Horeca-ondernemer houdt na websitehack alles tegen het licht
Het is voor veel startende ondernemers ongetwijfeld herkenbaar. Je wilt je bedrijf zo snel mogelijk online hebben, zodat je kunt beginnen met klanten binnenhalen. Maar je wilt de kosten laag houden, zeker in het begin. Gelukkig ken je via via nog wel een handig iemand die een website kan bouwen. In een mum van tijd staat er een mooie Wordpress-website. Maar na een tijdje werkt de website niet meer. Als je het domeinnaam van de site invoert, zie je alleen een blanco pagina. De schrik slaat je om het hart. Wat blijkt: jij noch de websitebouwer hebben goed genoeg nagedacht over de beveiliging van de website. En hackers hebben een kwetsbare plek gevonden, waardoor ze de hele website uit de lucht halen of gebruiken voor eigen doeleinden.
Website door ‘het neefje van’
Het overkomt veel ondernemers. Zo ook Frans van Hall, horecaondernemer uit Woerden, die aan het roer staat van verschillende horecaconcepten. ‘Onze websites zijn belangrijk voor ons. Het zijn de digitale uithangborden. En op éen van onze websites verkopen we ook thee en fudge. Maar afgelopen juni was deze website opeens niet meer benaderbaar. We hebben die site nog net niet laten bouwen door ‘het neefje van’. Maar daar kwam het wel een beetje op neer. Een éénpitter, die ons niet verteld had dat hij er inmiddels weer mee gestopt was. Hij kon ons dus ook niet helpen toen we de hack constateerden. Onze website is vervolgens twee weken lang uit de lucht geweest.’
Wordpress
Het is gissen naar de exacte redenen en methode van deze cyberaanval. Maar als voormalig software-expert heeft Frans wel een vermoeden. De website draait op Wordpress, een veelgebruikt Content Management Systeem (CMS) en daarom een populair doelwit van hackers. Dat betekent niet dat het per definitie een onveilig systeem is, maar wie een Wordpress-website heeft, moet deze wel tijdig bijwerken en steeds voorzien van de nieuwste beveiligingsupdates. En daar had Frans met zijn websitebouwer geen goede afspraken over gemaakt. ‘Er is na livegang helemaal geen onderhoud meer gepleegd aan de website. Achteraf had ik natuurlijk liever gezegd: kom maar met een abonnementje, in plaats van dat ik eenmalig voor een website betaal. Want een website heeft blijvend zorg en aandacht nodig.’
Lager in zoekresultaten
Gelukkig was de schade te overzien. Maar toch heeft Frans er wel degelijk last van gehad. ‘Het kost je een hoop tijd. En het schaadt je marketingverhaal op meerdere manieren. Doordat je een tijdje niet meer online bent, zak je bijvoorbeeld ook weg in de Google-zoekresultaten.’ Maar het heeft Frans ook wat opgeleverd. ‘Het heeft me weer laten zien hoe kwetsbaar je bent, wat ergens ook wel goed is.’
Veiligheid voorop
En met die kennis is Frans alle IT-zaken van zijn ondernemingen opnieuw tegen het licht aan het houden. Met daarin voorop natuurlijk een nieuwe, veilige website. ‘De eerste vraag die ik nu altijd stel bij een leverancier is: hoe zit het met de veiligheid en hoe garandeer je dat alles blijft werken? Daar heb ik best wat meer geld voor over. Waarschijnlijk blijven wij gewoon bij Wordpress, omdat ik erg tevreden ben over dat systeem. Maar ik ga iemand zoeken die voor een maandelijks bedrag de website veilig houdt en aansprakelijk is op het moment dat het misgaat. Iemand die zich specialiseert in deze zaken voor meerdere bedrijven kan ook veel sneller nieuwe dreigingen signaleren.’
Alles navragen
De ondernemer uit Woerden heeft vervolgens ook de leveranciers van zijn andere IT-oplossingen goed gecheckt. Bijvoorbeeld van de salarisadministratie voor zijn circa zestig medewerkers. Die heeft hij al jaren in de cloud bij een gerenommeerd softwarebedrijf. ‘Conclusie: dat zit helemaal goed. Die konden me ook certificaten over de beveiliging en dergelijke tonen.’ Volgens Frans kan het kan nooit kwaad om even je huidige leveranciers te mailen of bellen, en te vragen hoe het zit met de veiligheid van de systemen. Want als je eenmaal getroffen wordt door een hack, ben je te laat.
