:format(webp))
AI-waarschuwingen: zo voorkomt u alarmmoeheid in uw MKB
Door Thomas Schepers
Het is maandagochtend. Uw medewerker opent de mailbox en ziet twintig nieuwe beveiligingswaarschuwingen staan. Gisteren waren het er ook al zoveel. De dag ervoor ook. Na een tijdje begint iemand te denken: het valt vast wel mee, het zijn waarschijnlijk weer van die automatische meldingen. En precies dát moment is gevaarlijk.
Herkent u dit? U bent zeker niet de enige. Uit recent onderzoek van Check Point Research blijkt dat slechts 7,8 procent van alle beveiligingswaarschuwingen daadwerkelijk hoge prioriteit heeft en onmiddellijk ingrijpen vereist. De overige 92,2 procent is ruis. Maar die ruis kost tijd, aandacht en energie. En in het MKB, waar iedereen al meerdere petten draagt, is dat een gevaarlijke combinatie.
Waarom AI het probleem groter maakt
AI-tools zijn niet alleen een zegen voor uw eigen organisatie. Kwaadwillenden gebruiken ze inmiddels net zo goed. Ze automatiseren aanvallen, testen systemen sneller op kwetsbaarheden en sturen pogingen op een schaal die een paar jaar geleden ondenkbaar was. Het directe gevolg: het aantal kritieke kwetsbaarheden binnen organisaties is meer dan verdubbeld. En de securitysystemen die dat proberen bij te houden, genereren navenant veel meer meldingen.
Dit is geen tijdelijk fenomeen. Meerdere onderzoekers benadrukken dat AI-gestuurde aanvallen structureel van aard zijn en alleen maar complexer worden. De lawine aan waarschuwingen die uw securitysysteem genereert, zal de komende jaren eerder groter dan kleiner worden. De vraag is dus niet of u hier iets mee moet doen, maar hoe.
Het MKB heeft een dubbel probleem
Grote organisaties hebben securityteams van tien, twintig, soms honderd mensen. Zij kunnen het werk verdelen, tools aanschaffen en processen inrichten om de ruis van de echte dreigingen te scheiden. Maar in het MKB werkt dat anders. Hier is de 'IT-verantwoordelijke' vaak iemand die óók de boekhouding doet, óók klanten helpt, óók vergaderingen bijwoont.
Die persoon krijgt elke dag tientallen beveiligingswaarschuwingen. Na een week of twee treedt er iets in de psychologie op dat onderzoekers 'alarmmoeheid' noemen. De meldingen worden minder serieus genomen. Er wordt sneller doorgeklikt. En precies op dat moment kan die ene kritieke melding, de 7,8 procent die écht telt, worden overzien.
Daarbij speelt ook een financieel probleem. Geavanceerde SIEM-systemen en AI-gestuurde triagetools die automatisch de ruis filteren en alleen de echte urgentie doorsturen, zijn kostbaar. Voor grote ondernemingen is dat een investering die ze kunnen dragen. Voor een MKB-bedrijf met vijftig medewerkers is dat een andere afweging.
De Ratho-driehoek: Mens, Proces, Techniek
Bij Ratho kijken we bij dit soort vraagstukken altijd door drie lenzen tegelijk: de mens, het proces en de techniek. Want een beveiligingsprobleem oplossen met alleen technologie werkt niet. Dat leert de praktijk ons keer op keer.
Techniek zonder proces is chaos. U kunt de beste beveiligingssoftware ter wereld installeren, maar als niemand weet wat te doen met de melding die eruit rolt, bent u nergens. En techniek en proces zonder de mens is papieren beveiliging. Als uw medewerkers alarmmoe zijn, klikken ze weg wat ze niet begrijpen.
De oplossing voor het waarschuwingsprobleem vraagt dus om een aanpak op alle drie de niveaus.
Mens: bewustzijn zonder paniek
Uw medewerkers hoeven geen cybersecurity-experts te worden. Maar ze moeten wél weten wat ze moeten doen als ze een melding zien. Dat betekent: heldere afspraken over escalatie. Wie bel ik? Wat doe ik wél en wat doe ik niet? Een korte training op dit vlak, toegespitst op de tools die uw mensen dagelijks gebruiken, maakt al een wereld van verschil.
Proces: triage als ruggengraat
Triage is een begrip uit de geneeskunde: wie heeft onmiddellijk hulp nodig, wie kan wachten, wie heeft alleen lichte zorg nodig? Datzelfde principe werkt uitstekend in cybersecurity. Een goed triageproces bepaalt van tevoren welke categorieën meldingen onmiddellijk actie vereisen, welke kunnen worden gebundeld en wekelijks worden beoordeeld, en welke automatisch kunnen worden afgehandeld of genegeerd.
Zo'n protocol hoeft niet complex te zijn. Eén A4 met duidelijke categorieën en bijbehorende acties is soms al genoeg om alarmmoeheid te doorbreken.
