Zo bescherm je jouw winkel of groothandel tegen cybercriminelen

Veel winkeliers en groothandelaren hebben moeilijke jaren achter de rug. De pandemie hakte er flink in. Door de pandemie is ook de digitalisering verder toegenomen. Dat is vaak goed voor de omzet, maar zorgt voor een risico dat je niet mag onderschatten: cybercriminaliteit.

De impact van een cyberaanval

Lege schappen bij een grote supermarktketen. Klanten moesten het in april 2021 even doen zonder plakjes kaas en strooikaas. Het was het gevolg van een cyberaanval bij één van de logistieke partners van het bedrijf. Ransomware zorgde ervoor dat het hele planningsysteem daar plat kwam te liggen. Zo'n 250 vrachtwagens konden daardoor de weg niet meer op.

Van phishing tot datalekken

Het is één van de voorbeelden die laat zien welke impact een digitale aanval kan hebben op je bedrijfsvoering. En dat niet alleen: een cyberaanval kan invloed hebben op de gehele keten, van leverancier tot afnemer. Uit onderzoek van INretail blijkt dat ruim 70% van de winkeliers weleens in aanraking is gekomen met online criminaliteit. Het gaat dan bijvoorbeeld om:

Ransomware

Dit is een vorm van malware, een geïnfecteerd stukje software dat als wapen geldt. Hiermee wordt je IT-systeem versleuteld en vergrendeld waardoor je bestanden plotseling niet meer kunt openen. Bij betaling belooft de tegenpartij je IT-systeem weer te ontgrendelen.

Phishing

Een winkelmedewerker klikt per ongeluk op een link of opent een besmette e-mailbijlage. Zo lukt het de criminelen om toegang te krijgen tot vertrouwelijke gegevens en deze te stelen, geld afhandig te maken of om malware, zoals ransomware, te installeren. Maar liefst 91% van de datalekken start met een phishing mail.

Datalek

Door een slecht beveiligde server of geslaagde phishing aanval liggen plotseling de persoonsgegevens van klanten op straat. Dit kan leiden reputatieschade en verlies van vertrouwen van klanten in je bedrijf. Bovendien heb je de plicht om de aanval aan je klanten en de Autoriteit Persoonsgegevens te melden. Doe je dit niet? Dan kun je een flinke boete krijgen van de Autoriteit Persoonsgegevens.

Baiting

Een hacker probeert iemand met een valse belofte te verleiden. Bijvoorbeeld door een usb-stick achter te laten met de belofte dat de vinder een geldbedrag krijgt. Wanneer de vinder de usb-stick in zijn computer plugt om de eigenaar te achterhalen, dan wordt er automatisch malware geïnstalleerd.

Winkelketens aangevallen

Hackers vergrendelde met ransomware in november 2021 de IT-systemen van een grote retailer. Klanten konden daardoor geen producten terugsturen of afhalen.

In de zomer van datzelfde jaar trof een hack het IT-systeem van een grote speler in de verkoop van keuken en badkamers. Omdat computersystemen onbruikbaar waren geworden, moesten keukens en badkamers tijdelijk op de ouderwetse manier worden ontworpen: met potlood, ruitjespapier, liniaal en sjablonen.

In gesprek met een adviseur?

Maak een afspraak

Goede beveiligingssoftware

Eén verkeerde muisklik kan grote gevolgen hebben. Toch zijn veel ondernemers in de sector zich daar niet bewust van, stelt Olaf Zwijnenburg. Hij is sectormanager Detail- en Groothandel bij Rabobank en werkte hiervoor jarenlang in de top bij een aantal grote winkelbedrijven.

"Retail is een heel intensief vakgebied, zelfs op een gemiddelde dag gebeurt er van alles in je zaak. Tijd om eens rustig achterover te leunen en na te denken over de risico's van je digitale infrastructuur is er nauwelijks. Zo zien we in de praktijk dat sommige winkeliers niet eens de tijd hebben om na te denken over goede beveiligingssoftware of een firewall."

Maar is dat risico nou echt zo groot? Hackers slaan toch alleen toe bij grote spelers? "Dat is echt een misvatting", zegt Zwijnenburg. "Er zijn tienduizenden mkb'ers in onze sector actief. Cybercriminelen kunnen hun malware ook over het web schieten, op zoek naar een achterdeurtje. Dat maakt ook een kleine winkelier een potentieel doelwit."

