Het MKB krijgt evenveel phishing-mails als grote bedrijven, maar minder budget om zich te verdedigen. Goed nieuws: 80 procent van de aanvallen valt al af met vier maatregelen die binnen een maand staan en beheerbaar blijven met een externe partij van een paar uur per maand.
MFA op alles, geen uitzonderingen
Microsoft 365, het CRM, het boekhoudpakket, externe toegang. Microsoft Authenticator of een hardware-token sluit ruim 99 procent van credential-stuffing en standaardphishing buiten. Een directeur die MFA weigert is vaak het eerste compromis. Maak het beleid hard: geen MFA, geen account.
DMARC, SPF, DKIM op het domein
Zonder strikte DMARC kan iedereen mail versturen die uw domein lijkt te dragen. Klanten ontvangen die mail en betalen aan de aanvaller. SPF, DKIM en DMARC instellen op p=quarantine of p=reject kost een dag werk en duizenden euro's aan voorkomen schade. Doe het.
Eenmaal per kwartaal een simulatie
PhishWise of KnowBe4 starten vanaf een paar euro per gebruiker per maand. Een kwartaalsimulatie met opvolging van klikkers houdt de meldrate hoog. Bij dertig medewerkers betekent dit: de baseline schiet binnen een halfjaar van 25 procent klikrate naar onder de 10 procent.
Gedragsregels voor mailverkeer
Drie regels die werken: factuur met gewijzigd IBAN bel je terug op een bekend nummer, geen interne mail vraagt om vertrouwelijke gegevens via reply, ongebruikelijke verzoeken van de directeur worden mondeling bevestigd. Schrijf het op een A4 en hang het op. Echt.
Kostenrange per medewerker
Voor een MKB-bedrijf van 30 tot 100 medewerkers ligt een fatsoenlijk pakket op 8 tot 18 euro per medewerker per maand, inclusief simulatieplatform, training-licenties en een paar uur consultancy per kwartaal. Een geslaagde phishing-fraude met 40.000 euro schade kost meer dan tien jaar van dat budget.
Verwant: Cybersecurity consultant, Freelance business consultant.