1. Introductie

In de installatiebranche is IT de ruggengraat geworden van het bedrijf. Waar vroeger de papieren werkbon leidend was, zijn dat nu de planningssoftware, de tablets van de monteurs en de slimme aansturing van installaties bij klanten. Cybersecurity is daarom geen "IT-feestje", maar pure bedrijfszekerheid.

De risico's voor een installatiebedrijf zijn concreet:

  • Ransomware (gijzelsoftware): Criminelen versleutelen al je bestanden (offertes, planning, klantgegevens). Je kunt niet factureren, monteurs weten niet waar ze heen moeten en de administratie ligt plat. Vaak wordt losgeld geëist.
  • Factuurfraude: Criminelen breken in op je mail, onderscheppen facturen en veranderen het rekeningnummer. Jouw klant betaalt de crimineel in plaats van jou.
  • IoT-risico’s: Als installateur plaats je gateways en slimme thermostaten. Als deze niet goed beveiligd zijn, kunnen hackers via deze apparaten binnenkomen bij jouw klant of bij jouw bedrijf.

2. Overzicht van de belangrijkste doelen

Met dit plan werken we aan drie heldere doelen:

  1. Continuïteit: Zorgen dat de planning, inkoop en monteurs altijd door kunnen werken.
  2. Vertrouwen: Klanten moeten erop kunnen vertrouwen dat hun gegevens (en de toegang tot hun pand via slimme sloten/camera's) veilig zijn bij jullie.
  3. Compliance: Voldoen aan wetgeving zoals de AVG en voorbereid zijn op eisen van grote opdrachtgevers (bijv. in het kader van de NIS2-richtlijn).

3. Gefaseerd Stappenplan

We pakken dit aan in vier fasen. Je hoeft niet alles tegelijk te doen, maar begin direct met Fase 0 en 1.

Fase 0: Inventarisatie (De basis)

Je kunt niet beveiligen wat je niet kent.

  • Maak een apparatenlijst: Breng alle hardware in kaart. Niet alleen de servers en laptops op kantoor, maar juist ook de tablets en telefoons van de monteurs en eventuele laptops in de servicebussen.
  • Software-inventarisatie: Welke pakketten gebruiken we? (ERP, boekhouding, CRM, tekenprogramma's). Wie is de leverancier?
  • Data-classificatie: Waar staan onze klantgegevens? Lokaal op een server, in de cloud (OneDrive/SharePoint) of bij een SaaS-leverancier?
  • Toegangsbeheer: Maak een lijst van medewerkers en hun rechten. Heeft een monteur die uit dienst is nog toegang tot de mail?

Fase 1: Basis op orde (Kritiek & Direct)

Dit zijn de 'moetjes' om de deur op slot te doen.

  • Multifactorauthenticatie (MFA): Dit is de allerbelangrijkste stap. Stel overal waar mogelijk (Microsoft 365, ERP, boekhouding) tweestapsverificatie in. Als een wachtwoord wordt gestolen, komt de hacker er zonder die tweede code (vaak via een app op je telefoon) niet in.
  • Updatebeleid: Zorg dat besturingssystemen (Windows, iOS, Android) en software automatisch updaten. Verouderde software is als een open raam.
  • Back-ups:
    • Regel een automatische back-up die ook losgekoppeld (offline) is van je netwerk. Als ransomware je netwerk versleutelt, wordt een aangekoppelde back-up vaak ook versleuteld.
    • Installatie-specifiek: Test of je de planning en klantdata daadwerkelijk kunt terugzetten.
  • Antivirus/Endpoint Protection: Zorg voor goede beveiligingssoftware op alle laptops en desktops. De standaard Windows Defender is goed, maar voor bedrijven is een betaalde 'Endpoint Detection & Response' (EDR) oplossing vaak veiliger omdat deze actief gedrag monitort.

Fase 2: Versterken en professionaliseren (Binnen 3 maanden)

Hier ga je van 'deur op slot' naar 'goed hang- en sluitwerk'.