Eén centraal voorraadsysteem

Er is dus alle reden om cybercriminaliteit serieus te nemen. Dat blijkt verder nog uit het feit dat winkels en groothandels steeds digitaler worden. “Dé trend in onze sector is omnichannel klantcontact. Waar er vroeger één raakpunt was met de klant, namelijk de fysieke winkel, heb je als winkelier maar ook als groothandel nu overal zogeheten online touchpoints. Van bijvoorbeeld een mobiele app en een website tot aan grote online platformen", aldus Zwijnenburg.

Goed voor de omzet en je zichtbaarheid bij klanten, maar wel een digitaal risico voor je bedrijfsproces. "Het maakt ondernemers namelijk extreem afhankelijk van digitalisering. Tegelijkertijd zien we dat de kennis over goede IT-beveiliging vaak ontbreekt."

Ook op het gebied van voorraadbeheer is er veel veranderd. Daar waar vrijwel alle retailers hun spullen voorheen nog inkochten en lieten bezorgen, werken steeds meer ondernemers nu samen met merken of groothandels vanuit één centraal voorraadsysteem. "Dit betekent wel dat je afhankelijk bent van zo'n gedigitaliseerde oplossing. Als dat systeem platligt, kun je niks meer verkopen", zegt Zwijnenburg.

Bescherm je tegen aanvallen

Of je nu een groot bedrijf of een kleine mkb'er bent met een paar mensen op de loonlijst, cybercriminelen maken geen onderscheid. Als winkelier of groothandelaar moet je daarom blijven investeren in digitale veiligheid. Dit doe je bijvoorbeeld door:

Medewerkers te trainen op bewustwording van cyberincidenten en cyberveiligheid. Vaak gaat het mis door menselijk handelen. Medewerkers klikken op een besmette link of hebben toegang tot bestanden die beter beveiligd moeten zijn. Programma’s die inspelen op deze risico’s zijn daarom erg belangrijk.

Gebruik te maken van sterke wachtwoorden of wachtwoordzinnen, bij voorkeur in combinatie met meervoudige authenticatie. Dit is na het inloggen met een gebruikersnaam en wachtwoord een extra controlemoment in de vorm van bijvoorbeeld een SMS.

Helder te hebben wie verantwoordelijk is voor alle IT-gerelateerde zaken, zoals het toegangsbeheer, de cybersecurity en het incidentenbeleid.

Het versleutelen van vertrouwelijke en persoonlijke informatie.

Het opstellen van een incidentbeleid, zodat je weet wat te doen bij een aanval.

Minimaal één keer per maand een back-up te maken en die op te slaan buiten je netwerk, bij voorkeur offline. Vergeet ook niet om deze back-up te testen.

Het installeren van permanente antivirussoftware en een firewall.

Updates - waar mogelijk - regelmatig uit te voeren en door systemen en applicaties te patchen. Dit is een soort van APK voor software.

De cyberverzekering

Heb je de basismaatregelen genomen en ben je dus al aan de slag gegaan met je cybermanagement? Met bijvoorbeeld een goede virusbeveiliging, het direct installeren van updates, een awareness-training voor medewerkers en door het maken van goede afspraken met je IT-beheerder, zorg je dat je hygiëne op orde is. Zo kom je beter in aanmerking voor een cyberverzekering. Deze verzekering kan dan als vangnet dienen.

De meeste cyberverzekeringen bieden dekking voor onder meer preventieve scans, eerste hulp bij een cyberincident, herstel van data, omzetverlies en de noodzakelijke kosten om de schade te beperken. Denk aan forensisch onderzoek en juridische kosten. Ook eventuele kosten voor bestuurlijke boetes en bepaalde vormen van aansprakelijkheid kunnen inbegrepen zijn. "Met een cyberverzekering kun je in ieder geval de financiële gevolgen van een cyberincident afdekken", vertelt Rodney Goijer. Hij is Risicospecialist Verzekeren bij Rabobank. Ook is hij Cybermaster bij Rabobank. Dit betekent dat hij gespecialiseerd is in cyberrisico's.

Minstens zo belangrijk: hiermee haal je specialisten in huis die in geval van een incident de schade zoveel mogelijk beperken en je helpen om een volgende aanval zoveel mogelijk te beperken. "Zij zorgen er bij een hack voor dat je bedrijf zo snel mogelijk weer operationeel is. IT is in steeds grotere mate het hart van een onderneming en een goede cyberverzekering zorgt voor operationele zekerheid", aldus Goijer.