Gids Cyberbeveiliging

De meest voorkomende fouten op het gebied van cyberbeveiliging die kleine en middelgrote bedrijven maken

De meeste kleine en middelgrote bedrijven die te maken kregen met een cyberincident hadden geen pech. Ze hadden een of meer van dezelfde zeven gaten die aanvallers consequent misbruiken. Deze gids identificeert elke fout, legt uit waarom deze ertoe doet en geeft u de praktische stappen om deze te verhelpen.

CT
Cyvra-team
Cyberbeveiliging
19 mei 2026
7 minuten lezen
Belangrijkste afhaalrestaurants
  • Beveiliging is een continu proces, geen project met een einddatum
  • Multi-factor authenticatie blokkeert de meeste aanvallen op basis van inloggegevens
  • Niet-gepatchte software is de meest voorkomende aanvalsvector in alle bedrijfsgroottes
  • Bij de meeste inbreuken gaat het om menselijke fouten; technische controles zonder training laten een leemte achter
  • Aanvallers richten zich niet op bedrijven op grootte; ze richten zich op degene die de zwakste controle heeft
43%
van de cyberaanvallen is gericht op kleine bedrijven, niet alleen op grote ondernemingen
80%+
van de gemelde beveiligingsincidenten is phishing het eerste toegangspunt

1. Beveiliging behandelen als een eenmalig project

Een veel voorkomend patroon in de cyberbeveiliging van kleine bedrijven is de ‘projectmentaliteit’: een uitbarsting van activiteit, een set tools geïnstalleerd en vervolgens de veronderstelling dat de klus geklaard is. Twee jaar geleden is er een firewall geconfigureerd. Het antivirusprogramma is actief. Wachtwoorden zijn na de laatste schrik gewijzigd. Dit zijn nuttige stappen op een vast tijdstip. De omgeving om hen heen verandert voortdurend.

Wekelijks worden er nieuwe kwetsbaarheden in software ontdekt. Er ontstaan ​​nieuwe phishing-technieken terwijl oude worden gefilterd door e-mailgateways. Ook de systemen in uw bedrijf veranderen: er komt nieuw personeel bij, er komen nieuwe clouddiensten bij, oude laptops worden vervangen zonder dat ze op de juiste wijze buiten gebruik worden gesteld. Elk van deze veranderingen kan een leemte openen die er niet was toen u voor het laatst uw beveiligingshouding onder de loep nam.

Een gedefinieerde beoordelingscyclus regelt dit zonder een groot team: een driemaandelijkse controle van gebruikersaccounts en toegang, een maandelijkse bevestiging dat patches worden toegepast en een jaarlijkse beoordeling van uw algehele controles. Bedrijven die deze ritmes hanteren, presteren consequent beter dan bedrijven die één keer zwaar investeren en dan een stapje terug doen.

2. Alleen op wachtwoorden vertrouwen

Wachtwoorden kunnen worden gestolen, geraden, hergebruikt en gelekt zonder dat de accounteigenaar het ooit weet. Gegevensdumps van niet-gerelateerde inbreuken circuleren online, en geautomatiseerde tools testen gestolen combinaties van gebruikersnaam en wachtwoord op zakelijke e-mailplatforms, cloudopslag en systemen voor externe toegang binnen enkele minuten nadat een dump is geplaatst.

Multi-factor authenticatie (MFA) verandert de vergelijking. Zelfs als een wachtwoord correct is, kan de aanvaller niet verdergaan zonder ook de tweede factor te controleren, meestal een telefoon- of hardwaretoken. Uit eigen onderzoek van Microsoft is consequent gebleken dat MFA meer dan 99% van de geautomatiseerde credential-aanvallen blokkeert. De technologie is volwassen, gratis of zeer goedkoop op de meeste grote platforms, en het duurt minder dan een uur om in een kleine zakelijke omgeving te worden geïmplementeerd.

Begin met e-mailaccounts: e-mail is de hoofdsleutel voor de meeste andere services via links voor het opnieuw instellen van wachtwoorden. Hulpmiddelen voor externe toegang (VPN's, extern bureaublad), bestandsopslag in de cloud en elk ander financieel of salarisplatform zouden moeten volgen. De technische implementatie is eenvoudig; het moeilijkere deel is het afdwingen ervan voor alle accounts, inclusief degenen die tot het hogere personeel behoren en de meest gerichte aanvallen ontvangen.

