2 dagen geleden
2 dagen geleden
“Cybercriminelen schieten met hagel. Ze proberen overal binnen te komen, niemand is veilig. Pas als ze ergens binnen zijn, kijken ze of er iets te halen valt.”
– Prof. dr. Rutger Leukfeldt, directeur van het Centre of Expertise Cybersecurity van De Haagse Hogeschool
Veel ondernemers denken dat alleen grote ondernemingen doelwit zijn van cybercriminelen. Niets is minder waar. Ook kleine bedrijven lopen een aanzienlijk risico. Sterker nog, ze zijn vaak aantrekkelijker voor hackers omdat ze doorgaans minder budget en personeel beschikbaar hebben voor cybersecurity. Dit maakt hun websites een eenvoudiger doelwit voor datadiefstal, ransomware en financiële fraude.
Gelukkig zijn er diverse betaalbare maatregelen die je kunt nemen om je bedrijf te beschermen, de kans op een cyberaanval te verkleinen en het vertrouwen van je klanten te behouden.
Allereerst: dagelijkse veiligheidsgewoontes voor je fysieke zaak
Je fysieke zaak is óók een toegangspunt voor cybercriminelen. Met deze richtlijnen versterk je niet alleen de beveiliging van je website, maar maak je ook je onderneming zelf een stuk veiliger:
Beveilig je wifi-netwerk in de winkel
Zorg voor een sterk wachtwoord en splits je netwerk in tweeën: één voor je klanten en één voor je apparaten zoals kassa’s en printers. Schakel bovendien de SSID-broadcast uit als je netwerk niet openbaar hoeft te zijn. Zo voorkom je dat onbekenden makkelijk toegang krijgen.
Gebruik een veilig kassasysteem (POS)
Zorg ook dat je kassasysteem goed versleuteld is, regelmatig updates ontvangt en niet via dezelfde inloggegevens bereikbaar is als je website. Zo voorkom je dat één lek meteen al je systemen blootstelt.
Let op QR-code oplichting
QR-codes op tafels of posters kunnen ongemerkt vervangen worden door valse versies. Controleer daarom regelmatig of ze nog steeds naar jouw eigen pagina’s leiden, zodat je klanten niet in de val lopen.
Verwijder oude apparaten en accounts
Ligt er ergens nog een oude laptop onder de toonbank? Haal ‘m offline of wis ‘m helemaal. Vergeet ook niet om accounts van tijdelijke krachten direct te verwijderen zodra ze vertrekken.
Vergrendel je apparaten automatisch
Een tablet of pc die open blijft staan, is een groot risico. Zorg daarom voor automatische schermvergrendeling en gebruik aparte profielen per gebruiker.
De basisprincipes van website beveiliging voor lokale kleine bedrijven
Voor veel lokale bedrijven is de website een belangrijk onderdeel geworden van hun dagelijkse bedrijfsvoering. Het is waar nieuwe klanten je vinden, vragen kunnen stellen, en boekingen en bestellingen kunnen doen. Maar als je website niet goed is dichtgetimmerd, loop je het risico op reputatieschade en verlies van omzet. Helaas neemt 1 op de 3 kleine ondernemers geen enkele actie om de eigen zaak te beschermen:
“Het aantal kleinere mkb-bedrijven (<10 medewerkers) dat geen enkele maatregel lijkt te nemen, is toegenomen naar een derde van de populatie. In 2023 nam 19 procent van de kleine bedrijven geen actie.” — Ministerie van Economische Zaken, Alert Online 2024
Hier volgt een concrete checklist waarmee je jouw website optimaal kunt beveiligen:
SSL certificaten
Digitale SSL-certificaten (Secure Sockets Layer) versleutelen de gegevensuitwisseling tussen je website en bezoekers. Hierdoor blijven persoonlijke en financiële informatie beschermd tegen onderschepping door derden.