  • Mobile Device Management (MDM): Monteurs hebben iPads of telefoons met bedrijfsdata. Gebruik MDM-software (bijv. via Microsoft Intune) om deze apparaten centraal te beheren.
    • Waarom? Wordt een tablet gestolen uit een bus? Dan kun je deze op afstand wissen. Ook kun je verplichten dat er een pincode op zit.
  • Netwerksegregatie:
    • Scheid het interne bedrijfsnetwerk van het gastennetwerk.
    • Zorg dat slimme test-opstellingen in de werkplaats niet op hetzelfde netwerk zitten als de financiële administratie.
  • Leveranciersmanagement: Vraag je IT-dienstverlener en softwareleverancier: "Hoe zorgen jullie voor de veiligheid van onze data?" en "Maken jullie back-ups?".
  • Versleuteling (Encryption): Zet BitLocker (Windows) of FileVault (Mac) aan op alle laptops. Bij diefstal van een laptop kan de dief dan niet bij de data op de harde schijf.

Fase 3: Continu verbeteren en monitoren (Lange termijn)

  • Logging en Monitoring: Laat je IT-partner instellen dat verdachte inlogpogingen (bijv. inloggen vanuit Rusland midden in de nacht) gemeld worden.
  • Kwetsbaarheidsscans: Laat periodiek scannen of je website of IP-adres 'gaten' vertoont.

4. Bewustwording en training van medewerkers

Techniek houdt veel tegen, maar de mens blijft de zwakste (of sterkste) schakel. Monteurs zijn praktisch ingesteld; vermoei ze niet met lange presentaties.

Onderwerpen voor Toolbox-meetings (10-15 min):

  1. Phishing: Hoe herken je een nep-mail of nep-sms (ook namens 'de directeur')? Klik niet zomaar op linkjes.
  2. Fysieke veiligheid: Laat geen tablets en laptops zichtbaar in de bus liggen. Sluit je scherm als je wegloopt (Windows-toets + L).
  3. Openbare Wifi: Verbied het gebruik van openbare Wifi (bijv. bij de McDonalds) voor zakelijk werk, tenzij er een VPN wordt gebruikt. Gebruik liever de 4G/5G bundel.
  4. Wachtwoorden: Gebruik geen Welkom01! of Bedrijfsnaam2024.

Check-je-kennis (Voorbeeldvragen):

  • "Je krijgt een mail van een leverancier met een nieuwe bankrekening. Wat doe je?" (Antwoord: Bellen naar het bekende nummer van de leverancier ter verificatie).
  • "Een monteur is zijn tablet kwijt. Wanneer moet hij dit melden?" (Antwoord: Direct, ook in het weekend).

5. Beleid, procedures en documentatie

Houd het simpel. Geen boekwerken, maar A4'tjes met duidelijke afspraken.

Essentiële documenten:

  1. Informatiebeveiligingsbeleid (beknopt): Wie is verantwoordelijk? Wat zijn de algemene regels?
  2. Wachtwoordbeleid: Eisen aan wachtwoorden (lengte, MFA verplichting).
  3. BYOD-regeling (Bring Your Own Device): Mag een monteur zijn eigen telefoon gebruiken? Zo ja, dan moet hij akkoord gaan met het op afstand wissen van bedrijfsdata bij uitdiensttreding.
  4. Protocol Datalekken: Wanneer is iets een datalek en wie moet dat melden?
  5. Internet- en E-mailprotocol: Wat mag wel/niet (bijv. geen illegale software downloaden).

Tip: Laat dit door je IT-partner opstellen of gebruik templates van het Digital Trust Center, maar pas ze aan naar jouw praktijk.

6. Incidentresponsplan (Noodplan)

Als het misgaat, is er paniek. Dit plan zorgt voor rust. Print dit uit en hang het op.