3. Software- en firmware-updates negeren

Niet-gepatchte software is de meest misbruikte categorie van kwetsbaarheden bij cyberincidenten die bedrijven van elke omvang treffen. Wanneer een beveiligingspatch wordt uitgebracht, wordt deze geleverd met een beschrijving van wat deze corrigeert. Die beschrijving wordt zowel door verdedigers als aanvallers gelezen. Aanvallers scannen vervolgens naar systemen die de oplossing nog niet hebben toegepast en exploiteren deze op grote schaal. Het tijdsbestek tussen het uitbrengen van een patch en het waarnemen van actieve exploitatie wordt nu gemeten in dagen, soms uren.

Veel MKB-bedrijven draaien maanden of jaren achter op software met updates. Updates kosten tijd en maken soms dingen kapot, en er is zelden iemand wiens expliciete taak het patchen omvat. Door deze uit te stellen ontstaat een steeds bredere blootstelling aan bekende kwetsbaarheden waarvoor werkende exploits openbaar beschikbaar zijn.

Firmware-updates worden vaak volledig over het hoofd gezien. De software die op uw router, uw beheerde switches en uw firewallhardware draait, ontvangt beveiligingsupdates, net zoals besturingssystemen dat doen. Een router met firmware uit 2021 bevat vrijwel zeker kwetsbaarheden die inmiddels zijn onthuld en uitgebuit. Door uw netwerkhardware eenmaal per kwartaal te controleren op firmware-updates, naast het patchen van uw software, sluit u een risicocategorie af die de meeste kleine bedrijven nog nooit hebben aangepakt.

4. Iedereen beheerderstoegang geven

Belangrijk

Het geven van beheerdersrechten aan al het personeel betekent dat één gecompromitteerd account een aanvaller volledige toegang geeft tot alles op die machine en mogelijk tot het bredere netwerk. Ransomware vertrouwt hierop: het werkt met alle rechten die de ingelogde gebruiker heeft. Als die gebruiker een beheerder is, kan de ransomware het hele systeem versleutelen en zich naar netwerkshares verspreiden. Als de gebruiker over standaardrechten beschikt, blijft de schade aanzienlijk beperkt.

Met beheerderstoegang kan software worden geïnstalleerd, systeeminstellingen worden gewijzigd en beveiligingsmaatregelen worden gewijzigd. In een klein bedrijf waar iedereen zijn eigen laptop gebruikt en software vrijelijk installeert, voelt het alsof het verlenen van beheerdersrechten de weg van de minste weerstand is. In de praktijk betekent dit dat elk stukje malware dat op elke machine in uw bedrijf draait, hetzelfde toegangsniveau krijgt alsof u het zelf de sleutels had gegeven.

Het principe van de minste privileges is de juiste aanpak: elk account mag alleen de toegang hebben die nodig is om de taak uit te voeren waarvoor het wordt gebruikt. Standaardgebruikersaccounts voor het dagelijkse werk en een apart beheerdersaccount dat alleen wordt gebruikt als verhoogde rechten echt vereist zijn. De meeste bedrijfssoftware werkt prima onder standaard gebruikersrechten. De software die aandringt op beheerdersrechten zou de vraag moeten oproepen of deze daadwerkelijk nodig is.

Om dit te implementeren is geen complexe infrastructuur nodig. In een Windows-omgeving duurt het maken van standaardgebruikersaccounts en een afzonderlijk lokaal of domeinbeheerdersaccount minder dan een uur. De vermindering van de explosieradius wanneer het account van een personeelslid wordt gecompromitteerd, is onmiddellijk en substantieel.

5. Back-ups hebben, maar deze nooit testen

Bijna elk bedrijf dat een ransomware-incident heeft meegemaakt, zal u vertellen dat ze back-ups hadden. De vervolgvraag is altijd dezelfde: hebben ze ooit getest of die back-ups ook daadwerkelijk succesvol zijn hersteld? In de meeste gevallen is het antwoord nee. Back-upsoftware draait stilletjes op de achtergrond, registreert de voltooiing van rapporten en niemand controleert of de herstelde gegevens daadwerkelijk bruikbaar zijn totdat een echt herstel nodig is.