Techniek: slimmer filteren
Op technisch vlak zijn er ook voor het MKB betaalbare stappen mogelijk. Moderne managed security diensten nemen de monitoring uit handen en filteren de ruis eruit voordat u er mee te maken krijgt. U ontvangt dan alleen wat écht aandacht nodig heeft. Gecombineerd met een goede cloudomgeving en up-to-date patchbeheer, waarmee u de dubbeling van kritieke kwetsbaarheden aanpakt, bent u al een stuk weerbaarder.
Een klant van ons: van overbelasting naar rust
Een klant van ons, een adviesbureau met zo'n dertig medewerkers in de regio Brabant, had precies dit probleem. Ze gebruikten een securitypakket dat elke dag tientallen meldingen genereerde. De office manager, die de IT erbij deed, had er al maanden geen goed gevoel meer over. Ze opende de meldingen nog wel, maar las ze nauwelijks meer.
Toen we samen naar de situatie keken, bleek dat er twee maanden eerder een melding was geweest over een verouderd VPN-component, een serieus risico. Die melding was weggespoeld in de stroom van lage-prioriteit-signalen. Het was puur geluk dat er niets ernstigs was gebeurd.
We hebben samen een triageprotocol opgezet, de monitoring overgenomen via onze managed service en de medewerkers een korte sessie gegeven over wat ze zelf wel en niet hoeven te doen. Drie maanden later gaf de office manager aan dat ze voor het eerst in jaren het gevoel had dat de beveiliging onder controle was. En dat terwijl zij er zelf minder tijd aan kwijt was dan voorheen.
NIS2 en uw verantwoordelijkheid
Voor organisaties die onder de NIS2-richtlijn vallen, is dit geen vrijblijvend vraagstuk. NIS2 verplicht organisaties tot aantoonbaar adequaat incident response-beheer. Dat betekent dat u niet alleen technisch beveiligd moet zijn, maar ook moet kunnen laten zien dat u meldingen systematisch oppakt en kritieke incidenten tijdig herkent en afhandelt.
Een inbox vol weggewimpelde beveiligingswaarschuwingen is in dat kader geen goed verhaal richting een toezichthouder. Een gedocumenteerd triageproces, gekoppeld aan een managed security dienst die aantoonbaar de juiste prioriteiten stelt, wél.
Wat kunt u vandaag al doen?
U hoeft morgen niet alles anders te doen. Maar een paar gerichte stappen maken nu al verschil.
Bekijk eens hoeveel beveiligingsmeldingen uw organisatie per week ontvangt en hoeveel daarvan daadwerkelijk worden beoordeeld.
Stel vast wie in uw organisatie verantwoordelijk is voor het opvolgen van beveiligingsmeldingen en of die persoon daar voldoende tijd en kennis voor heeft.
Kijk of uw huidige beveiligingssystemen prioriteiten stellen, of dat alles met dezelfde urgentie binnenkomt.
Overweeg of een managed security dienst u kan helpen de ruis te filteren, zodat u alleen de meldingen krijgt die er echt toe doen.
Beveiliging hoeft niet overweldigend te zijn. Maar het vraagt wel om structuur. En soms om iemand die met u meekijkt.
Veelgestelde vragen
Wij zijn een klein bedrijf. Lopen wij echt risico op serieuze cyberaanvallen?
Ja, en misschien juist daarom. AI-gestuurde aanvallen zijn geautomatiseerd en maken geen onderscheid op bedrijfsgrootte. Kleinere organisaties zijn vaak aantrekkelijker omdat ze minder goed beveiligd zijn en sneller reageren op druk. Het idee dat alleen grote bedrijven worden aangevallen, klopt al lang niet meer.
Wat is het verschil tussen een SIEM en een managed security dienst?
Een SIEM (Security Information and Event Management) is software die beveiligingsdata verzamelt en analyseert. U heeft die data dan, maar u moet er zelf iets mee doen. Een managed security dienst neemt die hele taak van u over: een team van specialisten monitort uw omgeving, filtert de ruis en handelt of escaleert waar nodig. Voor het MKB is dat laatste vaak de meer realistische keuze.
Valt mijn bedrijf onder NIS2?
NIS2 richt zich op organisaties in sectoren die als essentieel of belangrijk worden aangemerkt, zoals energie, transport, gezondheidszorg, digitale infrastructuur en financiële dienstverlening. Ook toeleveranciers van bedrijven in die sectoren kunnen verplichtingen hebben. Twijfelt u of uw organisatie eronder valt? Neem dan contact op. Wij helpen u dat helder in kaart te brengen.
Hoe snel kunnen jullie ons helpen met een eerste beoordeling?
Een eerste gesprek waarbij we uw huidige situatie in kaart brengen, plannen we doorgaans binnen een week. We kijken dan naar uw huidige beveiliging, de meldingenstroom en uw processen. Op basis daarvan geven we u een concreet beeld van waar de risico's zitten en wat de meest effectieve eerste stappen zijn. Geen dik rapport dat in de la verdwijnt, maar een helder plan dat u kunt uitvoeren.
Wil je weten waar jouw IT staat?
Plan een vrijblijvende sparringsessie - we kijken samen naar je security, beheer en groeiruimte.