Ransomware voorkomen in het MKB: 8 maatregelen die echt werken
Ransomware is allang geen probleem meer voor alleen grote bedrijven. Het MKB is inmiddels het belangrijkste doelwit, juist omdat aanvallers ervan uitgaan dat kleinere bedrijven zwakkere beveiliging hebben en snel betalen om weer aan het werk te kunnen. Een gemiddeld ransomware-incident kost een Nederlands MKB ruim boven de EUR 100.000 als je downtime, herstel, misgelopen orders en reputatie meerekent, en betalen herstelt zelden alles schoon.
Het bemoedigende deel: de meeste aanvallen zijn niet geavanceerd. Ze misbruiken een gestolen wachtwoord, een ongepatchte server of een onvoorzichtige klik. Een handvol goed uitgevoerde maatregelen stopt het overgrote deel. Dit zijn de 8 met de meeste bescherming per euro.
1. Multifactorauthenticatie (MFA) overal
Gestolen en hergebruikte wachtwoorden zijn de nummer-een toegangsweg. MFA, een code of app-goedkeuring bovenop het wachtwoord, blokkeert de overgrote meerderheid van account-overname-aanvallen. Zet het aan voor e-mail, VPN, remote access en elk beheeraccount, zonder uitzondering. Kies liever een authenticator-app of hardwaresleutel dan sms. Deze ene maatregel is het meest impactvolle dat de meeste MKB'ers deze week kunnen doen.
2. Back-ups die je echt hebt getest (de 3-2-1-regel)
Als preventie faalt, redden back-ups je. Volg 3-2-1: drie kopieen van je data, op twee verschillende media, met een kopie offline of immutable (zodat ransomware die niet ook kan versleutelen). Cruciaal: test je restores. Een back-up die je nooit hebt teruggezet is een hoop, geen plan. Let op: Microsoft 365-data heeft een eigen back-up nodig. Microsoft beschermt je niet tegen verwijderen of ransomware zoals mensen aannemen.
3. Patch snel, vooral systemen aan het internet
Aanvallers scannen het internet binnen uren na bekendmaking op bekende kwetsbaarheden. Houd besturingssystemen, firewalls, VPN's en applicaties gepatcht, en geef prioriteit aan alles wat aan het internet hangt. Automatiseer updates waar het kan, en zet een proces rond servers en netwerkapparatuur die niet automatisch kunnen updaten. Ongepatchte VPN- en firewall-appliances zijn een terugkerende oorzaak van datalekken bij Nederlandse MKB'ers.
4. Moderne endpointbeveiliging (EDR)
Traditionele antivirus vangt bekende malware. Ransomware is vaak niet "bekend". EDR (Endpoint Detection and Response) kijkt naar gedrag (bijvoorbeeld het snelle massa-versleutelpatroon van ransomware) en kan een geinfecteerd apparaat automatisch isoleren voordat het zich over het netwerk verspreidt. Voor het MKB geeft managed EDR (bewaakt door je IT-partner of een SOC) detectie op enterprise-niveau zonder een eigen securityteam.
5. Security-awarenesstraining
De meeste ransomware begint nog steeds bij een persoon: een phishingmail, een valse factuur, een kwaadaardige link. Regelmatige, korte awarenesstraining plus gesimuleerde phishing verlaagt aantoonbaar het aantal klikken. Leer medewerkers urgentie, vervalste afzenders en onverwachte bijlagen herkennen, en maak het veilig om een vermoedelijke fout meteen te melden in plaats van te verbergen.
6. Least privilege en netwerksegmentatie
Ransomware verspreidt zich via de rechten van het account waarop het landt. Pas least privilege toe: niemand gebruikt een beheeraccount voor dagelijks werk, en toegang is beperkt tot wat elke rol nodig heeft. Segmenteer je netwerk zodat een besmette laptop niet ongehinderd bij servers, back-ups en elk ander apparaat kan. Dit beperkt de blast radius van elke besmetting drastisch.
7. Beveilig remote access en e-mail
Twee kanalen domineren als toegangsweg:
- Remote access: stel RDP nooit direct bloot aan het internet. Gebruik een VPN met MFA of een zero-trust-toegangsoplossing, en schakel ongebruikte remote-access-poorten uit.
- E-mail: zet spam-/phishingfiltering aan, en configureer SPF, DKIM en DMARC zodat aanvallers je domein niet makkelijk kunnen spoofen. Overweeg sandboxing van bijlagen.
8. Een incidentresponsplan dat je hebt geoefend
Ga ervan uit dat er ooit iets doorheen komt. Een kort, praktisch incidentresponsplan beantwoordt: wie bellen we, hoe isoleren we getroffen systemen, waar staan de offline back-ups, hoe communiceren we, en, onder NIS2, hebben we een meldplicht (vroegtijdige waarschuwing binnen 24 uur)? Oefen het een keer per jaar. De bedrijven die het snelst herstellen zijn die welke voor de aanval besloten wat te doen, niet tijdens.
De prioriteitsvolgorde bij een beperkt budget
Kun je alleen op volgorde werken, dan geeft deze volgorde eerst de meeste risicoreductie:
| Prioriteit | Maatregel | Inspanning | Impact | |---|---|---|---| | 1 | MFA overal | Laag | Zeer hoog | | 2 | Geteste 3-2-1-back-ups | Middel | Zeer hoog | | 3 | Patch systemen aan het internet | Middel | Hoog | | 4 | Managed EDR | Middel | Hoog | | 5 | Awarenesstraining | Laag | Hoog | | 6 | Least privilege + segmentatie | Middel | Hoog | | 7 | Beveiligde remote access + e-mailauth | Middel | Hoog | | 8 | Geoefend incidentplan | Laag | Hoog |
NIS2 maakt dit een wettelijke plicht
Voor veel MKB'ers zijn deze maatregelen niet langer alleen goede praktijk. Onder NIS2 (de Cyberbeveiligingswet), van kracht in 2026, moeten bedrijven binnen scope precies dit soort risicogebaseerde maatregelen nemen (MFA, back-ups, incidentafhandeling, ketenbeveiliging) en significante incidenten binnen 24 uur melden, met verantwoordelijkheid op bestuursniveau. De basis goed regelen beschermt je en brengt je tegelijk dichter bij compliance.
FAQ
Wat is de allerbelangrijkste maatregel tegen ransomware? MFA overal. Gestolen wachtwoorden zijn de meest voorkomende toegangsweg, en MFA blokkeert de overgrote meerderheid van account-overname-aanvallen voor weinig geld.
Moeten we ooit het losgeld betalen? Betalen wordt afgeraden: het financiert misdaad, geeft geen garantie op schoon herstel en markeert je als betaler. Geteste offline back-ups zijn wat je toestaat te weigeren. Meld het incident bij de politie en, waar van toepassing, onder NIS2/AVG.
Hebben we back-ups nodig als alles in Microsoft 365 staat? Ja. Microsoft borgt platformbeschikbaarheid, maar back-upt je data niet tegen ransomware of per ongeluk verwijderen. Gebruik een aparte M365-back-up met bewaartermijn.
Is EDR echt nodig voor een klein bedrijf? Steeds vaker wel. Ransomware omzeilt regelmatig traditionele antivirus. Managed EDR geeft een MKB gedragsgebaseerde detectie en automatische isolatie zonder een intern securityteam.
Versterk je verdediging
Wil je een helder beeld van waar je ransomware-risico zit en hoe je de gaten dicht? Bekijk onze Cybersecurity & identity voor een security scan, of lees NIS2 voor het MKB om te zien hoe deze maatregelen aansluiten op de nieuwe wet.