Back-upfouten komen vaker voor dan de meeste mensen denken. Bestanden waarvan een back-up is gemaakt terwijl ze door een ander proces waren geopend, worden vaak beschadigd tijdens de back-up. Cloudback-upconfiguraties die één keer zijn ingesteld en nooit zijn beoordeeld, sluiten vaak nieuwe mappen, nieuwe schijven of nieuwe systemen uit die sinds de eerste installatie zijn toegevoegd. Back-upmedia die twaalf maanden geleden prima werkten, kunnen stilletjes zijn mislukt zonder dat iemand het merkt, omdat niemand heeft geprobeerd ervan te lezen.

De uit te voeren test is eenvoudig: kies een willekeurige selectie van bestanden uit uw back-up, herstel ze naar een testlocatie en bevestig dat ze correct worden geopend. Voor een server of een kritiek systeem gaat u nog een stap verder en controleert u of een volledig systeemherstel de machine daadwerkelijk weer in werkende staat kan brengen. Deze oefening moet minstens elk kwartaal worden uitgevoerd. Door het resultaat te documenteren ontstaat een dossier van due diligence dat van belang is voor verzekeringsclaims en, waar relevant, voor regelgevingsdoeleinden. Het doel van een back-up is niet het maken ervan. Het is het vermogen om ervan te herstellen.

Een back-up die u nog nooit hebt getest, is een back-up die u niet heeft. Herstel wordt alleen getest als u het bewust test.

6. Medewerkers niet trainen in het herkennen van phishing

Phishing is verantwoordelijk voor ruim 80% van de gerapporteerde beveiligingsincidenten. De techniek werkt omdat deze zich richt op mensen in plaats van op systemen. Een goed opgestelde phishing-e-mail hoeft geen misbruik te maken van een softwarekwetsbaarheid. Er is een medewerker nodig die op een link klikt, een bijlage opent of zijn of haar inloggegevens invoert op een overtuigende nep-inlogpagina. Technische verdedigingsmechanismen filteren een groot deel van de phishing-pogingen weg, maar vangen niet alles op, en de e-mails die er doorheen komen zijn doorgaans de meest overtuigende.

Trainen is geen eenmalige gebeurtenis. Een enkele jaarlijkse sessie levert enige bewustwording op, maar deze vervaagt snel. De meest effectieve aanpak combineert korte, regelmatige training met gesimuleerde phishing-oefeningen: medewerkers phishing-testmails sturen en bijhouden wie er klikt. Het gaat er niet om mensen eruit te halen. Het gaat erom de herkenning van phishingsignalen tot een reflex te maken in plaats van tot een doelbewuste mentale oefening. Medewerkers die één keer op een test-phishing-e-mail hebben geklikt, zijn achteraf aanzienlijk waakzamer dan medewerkers die alleen een presentatie hebben bijgewoond over waarom ze niet zouden moeten klikken.

De praktische elementen die in elke phishing-training aan de orde moeten komen zijn: hoe u het daadwerkelijke e-mailadres van een afzender kunt inspecteren in plaats van alleen de weergavenaam, de tekenen van urgentie en druktactieken in phishing-berichten, hoe u een verzoek via een ander kanaal kunt verifiëren in plaats van de e-mail te beantwoorden, en wat u moet doen als hij vermoedt dat hij op iets heeft geklikt wat hij niet had mogen doen. Dat laatste punt is van cruciaal belang. Medewerkers die bang zijn een fout te melden omdat ze zich zorgen maken over de gevolgen, zullen zwijgen, en een stille inbreuk is veel schadelijker.

7. Ervan uitgaande dat je maat je een onwaarschijnlijk doelwit maakt

De overtuiging dat aanvallers zich richten op grote ondernemingen is een van de meest hardnekkige en gevaarlijkste misvattingen op het gebied van cyberbeveiliging voor kleine bedrijven. Het is gebaseerd op een misverstand over hoe de meeste cyberaanvallen daadwerkelijk werken. Er bestaan ​​weliswaar grote, gerichte aanvallen op specifieke organisaties, maar deze vormen slechts een klein deel van het totale aantal incidenten. De meeste aanvallen op kleine bedrijven zijn opportunistisch: geautomatiseerde tools scannen IP-bereiken op blootgestelde services, testen algemene inloggegevens op inlogpagina's en sturen phishing-campagnes op grote schaal naar geoogste e-maillijsten. Deze tools controleren de bedrijfsgrootte niet voordat ze verder gaan.