Cloud
Ook intern is er het een ander aangepakt. Er wordt niks meer lokaal op de computers opgeslagen. Alles gaat naar de cloud. ‘Dat is niet alleen veiliger. Maar dan kan iedereen er ook altijd en overal bij.’ Om zijn medewerkers mee te krijgen, belicht Frans dan ook altijd met name de voordelen. ‘Als je het steeds hebt over gevaren, creëer je alleen maar angst. Phishing-links dit, enge bijlages dat. Ik geloof dat je beter de voordelen van veilig werken kunt blijven benoemen in plaats van de risico’s.’
Waakzaamheid
Inmiddels is Frans overtuigd dat zijn systemen veilig zijn. Maar hij blijft alert. Zeker nu door corona steeds meer IT-oplossingen in de horeca gebruikt worden. ‘Een reserveringssysteem hadden we al. En als dat gehackt wordt, kun je terug naar een blocnoteje om de dag mee door te komen. Maar sinds corona kunnen klanten hun bestelling doen via een QR-code op de tafel. Als dat systeem eruit ligt en er geen bonnetjes meer in de keuken geprint worden, hebben we een groter probleem.’
Cowboys
Hij werkt daarom het liefst met bekende aanbieders. ‘Er zijn door corona veel cowboys op de markt gekomen die hun diensten in de horeca-automatisering aanbieden. Maar ze hebben niet allemaal evenveel kennis in huis. Ik zou in ieder geval nooit zomaar voor de goedkoopste aanbieder gaan. De vraag die bovenaan moet staan is: hoe veilig is dit systeem? Pas daarna komt de prijs.’
Digitaal rijbewijs
Frans is blij dat er steeds meer aandacht komt voor veilig digitaal ondernemen. ‘Het gaat vaak over grotere bedrijven in het nieuws. Maar juist op dit microniveau kan het bijzonder vervelend zijn. Kleine ondernemers hebben gewoon minder buffer. Je voelt zoiets snel in je beurs.’ Misschien zou het helpen als de overheid digitaal ondernemen een verplicht onderdeel van de bedrijfsvoering maakt, denkt Frans. 'Als je auto wilt rijden, moet je ook eerst een rijbewijs halen. Zoiets zou voor ondernemen ook werken. Dat je eerst een soort van basiscursus veilig digitaal ondernemen moet doorlopen. En daar dan misschien weer een korting mee kan krijgen op je cyberverzekering!'
Het gaat vaak over grotere bedrijven in het nieuws. Maar juist op dit microniveau kan een hack bijzonder vervelend zijn.
Lessen van Frans van Hall:
Misschien zou het helpen als de overheid digitaal ondernemen een verplicht onderdeel van de bedrijfsvoering maakt, denkt Frans. Een aantal tips om je te beschermen:
- Zorg altijd dat je de nieuwste updates gebruikt om je maximaal te beschermen tegen beveiligingslekken.
- Vraag aan je nieuwe én huidige IT-leveranciers naar de veiligheid van de systemen. LEg afspraken vast in een Service Level Agreement (SLA).
- Maak gebruik van cloud-oplossingen. Sla je bestanden zoveel mogelijk op in een veilige cloud-omgeving.
- Werk met gerenommeerde bedrijven die de veiligheid van je systemen kunnen garanderen.
Is jouw website veilig?
Zorg dat je de veiligheid van je website op orde hebt. Vooral als je klantgegevens en betalingen verwerkt.
Ondernemend Nederland vertelt
Het Digital Trust Center streeft naar een digitaal veilig ondernemend Nederland. Dit doen wij door kennis en informatie te bieden waar ondernemers zelf mee aan de slag kunnen. Net zo belangrijk zijn verhalen van ondernemers uit de praktijk. Wat kun jij leren van ondernemers die met een cyberaanval te maken hebben gehad?
Wilma Wagner is eigenaar van een drogisterij in Leidschendam. Een paar jaar geleden werd haar winkel het slachtoffer van een cyberaanval. Ze heeft er veel van geleerd.
AIMMS leek alle basisprincipes van veilig digitaal ondernemen toegepast te hebben. En toch ging het mis. Cybercriminelen omzeilden op slinkse wijze de beveiliging van een e-mailaccount en stuurden valse facturen rond.
Rico Nieuwenhuijze werd slachtoffer van cybercriminelen. De NAS-opslag werd gehackt en Rico betaalde een losgeldbedrag. Helaas kreeg hij niet de toegang tot zijn bestanden terug.
Starten met cybersecurity
Heb je nog geen kennis en ervaring? Pak het dan praktisch en gefaseerd aan met de CyberVeilig Check voor zzp en mkb. Weet binnen 5 minuten wat je vandaag te doen staat om je bedrijf beter te beschermen tegen cyberaanvallen. Download je eigen actielijst en ga vandaag nog aan de slag met onze praktische instructies en tips.