Achmed Baâdoud is voorzitter MKB Metropool Amsterdam. Een rol waarin hij zich verantwoordelijk voelt om ondernemers weerbaar te maken tegen cybercriminaliteit. “Cybercriminaliteit is een nieuwe vorm van criminaliteit. Voor MKB’ers kan één incident het verschil betekenen tussen doorgaan of stoppen”, zegt hij. In dit interview deelt hij concrete stappen die ondernemers kunnen nemen én een leerzame casus uit de praktijk.
“Een incident kan het verschil betekenen tussen doorgaan of stoppen”
Achmed Baâdoud is voorzitter MKB Metropool Amsterdam. Hij ziet het als zijn verantwoordelijkheid om ondernemers weerbaar te maken tegen cybercriminaliteit. “Cyberveiligheid is al lang geen IT-vraagstuk meer, maar een economisch en veiligheidsvraagstuk”, begint Achmed Baâdoud. “Als wethouder zag ik hoe ontwrichtend criminaliteit kan zijn voor ondernemers en voor de stad. Cybercriminaliteit is een nieuwe vorm daarvan: onzichtbaar en laagdrempelig voor criminelen.” Hij weet ook welke impact cybercrime kan hebben. “Voor MKB’ers kan één incident het verschil betekenen tussen doorgaan of stoppen. Als voorzitter van MKB Metropool Amsterdam voel ik de vertwoordelijkheid om ondernemers hier weerbaar tegen te maken.”
Concrete stappen nemen
Dat doet MKB Metropool Amsterdam door bewustwording te koppelen aan praktische actie. “We laten zien welke concrete stappen ondernemers kunnen nemen”, zegt Baâdoud. “Waar lopen ze risico? Wat kunnen ze vandaag doen? Wie kan ze helpen? Daarnaast verbinden wij ondernemers met betrouwbare partners en stimuleren we samenwerking in netwerken. Cyberrisico’s zijn namelijk vaak ketenrisico’s. Regionale netwerken waarin ondernemers, banken, politie en IT-partijen samenwerken, blijken aantoonbaar effectiever dan losse initiatieven.”
AI-gedreven phishing en andere dreigingen
“Veel ondernemers denken nog steeds: wij zijn te klein om interessant te zijn”, gaat Baâdoud verder. “Maar het MKB is juist aantrekkelijk, omdat criminelen daar schaal en gemak vinden. Ondernemers krijgen vooral te maken met phishing en CEO-fraude, ransomware via verouderde systemen en accountovernames door zwakke wachtwoorden of het ontbreken van multi-factor authorisatie, MFA.” Baâdoud ziet ook nieuwe vormen van cybercriminaliteit opkomen. “AI-gedreven phishing bijvoorbeeld, nauwelijks herkenbaar als ‘nep’. Maar ook aanvallen via leveranciers en softwareketens zullen in de komende jaren toenemen, net als de combinatie van cybercrime en fysieke afpersing. Dat vraagt om snellere samenwerking en betere informatie-uitwisseling.”
Een goed plan voorkomt paniek
Om daar goed tegen beveiligd te zijn, is meer nodig dan de boel eenmalig ‘technisch goed regelen’, waarschuwt Baâdoud. “Cyberveiligheid is vooral een mens- en organisatievraagstuk. Technologie helpt, maar gedrag, processen en alertheid maken het verschil. Daarom is het belangrijk om cyberveiligheid bespreekbaar te maken binnen het team. Mensen zijn immers de zwakste en sterkste schakel. En het is slim om een plan klaar te hebben liggen, zodat je weet wie je moet bellen bij een incident. Een goede voorbereiding voorkomt paniek. Eigenlijk is cyberveiligheid te vergelijken met brandveiligheid: je hoopt dat het niet nodig is, maar je moet het geregeld hebben. En dat dat zeg ik ook uit ervaring als brandweerman.”
Een incident dat hem is bijgebleven illustreert dat. “Een middelgrote ondernemer ontving een e-mail van wat een vaste leverancier leek, met een aangepast IBAN-nummer”, vertelt Baâdoud. “Er was in het bedrijf geen tweede controle en geen vast protocol bij een wijziging van betaalgegevens. Uit routine en vertrouwen werd de betaling uitgevoerd. Het geld was direct verdwenen. Er ontstond chaos, onzekerheid over wie te bellen en wat te melden. De ondernemer en medewerkers hadden enorme stress en er was angst voor verdere schade. Het bedrijf liep financieel verlies op en reputatieschade bij klanten en leveranciers.”
Beter voorkomen dan genezen
Het bedrijf doet nu precies wat Baâdoud andere ondernemers aanraadt: “Ze werken met vaste betaalprocedures, MFA is ingevoerd en medewerkers zijn getraind om afwijkingen altijd te checken. Cyberveiligheid is structureel onderdeel geworden van de bedrijfsvoering.” Baâdoud vindt het belangrijk dat ondernemers informatie met elkaar delen, omdat ze zo van elkaar kunnen leren. “Ook als het ongemakkelijk is”, benadrukt hij. Maar ook de overheid kan een rol spelen in het weerbaar maken van ondernemers. “Ondernemers hebben behoefte aan duidelijke en eenduidige communicatie vanuit de overheid en snellere ondersteuning bij incidenten. Er moet minder versnippering komen en meer publiek-private samenwerking. Ik vind dat beleid zich meer moet richten op preventie in plaats van alleen op schade achteraf.”
Meer weten over PVO en cybercrime? Bekijk ons aanbod