Een klein bedrijf met zwakke controles heeft meer kans op een incident dan een groot bedrijf met sterke controles, omdat de zwakke punten gemakkelijker te exploiteren zijn en de detectiemogelijkheden lager zijn. Aanvallers die op grote schaal opereren, kiezen de weg van de minste weerstand. Een slecht beveiligd klein bedrijf is vaak dat pad.

Er is ook een secundaire targetinglogica die specifiek veel kleine en middelgrote bedrijven treft. Kleine bedrijven treden vaak op als leveranciers, aannemers of technologiepartners voor grotere organisaties. Aanvallers die toegang willen tot de systemen van een groot doelwit, zullen soms eerst een kleinere leverancier in gevaar brengen en vervolgens die steunpunt gebruiken om het primaire doelwit te bereiken. Dit aanvalspatroon in de toeleveringsketen betekent dat het risico voor een klein bedrijf niet alleen te maken heeft met het beschermen van zijn eigen gegevens. Het houdt het risico in dat u wordt gebruikt als brug naar een veel grotere inbreuk, met alle gevolgen van dien voor uw reputatie en contracten.

Bewustzijn omzetten in actie

Het is nuttig om een ​​lijst met veelgemaakte fouten te lezen. Er iets aan doen voordat er zich een incident voordoet, is wat bedrijven onderscheidt die snel herstellen van bedrijven die dat niet doen. De zeven bovenstaande gebieden worden in grove volgorde weergegeven in volgorde van hoe vaak ze voorkomen in beoordelingen na incidenten, maar ze zijn allemaal de moeite waard om aan te pakken, ongeacht waar u denkt dat u staat.

Een praktisch startpunt is een zelfevaluatie op deze zeven gebieden. Vraag voor elk ervan of u over een gedocumenteerde praktijk beschikt en of die praktijk vandaag de dag consistent wordt gevolgd, en niet alleen in theorie. In de kloof tussen beleid en werkelijkheid gebeuren incidenten. Als u meerdere gaten ontdekt en niet zeker weet waar u moet beginnen, is MFA voor e-mail- en cloudaccounts de enige controle die de meest directe risicoreductie oplevert tegen de minste moeite en kosten.

  • Schakel eerst MFA in voor e-mail. E-mail is de hoofdsleutel voor de meeste andere diensten. Het duurt minder dan een uur om dit te configureren en blokkeert onmiddellijk de meeste geautomatiseerde credential-aanvallen.
  • Pas deze week openstaande beveiligingspatches toe. Controleer uw besturingssystemen, uw bedrijfssoftware en uw router- of firewallfirmware. Stel een maandelijkse kalenderherinnering in om deze controle te herhalen.
  • Bekijk wie beheerdersrechten heeft. Verwijder ze van elk account dat ze niet echt nodig heeft voor het dagelijkse werk. Maak een afzonderlijk beheerdersaccount dat alleen wordt gebruikt als verhoogde toegang vereist is.
  • Test uw back-ups. Herstel vandaag nog een voorbeeld van bestanden en controleer of ze correct worden geopend. Plan een driemaandelijkse herinnering om deze test te herhalen en het resultaat te documenteren.
  • Organiseer een phishing-bewustzijnssessie voor al het personeel. Behandel hoe u een verdachte e-mail kunt herkennen, hoe u een verzoek via een ander kanaal kunt verifiëren en, cruciaal, hoe u een klik kunt melden zonder angst voor schuld.

Voor geen van deze stappen is een groot budget of een specialistische infrastructuur nodig. Ze vereisen tijd en consistentie. Bedrijven die ze toepassen, verminderen hun blootstelling aan de meeste bedreigingen waar het MKB vandaag de dag mee te maken heeft. Degenen die dat niet doen, worden niet beschermd door hun grootte.