Een veilige website is herkenbaar aan “https” in de URL en een slotje in de browser. Dit wekt vertrouwen bij bezoekers en laat zien dat hun privacy serieus wordt genomen
Bovendien heeft een versleutelde verbinding een positieve invloed op je positie in zoekmachines zoals Google.
De meeste webhostingproviders bieden deze certificaten aan in hun hostingpakketten. Als alternatief kun je ze kopen bij specifieke providers zoals DigiCert of GlobalSign.
Veilige hosting
Zelfs de meest veilige website code is kwetsbaar zonder solide hosting. Een goede provider biedt essentiële beveiligingsmaatregelen, waaronder:
Phishing, smishing, vishing, and whaling
Deze social engineering-aanvallen zijn allemaal bedoeld om mensen te misleiden, zodat ze gevoelige informatie prijsgeven.
Beveilig je bedrijf door spamfilters te installeren en je personeel alert te maken. Wees voorzichtig met berichten die van je website lijken te komen, zeker als ze om persoonlijke gegevens of ongebruikelijke betalingen vragen.
Wachtwoorden en Tweestapsverificatie (2FA)
Tweestapsverificatie (2FA) voegt een extra beveiligingslaag toe aan je account. Naast je wachtwoord heb je een tweede verificatiemethode nodig, vaak een code die je via sms ontvangt of die door een app wordt gegenereerd. Dit maakt het veel moeilijker voor cyberboefjes om toegang te krijgen, zelfs als ze je wachtwoord weten.
Genereer en bewaar sterke wachtwoorden met een wachtwoordmanager zoals 1Password of Bitwarden, en schakel 2FA in op je meest belangrijke platformen zoals het beheerderspaneel van je website, e-mailaccounts en betaalproviders.
“Ondernemer Tom, die 2 sleutelspeciaalzaken heeft, doet zijn boekhouding via telebankieren. Op een dag krijgt hij bezoek van de politie. Er blijken de laatste maanden veel diefstallen te zijn gepleegd bij bedrijven waar Tom sleutels heeft geleverd.” — een praktijkvoorbeeld uit Cybercrime, serieus probleem voor bedrijven, MKB-Nederland
Veilige betaalmethoden
Externe betaaldiensten zoals Klarna, iDEAL en Mollie bieden beveiligingsmaatregelen die klantgegevens beschermen en helpen je bedrijf te voldoen aan PCI DSS-vereisten, waardoor het risico op fraude wordt verminderd.
Het gebruik van een (of meerdere) veilige betaalmethoden betekent dat je nooit direct gevoelige informatie hoeft op te slaan of te verwerken. Je kunt deze betaalmethoden integreren via je e-commerce platform of een ontwikkelaar inhuren om de juiste installatie te garanderen.
Software and plugin updates
Updates zijn een vaak vergeten, maar kritiek onderdeel van websitebeveiliging. Hackers maken namelijk graag gebruik van bekende zwakke plekken in verouderde software.
Regelmatige updates verhelpen deze kwetsbaarheden en verbeteren de functionaliteit. De meeste CMS-platformen, zoals WordPress, bieden automatische updates aan, of je kunt wekelijks controleren op nieuwe versies. Als je dit liever niet zelf doet, schakel dan een ontwikkelaar in of sluit een onderhoudscontract voor je website af om dit voor je te regelen
Regelmatige back-ups van je website maken
Een recente back-up van je website stelt je in staat om snel te herstellen na problemen zoals cyberaanvallen, hardwarefouten of onbedoelde verwijderingen.
Maak regelmatig back-ups van je website
Een goede webhostingprovider maakt automatisch back-ups van je site. Je kunt back-ups echter ook op meerdere locaties opslaan, zoals in de cloud (bijvoorbeeld Google Drive of Dropbox). Dit voegt een extra beveiligingslaag toe.
Naleving van wet- en regelgeving voor gegevensbescherming
Regelgeving voor gegevensbescherming, zoals de AVG (Algemene Verordening Gegevensbescherming), is wettelijk verplicht voor bedrijven die persoonlijke informatie verzamelen. Deze wetten vereisen transparantie over het gebruik van gegevens, toestemming van de gebruiker, het recht op verwijdering van gegevens en veilige procedures voor gegevensverwerking.
