1. Home
  2. Kennis
  3. Digitalisering
  4. Cyberveiligheid

Cyberveiligheid

Ook in de bouw is de dreiging van cyberaanvallen aan de orde van de dag: een op de drie bedrijven wordt geraakt door hackers. We helpen je graag op weg om veiliger te werken.

Praktische hulpmiddelen om digitaal veilig te werken

De vijf basisprincipes hieronder helpen je om digitaal veiliger te werken. 

Basisprincipe 1: inventariseer de kwetsbaarheiden in je onderneming

Inzicht in de risico's maakt het makkelijker om je organisatie beter te beschermen tegen cyberdreigingen. Bij risico's kijk je naar:

  • Beschikbaarheid: hoe erg is het dat een systeem het niet meer doet?
  • Integriteit: hoe erg is het dat bepaalde gegevens niet juist zijn?
  • Vertrouwelijkheid: hoe erg is het dat gegevens naar buiten lekken?

Stappenplan voor een risicoanalyse

Stap 1: bepaal wat je wil beschermen

Om je risico's te kunnen identificeren, begin je met het in kaart brengen van wat waarde heeft voor jouw bedrijf. Dat kunnen bijvoorbeeld digitale gegevens zijn zoals klantgegevens, unieke ontwerpen, specifieke kennisproducten, recepturen, productiemethoden of productkenmerken. Denk ook aan gegevens over je medewerkers, omzet of financiële gegevens. Als laatste kun je ook de reputatie van je bedrijf onder jouw kroonjuwelen scharen.

Stap 2: identificeer de risico's

Met een goed beeld van wát het is dat je wilt beschermen, kun je ook de waarde ervan bepalen. Dit is nodig omdat je in deze stap gaat identificeren welke risico's er zijn. Wanneer een kroonjuweel een hogere waarde heeft, resulteert dit meestal ook in grotere risico's. Risico's kom je in verschillende vormen tegen. Zo kun je denken aan een kwetsbaarheid in een informatiesysteem, brandgevaar of onhandigheid van een medewerker. Er zijn verschillende methoden om risico's te identificeren:

  • Ten eerste kun je kijken naar wat je al eens bent tegengekomen in je bedrijf. Bijvoorbeeld het verliezen van bestanden of een stroomstoring.
  • Ook voor jouw onderneming geldende wet- en regelgeving kan risico's aan het licht brengen, bijvoorbeeld de AVG.
  • Weet dat er ook partijen zijn die je kunnen helpen om je risico's in kaart te brengen.  

Stap 3: analyseer de gevonden risico's

Als je een beeld hebt van de risico's die een gevaar vormen voor je kroonjuwelen, kom je bij de stap om de risico's te analyseren. Als de gebeurtenis zich voltrekt, wat voor gevolgen brengt dat dan met zich mee? Hoe groot is de kans dat het risico zich voordoet? Om de kans en gevolgen beter te kunnen bepalen, kun je gebruik maken van een kwalitatieve of een kwantitatieve methode.

  • Kwalitatief
    Bij een kwalitatief beeld praat je niet direct in cijfers en bedragen. Je kunt in het geval van een kwetsbaarheid bijvoorbeeld kijken of het makkelijk is om deze te misbruiken. Daarnaast kan je denken aan het motief dat een hacker kan hebben. Om zo'n kwalitatieve methode in kaart te brengen kan je termen als 'Laag', 'Medium' of 'Hoog' gebruiken om de kans en gevolgen weer te geven.

  • Kwantitatief
    In het geval van een kwantitatief beeld praat je wel in cijfers en bedragen. Je kunt formules gebruiken om zowel de kans, als de gevolgschade te bepalen. Om aan deze cijfers te komen, kun je bijvoorbeeld naar statistieken uit het verleden kijken. Hoe vaak heb je het afgelopen jaar bijvoorbeeld een stroomstoring gehad waardoor de computersystemen het niet meer deden? Is dat er één of geen, dan zal je dit anders inschatten dan wanneer dit twintig keer is gebeurd. 

Vaak worden boven genoemde methoden samen gebruikt. De uitkomsten zullen je helpen in de volgende stap om te bepalen welke actie passend is.