Stappenplan bij Hack/Ransomware/Datalek:

  1. ISOLEREN: Trek de netwerkkabel eruit of verbreek de Wifi-verbinding van het besmette apparaat. Zet het apparaat NIET uit (tenzij de IT-partner dit zegt), want in het geheugen kunnen sporen zitten.
  2. MELDEN: Bel direct de verantwoordelijke manager en de IT-dienstverlener. (Zorg dat dit nummer ook op papier beschikbaar is!).
  3. LOGGEN: Schrijf op wat er gebeurde. Welke melding zag je? Hoe laat was het? Maak foto’s van het scherm met een telefoon.
  4. INFORMEREN:
    • Bepaal met de directie en IT-partner of er persoonsgegevens zijn gelekt.
    • Indien ja: Melden bij Autoriteit Persoonsgegevens (binnen 72 uur verplicht volgens AVG).
    • Indien klanten risico lopen: Klanten informeren.
    • Doe aangifte bij de politie indien nodig.

7. Wet- en regelgeving

  • AVG (Algemene Verordening Gegevensbescherming): Jullie verwerken NAW-gegevens van klanten en personeelsdossiers. Je bent verplicht deze goed te beveiligen. Een datalek (bijv. een USB-stick met klantenlijst kwijt) moet je melden.
  • NIS2 (Network and Information Security directive):
    • De meeste mkb-installatiebedrijven vallen hier niet direct onder, tenzij je heel groot bent.
    • Let op: Werk je voor grote klanten (energiebedrijven, ziekenhuizen, overheid)? Dan vallen zij wel onder NIS2 en hebben zij een zorgplicht voor de keten. Zij gaan jou dus strenge beveiligingseisen opleggen. Als je hier nu op voorsorteert, heb je een commercieel voordeel.

Veelgemaakte fout: Denken dat de externe IT-beheerder "alles wel regelt" zonder contractuele afspraken over verantwoordelijkheid. Jij blijft wettelijk eindverantwoordelijk.

8. Prioriteiten en tijdlijn

Prioriteit

Actie

Tijdlijn

KRITIEK

Inventarisatie maken (Fase 0)

Nu / Week 1

KRITIEK

MFA activeren op alle e-mail en externe toegangen (Fase 1)

Nu / Week 1

KRITIEK

Back-ups controleren en restore-test doen (Fase 1)

Binnen 1 maand

BELANGRIJK

MDM inrichten voor mobiele apparaten monteurs (Fase 2)

Binnen 3 maanden

BELANGRIJK

Eerste awareness-sessie (Toolbox meeting)

Binnen 3 maanden

BELANGRIJK

Basisdocumentatie (beleid & incidentplan) opstellen

Binnen 3 maanden

VERDIEPEND

Periodieke audits en phishing-testcampagnes

6 - 12 maanden

VERDIEPEND

IoT-beveiligingsprotocol voor installaties bij klanten

6 - 12 maanden

9. Kosten-baten en praktische keuzes

Investeringen die zich direct terugbetalen:

  • MFA (Multifactorauthenticatie): Kost vaak niets extra (zit in Microsoft 365 licenties), maar verlaagt de kans op een hack met 99%.
  • Goede back-up: Kost geld (cloud-opslag + beheer), maar is je levensverzekering. Zonder back-up kan een ransomware-aanval je faillissement betekenen.
  • Externe IT-beheerder: Voor een bedrijf van 10-100 man is een eigen 'systeembeheerder' vaak te duur of te kwetsbaar (vakantie/ziekte). Een professionele MSP (Managed Service Provider) in de arm nemen kost maandelijks geld per werkplek, maar garandeert updates, monitoring en support.

Uitleg aan je team/klanten:

"Wij investeren in cybersecurity omdat wij beloven dat wij altijd kunnen leveren en dat uw gegevens bij ons veilig zijn. Een dag stilstand kost ons meer dan de jaarlijkse beveiligingskosten."

 

0 reacties

Reactie plaatsen