e-mails die worden afgevangen, komen terecht bij een interne helpdesk. Zij hebben de kennis in huis om een e-mail goed te beoordelen. Komt een e-mail door de handmatige check? Dan wordt de e-mail alsnog doorgestuurd naar de medewerker waarvoor deze bestemd is. De helpdesk staat ook altijd paraat om mensen te assisteren die twijfelen over de betrouwbaarheid van een e-mail. ‘Er komen echt perfect uitziende e-mails binnen. Met namen, titels en logo’s. Vroeger was het nog lachen om die amateuristische phishing-mails, tegenwoordig is het niet meer leuk. Ze zijn zo goed geworden.’

Phishing-tests

Ronald heeft kort geleden ook zogenoemde phishing-tests laten uitvoeren. ‘Goedaardige hackers gaan dan proberen om in je systemen te komen door het versturen van phishing-mails. Zo kunnen we niet alleen zien of onze automatische beveiligingssystemen goed werken, maar ook of onze medewerkers het juiste gedrag vertonen. We proberen ze continu bij te spijkeren via berichten op ons intranet en ook bij overleggen wordt er regelmatig aandacht besteed aan cyberveiligheid.’

Geen aangifte

Het bedrijf heeft in 2017 geen aangifte gedaan van de cyberaanval. Ronald vindt dat het teveel tijd kost en heeft er geen vertrouwen in dat het hem iets oplevert. ‘Ik weet dat het belangrijk is, want als de overheid deze meldingen niet krijgt, weten ze ook niet wat er aan moeten doen. Maar het is nu veel te omslachtig. Je moet heel veel informatie invullen en dan vragen ze bijvoorbeeld of je je systeem langs kunt brengen. Dat gaat natuurlijk niet. Het zou door de overheid makkelijker gemaakt moeten worden om een cyberaanval te melden, zonder het gedoe van een aangifte.’

Beter opletten

Wel heeft Ronald weer extra lering getrokken uit deze laatste aanval. 'Dat je er nog beter op moeten letten en systemen nog veiliger moet inrichten. Ook als dat consequenties heeft voor gebruikers. Natuurlijk wil je het je gebruikers makkelijk maken, maar je kunt simpelweg niet alles toelaten.’ 

Cloudoplossingen

Ronald verbaast zich er over dat veel bedrijven niet genoeg aan cyberveiligheid doen. ‘Wij hebben natuurlijk een bepaalde schaalgrootte en kennis waardoor we veel zelf kunnen doen. En ik begrijp dat dat niet voor elke ondernemer haalbaar is. Maar ik zou die ondernemers dan aanraden om zoveel mogelijk 'cloud based' te doen. Dat levert je veel minder zorgen op. Dan neemt je cloudleverancier verantwoordelijkheid voor de veiligheid van je waardevolle data. Zij overzien ook veel beter de ontwikkelingen en actuele dreigingen in de cyberwereld.’

Overheidscommunicatie

Ook voor de overheid heeft Ronald nog wat tips. ‘De communicatie over bewustwording is heel belangrijk, maar komt vaak niet aan. Het is of te technisch, of te consumenten-gericht. Ik denk dat er een belangrijke rol voor brancheverenigingen is om de ondernemers te bereiken. Gebruik hun kracht. Zij kennen de ondernemers als geen ander en weten hen op de juiste manier aan te spreken.’

Het gaat elke ondernemer hoe dan ook een keer overkomen dat hij of zij gehackt wordt. De vraag is alleen: wanneer?

Lessen van Boers & Co:

Als ondernemer moet je er altijd rekening mee houden dat je het slachtoffer van een cyberaanval kan worden, zegt Ronald Koot. Een aantal tips om de schade te beperken:

Is de cloud iets voor jouw bedrijf?

Overweeg jij een migratie naar de cloud? Bekijk hier een aantal vragen om je te helpen kiezen.

Ondernemend Nederland vertelt

Het Digital Trust Center streeft naar een digitaal veilig ondernemend Nederland. Dit doen wij door kennis en informatie te bieden waar ondernemers zelf mee aan de slag kunnen. Net zo belangrijk zijn verhalen van ondernemers uit de praktijk. Wat kun jij leren van ondernemers die met een cyberaanval te maken hebben gehad?

Online modewinkel betaalde losgeld

Rico Nieuwenhuijze werd slachtoffer van cybercriminelen. De NAS-opslag werd gehackt en Rico betaalde een losgeldbedrag. Helaas kreeg hij niet de toegang tot zijn bestanden terug.

Advocatenkantoor slachtoffer van ransomeware

Rein Advocaten & Adviseurs werd slachtoffer van ransomware. Een medewerker kliktte op een onschuldig ogende link in een e-mail die van een leverancier afkomstig leek.

Website van horeca-ondernemer gehackt

Horeca-ondernemer Frans van Hall had geen duidelijke afspraken gemaakt met zijn IT-leverancier over het updaten van zijn website. Maar dat realiseerde hij te laat. Zijn webshop lag er weken uit.

Starten met cybersecurity

Heb je nog geen kennis en ervaring? Pak het dan praktisch en gefaseerd aan met de CyberVeilig Check voor zzp en mkb. Weet binnen 5 minuten wat je vandaag te doen staat om je bedrijf beter te beschermen tegen cyberaanvallen. Download je eigen actielijst en ga vandaag nog aan de slag met onze praktische instructies en tips.