Stap 4: besluit wat je gaat doen

Nu je de risico's in kaart hebt en een beeld hebt van de kans en de gevolgen, kun je overgaan tot het nemen van besluiten. Een hulpmiddel hierbij is deze risicomatrix waarbij je een indicatie krijgt van te nemen acties per risico. Er zijn vier mogelijke acties die je kunt nemen bij een risico. Deze vier acties variëren per kans en gevolg. Let op: dit is een versimpeling. Er zijn methodes waarbij tenminste negen, zestien of zelfs 25 of meer vakjes worden gebruikt. In dit geval gaat het om de basis:

  • Accepteren: je weet dat je een risico loopt maar je accepteert het risico. In dit vak gaat het vaak om risico's met een kleine kans en kleine gevolgen.
  • Oplossen: je neemt maatregelen waardoor je het risico zoveel mogelijk beperkt en mogelijk zelfs kunt uitsluiten. In dit vak plaats je risico's met een grote kans en kleine gevolgen. Bijvoorbeeld: maak een back-up om het verlies van bestanden te voorkomen.
  • Overdragen: je verschuift het risico naar een ander door bijvoorbeeld een verzekering af te sluiten. Een goed voorbeeld hiervan is een brandverzekering. Plaats in dit vak de risico's met een kleine kans maar met grote gevolgen.
  • Stoppen: je voert de activiteiten waarop je een risico loopt, niet meer uit. In dit vak horen risico's met een grote kans én grote gevolgen. 

Hoe hierna verder?

Het is van belang om risico’s van tijd tot tijd opnieuw te bekijken. De markt, jouw bedrijf, maar ook de technologie staat immers niet stil. Het kan dus zijn dat jouw omgeving of jouw bedrijf is veranderd waardoor er nieuwe risico's zijn ontstaan of bestaande risico's in kans of gevolg veranderd zijn. 

Basisprincipe 2: kies veilige instellingen voor apparatuur en software

Door het gebruik van standaardinstellingen ontstaat het risico dat apparatuur, software en netwerkverbindingen direct vanaf internet te benaderen zijn. Het is secondewerk voor geautomatiseerde programma's om deze systemen online op te sporen en in te breken.

Stappenplan voor veilige instellingen

Stap 1: controleer de instellingen

Controleer de instellingen van jouw apparatuur, software en netwerk- en internetverbindingen. Pas standaardinstellingen aan voordat je ze aansluit op internet en kijk kritisch naar functies en diensten die automatisch 'aan' staan terwijl je ze misschien niet nodig hebt of gebruikt. Lees hier hoe je Internet of Things-apparaten kan beveiligeneen bedrijfsnetwerk kan beveiligen en hoe je beveiligingsstandaarden voor e-mail kan checken.

Stap 2: gebruik veilige, sterke en verschillende wachtwoorden

Met een wachtwoord bescherm je de vaste en mobiele apparaten van je bedrijf, maar ook je bedrijfsgegevens in de cloud, draadloze netwerken, e-mailaccounts en socialemediaaccounts. De meeste wachtwoorden bestaan uit een combinatie van letters en cijfers, maar er zijn ook andere opties zoals het gebruik van een pincode, Touch ID of beveiligingspatroon. Controleer in twee eenvoudige stappen de sterkte van je wachtwoord met de wachtwoordtool van Veiliginternetten.nl.

Stap 3: stel extra beveiliging in

Soms is een wachtwoord alleen niet voldoende. Toegang tot bankzaken, bedrijfsgegevens in de cloud of de adminomgeving van het bedrijfsnetwerk, vragen om extra beveiliging. Controleer of extra beveiliging mogelijk is en stel deze in. Denk hierbij aan tweestapsverificatie en het inloggen met een token.

Stap 4: gebruik een firewall 

Een firewall is een stuk software (of hardware) dat een verdedigingsmuur tussen jouw bedrijfsnetwerk en andere netwerken optrekt. Met een firewall controleer en beheer je welke verbindingen tussen het netwerk en andere netwerken worden opgezet. In het eenvoudigste geval gaat het om de verbinding tussen jouw bedrijfsnetwerk en internet. Binnen deze verbinding kan binnenkomend verkeer worden geanalyseerd om uit te zoeken of het al dan niet in het netwerk moet worden toegelaten. Er zijn verschillende soorten firewalls. De meest voorkomende zijn:

  • De standaard firewall op een computer. Deze is meestal onderdeel van het besturingssysteem en kosteloos te gebruiken.
  • Een firewall voor het hele netwerk. De implementatie en het beheer hiervan vergt specialistische kennis en brengt kosten met zich mee. Sommige routers bevatten een firewall die kan worden gebruikt voor netwerkbeveiliging. De mogelijkheden hiervoor zijn per merk en model verschillend. Vraag je internetprovider of de fabrikant van de router naar de mogelijkheden.

Tips

Controleer maandelijks of de instellingen nog juist zijn. Controleer ook de instellingen voor elk nieuw apparaat, software en netwerk. Maak een afweging tussen gemak en beveiliging. Eén sleutel voor je huis, auto en kantoor is ook niet logisch. Bekijk aanvullende informatie over veilige instellingen op de website van het DTC.

Basisprincipe 3: voer updates uit voor je software en apparatuur

Updaten is van belang voor alle apparaten die verbonden zijn met een netwerk. De software op je apparaat veroudert als je geen updates doet. En dat weten cybercriminelen ook. 