De NCSC publiceert een praktische cyberbeveiligingsbasislijn voor kleine en middelgrote bedrijven, die dezelfde fundamentele controles omvat als beschreven in deze gids. ENISA's bronnen voor beste praktijken op het gebied van cyberbeveiliging aanvullende implementatiedetails bieden voor organisaties die hun beveiligingsprogramma uitbouwen.

Veelgestelde vragen

Hoe weet ik of mijn bedrijf is gehackt?

Veel inbreuken blijven weken of maanden onopgemerkt. Veel voorkomende indicatoren zijn onder meer onverwachte verzoeken om wachtwoorden opnieuw in te stellen, accounts die zonder uitleg zijn vergrendeld, ongebruikelijke inlogactiviteiten vanaf onbekende locaties of tijden, langzamere netwerkprestaties zonder duidelijke technische reden, en bestanden die gecodeerd lijken of een andere naam hebben gekregen. Uw medewerkers melden mogelijk ook dat ze reacties hebben ontvangen op e-mails die ze nooit hebben verzonden, wat erop wijst dat een account is gecompromitteerd en is gebruikt om phishing-berichten te verzenden. Als u een inbreuk vermoedt, isoleer dan de getroffen systemen, bewaar logbestanden voordat er iets wordt overschreven en neem onmiddellijk contact op met een cyberbeveiligingsprofessional. Probeer niet de omgeving op te ruimen voordat bewijsmateriaal is verzameld.

Wat is de minimale basislijn voor cyberbeveiliging die een klein bedrijf zou moeten hebben?

Een praktische minimale basislijn voor een klein bedrijf omvat: multi-factor authenticatie voor alle accounts, vooral voor e-mail, cloudservices en elk systeem dat toegankelijk is van buiten het kantoor; een patchroutine die beveiligingsupdates toepast binnen twee weken na release; externe of cloudgebaseerde back-ups die ten minste elk kwartaal worden getest; een beheerdersaccountstructuur die de dagelijkse gebruikersaccounts scheidt van bevoorrechte beheerdersaccounts; en ten minste één phishing-bewustzijnssessie per jaar voor al het personeel. Naast deze vijf controles zullen een basiscontrole van de firewallconfiguratie en een inventarisatie van welke software en services u daadwerkelijk gebruikt, een aanzienlijk deel van de gaten dichten waar aanvallers routinematig misbruik van maken.

Is cyberverzekering voldoende zonder beveiligingscontroles?

Nee. Cyberverzekeringen zijn een instrument voor financieel herstel, geen preventie- of detectie-instrument. Belangrijker nog is dat de meeste cyberverzekeringspolissen beveiligingscontrolevereisten omvatten als onderdeel van het acceptatieproces. Als er een claim wordt ingediend en uit het onderzoek van de verzekeraar blijkt dat er op het moment van het incident geen basiscontroles waren uitgevoerd, kan de claim worden afgewezen of aanzienlijk worden verminderd. Beleid vereist gewoonlijk MFA voor e-mail en externe toegang, regelmatige back-ups en up-to-date software als minimale dekkingsvoorwaarden. Als u een verzekering afsluit zonder de controles uit te voeren waarvan wordt aangenomen dat u deze heeft, creëert u een vals gevoel van veiligheid en kunt u de verwachte uitkering mislopen wanneer u deze het meest nodig heeft.

Praat met Cyvra

Weet u niet zeker waar uw gaten zitten?

We werken samen met kleine en middelgrote bedrijven in heel Nederland en Groot-Brittannië om zwakke punten in de beveiliging te identificeren en praktische controles te ontwikkelen die daadwerkelijk worden gebruikt.

Neem contact op Onze cyberbeveiligingsdiensten

Vrijwaring: Dit artikel is uitsluitend bedoeld voor algemene informatiedoeleinden en vormt geen juridisch, regelgevend of professioneel advies. Cyvra geeft geen garantie met betrekking tot de juistheid of volledigheid van deze inhoud. Lezers moeten onafhankelijk advies inwinnen dat geschikt is voor hun specifieke omstandigheden. Cyvra aanvaardt geen aansprakelijkheid voor enig verlies dat voortvloeit uit het vertrouwen op deze inhoud.