Gisteren, op 31 maart, was het World Backup Day. Een dag die de aandacht vestigt op het belang van het maken van back-ups. Volgens Hans ten Hove, Area Vice President Continental Europe bij Kaseya, moet de aandacht verder gaan dan back-ups alleen. “Denk na over business continuity. Dat kan na een incident het verschil maken tussen het wel of niet voortbestaan van het bedrijf.”
Veel ondernemers leven in de veronderstelling dat een back-up hen voldoende beschermt. In de praktijk is dat helaas vaak een misvatting. “Een back-up beschermt in het beste geval tegen dataverlies, maar niet tegen stilstand van de onderneming,” geeft Ten Hove aan. “En als je stilvalt, loop je klanten mis, lever je niet op tijd, en kun je zelfs claims verwachten.”
Het belang van heldere communicatie
Uit onderzoek blijkt dat zo’n 20 tot 24 procent van de mkb-ondernemers zich zorgen maakt over hun digitale weerbaarheid. “Maar vraag je het aan MSP’s, dan zegt 97 procent zich ernstig zorgen te maken over de digitale weerbaarheid van hun klanten – dat zijn dus vaak die mkb’ers. Dat verschil is gigantisch,” zegt Ten Hove. “Het laat ook zien dat het voor MSP’s lastig is om hun klanten te overtuigen van het nut van digitale weerbaarheid. Veel MSP’s zijn ontstaan vanuit technische expertise, maar zijn niet altijd sterk in proactieve communicatie.”
En juist die communicatie is essentieel. Want back-up is slechts één stap in het grotere verhaal. “Je moet niet alleen je data veiligstellen, je moet ook testen of die back-up werkt. En dan bedoel ik niet alleen of je de bestanden terug kunt halen, maar vooral of je daadwerkelijk een complete en werkende omgeving kunt herstellen. Een nieuw systeem opstarten met operating system, applicaties én data is een ander verhaal dan alleen bestanden terugzetten.”
Gebruikers zijn zelf verantwoordelijk
Bij bedrijven die gebruikmaken van Microsoft 365 leeft vaak een hardnekkige misvatting, namelijk dat hun data daar automatisch veilig zijn. “Veel mensen denken: het staat in de cloud, dus het is veilig. En: Microsoft maakt wel een back-up. Maar je bent daar als gebruiker zelf verantwoordelijk voor. Gelukkig kunnen MSP’s daarin voorzien, onder andere met onze oplossing, Kaseya SaaS Protection. Daarmee brengen we de back-up naar de Kaseya Cloud, zorgen voor encryptie en beveiliging, en kan je op het moment van een incident overschakelen naar onze omgeving en doorwerken.”
Ten Hove benadrukt dat MSP’s verder moeten gaan dan alleen techniek leveren. “Veel MSP’s bieden hun klanten een complete werkplek inclusief Microsoft 365 aan. Maar daar zou, in nauw overleg met de klant, ook standaard een business continuity-plan bij moeten zitten. En dat is straks niet alleen wenselijk, maar ook wettelijk verplicht.”
Grote MSP’s vallen immers onder de Cyberbeveiligingswet, die voorheen NIS2 heette. En kleinere MSP’s maken vaak deel uit van een keten waarin andere partijen wel onder die regels vallen. Via ketenaansprakelijkheid worden de strenge security-eisen alsnog doorgegeven.
De impact van NIS2
Dat bewustzijn ontbreekt bij ook veel mkb’ers nog volledig. “Als je vraagt: wie zijn jouw drie belangrijkste klanten? Dan is de kans groot dat daar een NIS2-plichtig bedrijf tussen zit. En dan leg je uit dat ketenaansprakelijkheid betekent dat jij als mkb’er dus óók aan die voorwaarden moet voldoen.” Dan zie je mensen echt schrikken, is de ervaring van Ten Hove. “Ze zijn er niet op voorbereid, en weten vaak niet waar ze moeten beginnen.”
Volgens Ten Hove is het dan ook de verantwoordelijkheid van MSP’s om hun klanten hierover te informeren en hen te begeleiden. “Eén van de belangrijkste eisen binnen de Cyberbeveiligingswet is het hebben van een business continuity-strategie. Als MSP moet je het lef hebben om te zeggen: als je die investering niet wil doen, dan moet ik me afvragen of ik wel de juiste partij voor je ben.”
Zorgen om digitale weerbaarheid
Ten Hove vindt dat het gesprek niet alleen gevoerd moet worden vanwege een wet. “Het belangrijkste is: je moet het doen omdat het nodig is. De digitale weerbaarheid van de BV Nederland is gewoon te laag. Daar moeten we ons zorgen over maken.”
In de praktijk blijken de meeste cyberincidenten bovendien te ontstaan door eenvoudige fouten. “Mensen denken vaak dat er een briljante hacker aan het werk is geweest. Maar meestal vergat een medewerker te patchen, of staat er een poort open. Of men vindt multifactor-authenticatie toch te onhandig. Het zijn de basics die misgaan.”
Ten Hove onderscheidt drie basale stappen die elk bedrijf – samen met hun MSP – moet zetten: “Inventariseer waar je kwetsbaar bent. Bescherm die plekken zo goed mogelijk. En zorg ervoor dat je een plan hebt om te herstellen na een incident, want de kans dat je getroffen wordt is groot. Dat is de kern van business continuity.” MSP’s hebben daarin een grote verantwoordelijkheid, weet Ten Hove. “Kaseya biedt hen de middelen om dat goed en laagdrempelig aan hun klanten te leveren.”
Wil je meer weten over de oplossingen van Kaseya? Kijk dan hier voor SaaS-protect, of hier voor de Business Continuity-demo.