Stappenplan voor het uitvoeren van updates

Stap 1: controleer of apparaten en software up-to-date zijn

Zo niet, installeer de meest recente beveiligingsupdates direct.

Stap 2: schakel automatische updates in

Zodat je apparaten en software voortaan altijd draaien op de laatste versie.

Stap 3: installeer patches

Incidenteel brengen producenten ook een zogenaamde 'patch' uit. Dit zijn vaak kleine updates die een heel specifiek probleem verhelpen. Vergeet deze ook niet direct te installeren.

Tip

Bekijk via deze link aanvullende informatie over het uitvoeren van updates op de website van het DTC.

Basisprincipe 4: beperk de toegang tot data en services

Door goed na te denken over wie je waar toegang toe geeft, voorkom je dat mensen binnen en buiten je bedrijf toegang krijgen tot systemen en data die ze voor het uitvoeren van hun werk niet nodig hebben. Denk hierbij ook aan veilig omgaan met (sterke) wachtwoorden:

  • Zorg dat je wachtwoord 'sterk' is. Een sterk wachtwoord is niet te raden en moeilijk te kraken door een computer.
  • Maak voor verschillende diensten verschillende wachtwoorden aan. Beheer deze wachtwoorden veilig en centraal met een wachtwoordmanager.

Stappenplan voor het inregelen van toegang

Stap 1: definieer toegangsrechten

Definieer per medewerker tot welke systemen en data zij toegang zouden moeten hebben om hun werk te kunnen doen.

Stap 2: zorg voor identificatie

Zorg er vervolgens voor dat een medewerker kan inloggen op de systemen en zich kan identificeren als die medewerker met bijbehorende toegangsrechten.

Stap 3: gebruik een sterke inlogsystematiek

Gebruik veilige en sterke wachtwoorden en realiseer inloggen door middel van tweefactorauthenticatie voor belangrijke systemen en data.

Stap 4: beperk fysieke toegang

Beperk de fysieke toegang van medewerkers tot ruimtes waar systemen draaien (zoals servers) of apparaten (zoals externe harde schijven en USB-sticks) en documenten zijn opgeslagen.

Stap 5: zorg voor automatische vergrendeling

Zorg dat systemen automatisch na een aantal minuten vergrendelen,  zodat deze niet toegankelijk zijn voor onbevoegden. Maak ook afspraken met medewerkers dat zij hun systeem zelf vergrendelen wanneer zij even van hun werkplek weglopen.

Tips

Zorg dat de toegangsrechten worden aangepast als iemand (van binnen en/of van buiten) een nieuwe functie krijgt of vertrekt. Bekijk aanvullende informatie over het beperken van toegang op de website van het DTC.

Basisprincipe 5: voorkom virussen en andere malware

Malware is software die computersystemen verstoort, informatie verzamelt of versleutelt. Er zijn verschillende manieren waarop malware toegang krijgt tot een computer, smartphone of netwerk. 

Stappenplan voor het voorkomen van virussen

Stap 1: stimuleer veilig gedrag van medewerkers

De cyberweerbaarheid van je bedrijf valt of staat met het gedrag van medewerkers. Medewerkers kunnen ongewild grote schade toebrengen aan het bedrijf door het aansluiten van een besmette USB-stick, het slordig zijn met (zwakke) wachtwoorden of door een phishingmail niet te herkennen. Zijn jouw medewerkers voldoende bewust van de gevaren en de mogelijke gevolgen?

Stap 2: gebruik een antivirusprogramma

Een antivirusprogramma scant je apparaten op de aanwezigheid van kwaadaardige software (malware). Een betaalde virusscanner wordt door de leverancier regelmatig bijgewerkt zodat het jouw bedrijf ook beschermt tegen de laatst bekende virussen. Wist je dat je met het gebruik van een antivirusprogramma indirect ook de apparaten van jouw klanten en andere ondernemers beschermt? Veel virussen maken namelijk gebruik van een e-mailprogramma om zichzelf te verspreiden. Zonder dat je het weet, kun je anderen ook infecteren via e-mail. Een antivirusprogramma voorkomt dit.