Zorg ervoor dat je een privacybeleid hebt, banners plaatst voor cookietoestemming en alleen de strikt noodzakelijke gegevens verzamelt om aan de wet te voldoen. Raadpleeg bij twijfel een juridisch adviseur of compliance consultant.
“Ik was laatst in Zeeland, bij een mode-ondernemer. Criminelen waren via phishing op zijn webshop gekomen en hadden deze niet veel later geblokkeerd. Hij kon niets meer. En dat terwijl hij 70 procent van zijn omzet uit online haalde. Daar zit je dan, met een site op zwart. De criminelen eisten 1000 euro losgeld, te betalen in bitcoin.” - Jan Meerman, INretail in een interview met de Ondernemer
Regelmatige beveiligingsaudits
Door je website en digitale systemen regelmatig te controleren, kun je kwetsbaarheden en potentiële risico's opsporen voordat ze misbruikt worden. Tijdens een audit wordt gekeken naar verouderde software, onveilige instellingen en verdachte activiteiten.
Je kunt zelf eenvoudige audits uitvoeren met gratis tools zoals Sucuri SiteCheck of internet.nl. Voor een grondiger onderzoek kun je een cybersecurity consultant inhuren. Plan deze audits elk kwartaal in of na een belangrijke wijziging aan je website.
Controle en beperking van gebruikerstoegang
Niet elke medewerker heeft volledige beheerderstoegang tot de website nodig. Door passende rollen toe te wijzen, zoals redacteur, auteur of beheerder, verklein je de kans op onbedoelde of kwaadwillende wijzigingen.
Dit is vooral belangrijk als je met externe contractanten of freelancers werkt. Toegang op basis van rollen kan worden ingesteld via de gebruikersinstellingen van je site. Controleer en verwijder verouderde toegangsrechten regelmatig.
Geef je werknemers informatie over cyberveiligheid
Menselijke vergissingen zijn vaak de oorzaak van problemen met websitebeveiliging. Het is belangrijk om je team te leren hoe ze in de praktijk met deze situaties om moeten gaan om je website veilig te houden. Denk hierbij aan:
Train je personeel op echte situaties
Denk aan verdachte telefoontjes (“Ik ben van je webhost…”), valse betaalverzoeken of klanten die stiekem foto’s maken van je scherm. Geef je team duidelijke instructies zodat ze alert blijven.
Er zijn gratis en betaalde online trainingen beschikbaar om het bewustzijn van cyberveiligheid te vergroten. Ook de Nederlandse Kamer van Koophandel biedt vaak webinars en materialen speciaal voor kleine ondernemers aan.
Belangrijk: beperk de toegang voor medewerkers
Niet elke medewerker hoeft beheerder te zijn. Geef iedereen alleen de rechten die ze écht nodig hebben en zet accounts meteen uit als iemand weggaat.
Wat te doen als je website is aangevallen?
Als je website is gehackt, moet je snel handelen. Haal 'm meteen offline en neem contact op met je hostingprovider of een expert in cyberveiligheid. Laat daarna je klanten zo snel mogelijk weten wat er gebeurd is, vooral als hun gegevens gestolen zijn. Houd je ook aan de regels van de AVG over datalekken.
Om contact met je klanten te houden en eerlijk te blijven communiceren, kun je sociale media zoals Instagram, Facebook of WhatsApp gebruiken voor updates en bestellingen.
Zodra het kan, zet dan een schone back-up van je website terug, verander al je wachtwoorden en beveilig alle toegangspunten.
Door snel te reageren en in contact te blijven met je klanten, kun je de schade beperken, je reputatie beschermen en blijven ondernemen.
– Prof. dr. Rutger Leukfeldt, directeur van het Centre of Expertise Cybersecurity van De Haagse Hogeschool
Veel ondernemers denken dat alleen grote ondernemingen doelwit zijn van cybercriminelen. Niets is minder waar. Ook kleine bedrijven lopen een aanzienlijk risico. Sterker nog, ze zijn vaak aantrekkelijker voor hackers omdat ze doorgaans minder budget en personeel beschikbaar hebben voor cybersecurity. Dit maakt hun websites een eenvoudiger doelwit voor datadiefstal, ransomware en financiële fraude.
Gelukkig zijn er diverse betaalbare maatregelen die je kunt nemen om je bedrijf te beschermen, de kans op een cyberaanval te verkleinen en het vertrouwen van je klanten te behouden.
Allereerst: dagelijkse veiligheidsgewoontes voor je fysieke zaak
Je fysieke zaak is óók een toegangspunt voor cybercriminelen. Met deze richtlijnen versterk je niet alleen de beveiliging van je website, maar maak je ook je onderneming zelf een stuk veiliger:
Beveilig je wifi-netwerk in de winkel
Zorg voor een sterk wachtwoord en splits je netwerk in tweeën: één voor je klanten en één voor je apparaten zoals kassa’s en printers. Schakel bovendien de SSID-broadcast uit als je netwerk niet openbaar hoeft te zijn. Zo voorkom je dat onbekenden makkelijk toegang krijgen.
Gebruik een veilig kassasysteem (POS)
Zorg ook dat je kassasysteem goed versleuteld is, regelmatig updates ontvangt en niet via dezelfde inloggegevens bereikbaar is als je website. Zo voorkom je dat één lek meteen al je systemen blootstelt.
Let op QR-code oplichting
QR-codes op tafels of posters kunnen ongemerkt vervangen worden door valse versies. Controleer daarom regelmatig of ze nog steeds naar jouw eigen pagina’s leiden, zodat je klanten niet in de val lopen.
Verwijder oude apparaten en accounts
Ligt er ergens nog een oude laptop onder de toonbank? Haal ‘m offline of wis ‘m helemaal. Vergeet ook niet om accounts van tijdelijke krachten direct te verwijderen zodra ze vertrekken.
Vergrendel je apparaten automatisch
Een tablet of pc die open blijft staan, is een groot risico. Zorg daarom voor automatische schermvergrendeling en gebruik aparte profielen per gebruiker.
De basisprincipes van website beveiliging voor lokale kleine bedrijven
Voor veel lokale bedrijven is de website een belangrijk onderdeel geworden van hun dagelijkse bedrijfsvoering. Het is waar nieuwe klanten je vinden, vragen kunnen stellen, en boekingen en bestellingen kunnen doen. Maar als je website niet goed is dichtgetimmerd, loop je het risico op reputatieschade en verlies van omzet. Helaas neemt 1 op de 3 kleine ondernemers geen enkele actie om de eigen zaak te beschermen:
“Het aantal kleinere mkb-bedrijven (<10 medewerkers) dat geen enkele maatregel lijkt te nemen, is toegenomen naar een derde van de populatie. In 2023 nam 19 procent van de kleine bedrijven geen actie.” — Ministerie van Economische Zaken, Alert Online 2024
Hier volgt een concrete checklist waarmee je jouw website optimaal kunt beveiligen:
SSL certificaten
Digitale SSL-certificaten (Secure Sockets Layer) versleutelen de gegevensuitwisseling tussen je website en bezoekers. Hierdoor blijven persoonlijke en financiële informatie beschermd tegen onderschepping door derden.
Een veilige website is herkenbaar aan “https” in de URL en een slotje in de browser. Dit wekt vertrouwen bij bezoekers en laat zien dat hun privacy serieus wordt genomen
Bovendien heeft een versleutelde verbinding een positieve invloed op je positie in zoekmachines zoals Google.
De meeste webhostingproviders bieden deze certificaten aan in hun hostingpakketten. Als alternatief kun je ze kopen bij specifieke providers zoals DigiCert of GlobalSign.