Stap 3: installeer apps bewust

Mocht je gebruik willen maken van zakelijks apps op je (zakelijke) tablet of smartphone, dan zijn de volgende tips van belang:

  • Installeer alleen apps uit een betrouwbare bron zoals de download omgevingen van Android en Apple. In deze omgevingen is een (beperkte) controle op de betrouwbaarheid van apps.
  • Installeer alleen apps die echt noodzakelijk zijn voor jouw bedrijfsvoering. Hoe meer apps je installeert, hoe groter de kans dat je iets verkeerds binnen krijgt.
  • Vermijd het installeren van gratis apps zoals spelletjes en vrijetijdsapps in combinatie met een zakelijke omgeving. Voor deze apps 'betaal' je vaak met het weggeven van je persoonlijke informatie. Dat is meestal het verdienmodel achter gratis apps.
  • Bij het installeren van een app wordt vaak toegang gevraagd tot andere functies op je apparaat. Dat kan zijn de camera, locatiegegevens, je contactenlijst of zelfs je betaalmogelijkheden. Geef niet standaard alle toegang die gevraagd wordt maar bedenk wat echt noodzakelijk is voor goed gebruik van deze app. Daarmee beperk je het risico op lekken van informatie en je verkleint de kans dat je slachtoffer wordt van een hackaanval.

Stap 4 - Beperk de installatiemogelijkheden van software

Mogen jouw medewerkers zelf software installeren op de bedrijfscomputers? Als je deze mogelijkheden beperkt, kun je voorkomen dat er besmette programma's worden geïnstalleerd die mogelijk je bedrijfsnetwerk infecteren.

Tip

Meer informatie over het voorkomen van virussen staat op de website van het DTC.

Basisscan Cyberweerbaaheid

Bovenstaande adviezen en bijbehorende acties gelden uiteraard voor alle medewerkers van het bedrijf. Ook hierin geldt het principe dat de ketting zo sterk is als de zwakste schakel.

Heb je bovenstaande adviezen opgevolgd en alle stappen doorlopen? Doe dan de Basisscan Cyberweerbaarheid en ontdek hoe jouw bedrijf ervoor staat.

Of doe via deze link de Cyber Risico Scan waarmee je inzicht krijgt in de status van de beveiliging van jouw bedrijfsnetwerk.

Praktische instructiefilmpjes voor je medewerkers 

Speciaal voor jou als lid van Bouwend Nederland kan je gebruikmaken van het platform Samen Digitaal Veilig.

Deze website helpt je met eenvoudige tools om je medewerkers te trainen en om het goede gesprek met je IT-leverancier te voeren.  

Online training Digitaal Veilig

Liever via een online training praktische tips opdoen en met andere ondernemers ervaringen uitwisselen? We bieden via onze Academy een online training Cybersecurity aan. Deelnemers geven de training hoge cijfers. 

Na een hack

De risico's van een hack kunnen heel groot zijn. Bekijk hier wat je kunt doen als je getroffen bent.

Ook hebben we een praktisch cybernoodplan voor je om je voorbereiden op het geval dat: Cybernoodplan Nederlandstalig of in het Engels: Cybernoodplan Engelstalig.

Bouwend Nederland Cyberverzekering

Met de tips op deze pagina maak je je bedrijf weerbaarder tegen digitale criminaliteit. Voorkomen is tenslotte beter dan genezen. Mocht er tóch iets misgaan, dan kan de Bouwend Nederland Cyberverzekering je beschermen tegen de gevolgen van onder andere hacks, ransomware en datalekken.

Databescherming

We hebben een brochure ontwikkeld om de basisbeginselen van data en intellectueel eigendom in de bouw- en infrasectoren inzichtelijk te maken. In de huidige maatschappij wordt namelijk steeds meer digitaal vastgelegd, ook in de bouw- en infrasector. Al die data wordt steeds waardevoller en wil je als aannemer goed beschermen. Je wilt toch niet dat anderen er zo maar mee aan de haal gaan? Niet elke aannemer heeft hierover de expertise in huis.

DigiGo en DSGO

Samen digitaal optrekken, om je eigen bedrijf of organisatie én de hele branche slimmer en sneller te maken. Dat is de kern van digiGO, de aanpak waarmee we de Gebouwde Omgeving versneld digitaliseren.

Digitaal zakendoen

De maatschappij wordt steeds digitaler. Je kunt ook als bedrijf steeds meer zaken digitaal regelen, bijvoorbeeld als je een vergunning aanvraagt bij het omgevingsloket, een offerte indient via TenderNed of als je een instemmingsaanvraag moet doen. Het bespaart tijd en geld. Veel bedrijven in onze sector zijn je voorgegaan. Hoe werkt digitaal zakendoen en waarom is het belangrijk?

Overzicht bouwsoftware

Bouwend Nederland heeft een overzicht van bouwsoftware samengesteld, waarmee je jouw bouwproces kunt digitaliseren. Dit overzicht geeft geen oordeel over de kwaliteit of geschiktheid van de software voor jouw onderneming, maar is bedoeld om het zoeken naar geschikte bouwsoftware te vergemakkelijken. Onderzoek dus altijd zelf welke software voor jouw specifieke situatie het beste uitpakt. Ervaringen van collega-aannemers kun je lezen op de websites van de leveranciers.