Veilige hosting
Zelfs de meest veilige website code is kwetsbaar zonder solide hosting. Een goede provider biedt essentiële beveiligingsmaatregelen, waaronder:
- Firewalls
- Malware scans
- DDoS bescherming
- Regelmatige backups
Phishing, smishing, vishing, and whaling
Deze social engineering-aanvallen zijn allemaal bedoeld om mensen te misleiden, zodat ze gevoelige informatie prijsgeven.
- Phishing zijn valse e-mails.
- Smishing verloopt via sms.
- Vishing gebeurt via telefoongesprekken.
- Whaling is een gerichte aanval op hoge leidinggevenden.
Beveilig je bedrijf door spamfilters te installeren en je personeel alert te maken. Wees voorzichtig met berichten die van je website lijken te komen, zeker als ze om persoonlijke gegevens of ongebruikelijke betalingen vragen.
Wachtwoorden en Tweestapsverificatie (2FA)
Tweestapsverificatie (2FA) voegt een extra beveiligingslaag toe aan je account. Naast je wachtwoord heb je een tweede verificatiemethode nodig, vaak een code die je via sms ontvangt of die door een app wordt gegenereerd. Dit maakt het veel moeilijker voor cyberboefjes om toegang te krijgen, zelfs als ze je wachtwoord weten.
Genereer en bewaar sterke wachtwoorden met een wachtwoordmanager zoals 1Password of Bitwarden, en schakel 2FA in op je meest belangrijke platformen zoals het beheerderspaneel van je website, e-mailaccounts en betaalproviders.
“Ondernemer Tom, die 2 sleutelspeciaalzaken heeft, doet zijn boekhouding via telebankieren. Op een dag krijgt hij bezoek van de politie. Er blijken de laatste maanden veel diefstallen te zijn gepleegd bij bedrijven waar Tom sleutels heeft geleverd.” — een praktijkvoorbeeld uit Cybercrime, serieus probleem voor bedrijven, MKB-Nederland
Veilige betaalmethoden
Externe betaaldiensten zoals Klarna, iDEAL en Mollie bieden beveiligingsmaatregelen die klantgegevens beschermen en helpen je bedrijf te voldoen aan PCI DSS-vereisten, waardoor het risico op fraude wordt verminderd.
Het gebruik van een (of meerdere) veilige betaalmethoden betekent dat je nooit direct gevoelige informatie hoeft op te slaan of te verwerken. Je kunt deze betaalmethoden integreren via je e-commerce platform of een ontwikkelaar inhuren om de juiste installatie te garanderen.
Software and plugin updates
Updates zijn een vaak vergeten, maar kritiek onderdeel van websitebeveiliging. Hackers maken namelijk graag gebruik van bekende zwakke plekken in verouderde software.
Regelmatige updates verhelpen deze kwetsbaarheden en verbeteren de functionaliteit. De meeste CMS-platformen, zoals WordPress, bieden automatische updates aan, of je kunt wekelijks controleren op nieuwe versies. Als je dit liever niet zelf doet, schakel dan een ontwikkelaar in of sluit een onderhoudscontract voor je website af om dit voor je te regelen
Regelmatige back-ups van je website maken
Een recente back-up van je website stelt je in staat om snel te herstellen na problemen zoals cyberaanvallen, hardwarefouten of onbedoelde verwijderingen.
Maak regelmatig back-ups van je website
Een goede webhostingprovider maakt automatisch back-ups van je site. Je kunt back-ups echter ook op meerdere locaties opslaan, zoals in de cloud (bijvoorbeeld Google Drive of Dropbox). Dit voegt een extra beveiligingslaag toe.
Naleving van wet- en regelgeving voor gegevensbescherming
Regelgeving voor gegevensbescherming, zoals de AVG (Algemene Verordening Gegevensbescherming), is wettelijk verplicht voor bedrijven die persoonlijke informatie verzamelen. Deze wetten vereisen transparantie over het gebruik van gegevens, toestemming van de gebruiker, het recht op verwijdering van gegevens en veilige procedures voor gegevensverwerking.
Zorg ervoor dat je een privacybeleid hebt, banners plaatst voor cookietoestemming en alleen de strikt noodzakelijke gegevens verzamelt om aan de wet te voldoen. Raadpleeg bij twijfel een juridisch adviseur of compliance consultant.
“Ik was laatst in Zeeland, bij een mode-ondernemer. Criminelen waren via phishing op zijn webshop gekomen en hadden deze niet veel later geblokkeerd. Hij kon niets meer. En dat terwijl hij 70 procent van zijn omzet uit online haalde. Daar zit je dan, met een site op zwart. De criminelen eisten 1000 euro losgeld, te betalen in bitcoin.” - Jan Meerman, INretail in een interview met de Ondernemer
Regelmatige beveiligingsaudits
Door je website en digitale systemen regelmatig te controleren, kun je kwetsbaarheden en potentiële risico's opsporen voordat ze misbruikt worden. Tijdens een audit wordt gekeken naar verouderde software, onveilige instellingen en verdachte activiteiten.
Je kunt zelf eenvoudige audits uitvoeren met gratis tools zoals Sucuri SiteCheck of internet.nl. Voor een grondiger onderzoek kun je een cybersecurity consultant inhuren. Plan deze audits elk kwartaal in of na een belangrijke wijziging aan je website.
Controle en beperking van gebruikerstoegang
Niet elke medewerker heeft volledige beheerderstoegang tot de website nodig. Door passende rollen toe te wijzen, zoals redacteur, auteur of beheerder, verklein je de kans op onbedoelde of kwaadwillende wijzigingen.
Dit is vooral belangrijk als je met externe contractanten of freelancers werkt. Toegang op basis van rollen kan worden ingesteld via de gebruikersinstellingen van je site. Controleer en verwijder verouderde toegangsrechten regelmatig.
Geef je werknemers informatie over cyberveiligheid
Menselijke vergissingen zijn vaak de oorzaak van problemen met websitebeveiliging. Het is belangrijk om je team te leren hoe ze in de praktijk met deze situaties om moeten gaan om je website veilig te houden. Denk hierbij aan:
- Het herkennen van nep-inlogpagina's die lijken op de beheerdersomgeving van uw website.
- Wat te doen als een onbetrouwbare plug-in toegang tot beheerdersrechten vraagt.
- Veilig omgaan met klantgegevens in contentmanagementsystemen of betaalsystemen.
- Het correct uitvoeren van updates.
Train je personeel op echte situaties
Denk aan verdachte telefoontjes (“Ik ben van je webhost…”), valse betaalverzoeken of klanten die stiekem foto’s maken van je scherm. Geef je team duidelijke instructies zodat ze alert blijven.
Er zijn gratis en betaalde online trainingen beschikbaar om het bewustzijn van cyberveiligheid te vergroten. Ook de Nederlandse Kamer van Koophandel biedt vaak webinars en materialen speciaal voor kleine ondernemers aan.
Belangrijk: beperk de toegang voor medewerkers
Niet elke medewerker hoeft beheerder te zijn. Geef iedereen alleen de rechten die ze écht nodig hebben en zet accounts meteen uit als iemand weggaat.
Wat te doen als je website is aangevallen?
Als je website is gehackt, moet je snel handelen. Haal 'm meteen offline en neem contact op met je hostingprovider of een expert in cyberveiligheid. Laat daarna je klanten zo snel mogelijk weten wat er gebeurd is, vooral als hun gegevens gestolen zijn. Houd je ook aan de regels van de AVG over datalekken.
Om contact met je klanten te houden en eerlijk te blijven communiceren, kun je sociale media zoals Instagram, Facebook of WhatsApp gebruiken voor updates en bestellingen.
Zodra het kan, zet dan een schone back-up van je website terug, verander al je wachtwoorden en beveilig alle toegangspunten.
Door snel te reageren en in contact te blijven met je klanten, kun je de schade beperken, je reputatie beschermen en blijven ondernemen.
Op de hoogte blijven van onze updates?
.gif)
