Het KVO-B Cybercertificaat: cyber security risico’s
van jouw medewerkers, processen en IT in kaart

Wat is het cybercertificaat?

De BOV wil het cybersecurity niveau van haar leden meetbaar maken en dit waarderen met een ‘digitale cyber security ster’ als onderdeel van KVO-B.

Daarom introduceren wij het cybercertificaat KVO-B. Zodra blijkt dat uw bedrijf aan de normering voldoet, ontvang je dit cyberkeurmerk. Om het cyberkeurmerk te kunnen uitgeven, maken wij gebruik van een online monitoringsysteem, dat monitort hoe veilig jouw systemen, processen en medewerkers werken.

Vandaag nog een veilige organisatie? Meld je aan voor de cybermonitor

Hoe kom ik in aanmerking voor het cybercertificaat KVO-B?

Door mee te doen aan het cybersecurity monitor project van de BOV kom je in aanmerking voor het cybercertificaat. Meedoen is eenvoudig: meld je aan via de website, installeer de Skopos app en monitor je medewerkers, websites en techniek met Skopos. Skopos noemt dit de continu cyber security audit. In de continu audit wordt je organisatie continu geanalyseerd op kwetsbaarheden zoals gedateerde- of kwetsbaar software. Van medewerkers wordt continu getoetst hoe het cyber bewustzijn is om bijvoorbeeld phishing te herkennen. Ook worden alle websites getest op een aantal kwetsbaarheden zoals security headers en SSL. De rapportages worden aan de ondernemers verstrekt via het Skopos portal.

Wat levert het mij op?

Skopos meet de veiligheid van jouw website en plaatst dit realtime in ons portal. Zo kun je op elk moment zien hoe veilig jouw websites zijn. Zo heb je altijd:

  • Inzicht in de cyberrisico’s van je organisatie (mens, de IT en processen)
  • Advies met acties voor management over hoe de risico’s te verlagen
  • Meer zekerheid over de continuïteit en veiligheid van uw klantgegevens en reputatie
  • Minder kans op aanvallen van ransomware, DDoS en phishing
  • Gunstige acceptatievoorwaarden, dekkingen en tarieven op cyberrisicoverzekeringen
  • Korting op Cyber BHV e-learning

Skopos checkt met regelmaat een aantal aspecten. Die worden hieronder beschreven

Veiligheidsscores

Je website heeft beveiliging nodig – zonder beveiliging zou iedereen jouw website kunnen hacken, gegevens van bezoekers stelen, infecteren met virussen of ontoegankelijk maken voor gebruikers. Eén van de manieren om je website te beveiligen is via security headers. We leggen je uit wat dat zijn, en waarom het belangrijk is dat dit op orde is. 

Wat zijn security headers en wat doen ze?

Security headers geven een extra laag beveiliging aan jouw website. Zij vertellen aan jouw browser hoe om te gaan met de inhoud van de website. Skopos controleert verschillende soorten security headers op jouw website. Je webbeheerder of IT partner kan je hiermee helpen.

Advies is om minimaal de eerste drie policies in de volgende tabel in te stellen:
“Permissions-Policy”, “X-Permitted-Cross-Domain-Policies” en “X-Content-Type-Options”

Hier een korte beschrijving per element waar Skopos op controleert

ElementBeschrijvingAdvies
Permissions PolicyDe Permissions Policy is een nieuwe header die de site in staat stelt om controle uit te oefenen welke features en APIs gebruikt kunnen worden in de browser.De aanbevolen waarde is ‘interest-cohort=(); vibrate=(); geolocation=(); midi=(); notifications=(self); push=(); sync-xhr=(self); microphone=(); camera=(); magnetometer=(); gyroscope=(); speaker=(); fullscreen=(); payment=()’.
X-Permitted-Cross-Domain-PoliciesDe X-Permitted-Cross-Domain-Policies header wordt gebruikt voor het toestaan van PDF en Flash documenten bij cross-domain verzoeken.De aanbevolen waarde is ‘none;’.
X-Content type optiesWanneer een website bestanden laadt, bijvoorbeeld een stylesheet, dan wordt het zogenaamde content type ingeschat. In het voorbeeld van een stylesheet is dit text/css. Een aanvaller kan een bestand uploaden dat op een stylesheet lijkt, maar in werkelijkheid kwaadaardige code is. Met de X-Content type instelling vertel je de browser dat deze niet meer mag raden, hiermee vermijd je dit risico.De enige valide waarde voor deze header is “X-Content-Type-Options: nosniff”.
X-Frame optiesDe X-Frame optie geeft aan of jouw website geladen mag worden in een iframe. Een iframe is een browser venster waarin website content wordt geladen. Via een iframe kan iemand jouw website helemaal namaken en misbruiken voor bijvoorbeeld phishing. Met deze instelling maak je dat veel moeilijker.
Aanbevolen waarde is “X-Frame-Options: SAMEORIGIN”.
X-XSS protectieMet cross site scripting (XSS) injecteert een aanvaller kwaadaardige code in een website. Deze code kan bezoekers van jouw website dan besmetten. Een slecht beveiligd formulier bijvoorbeeld, kan kwetsbaar zijn voor cross site scripting.Aanbevolen waarde is ‘X-XSS-Protection: 1; mode=block;’.
HTTP Strict Transport Security (HSTS)Met deze security header kun je regelen dat webbrowsers jouw website alleen mogen benaderen via een beveiligde (https) verbinding. Om deze security header in te stellen, moet de website al gebruik maken van een SSL verbinding (beveiligde verbinding, dus https en een slotje in de adresbalk van de browser).
Aanbevolen waarden is ‘Strict-Transport-Security: max-age=63072000; includeSubDomains; preload;’.
Referrer policyAls een bezoeker op jouw website een link volgt naar een andere website dan neemt de browser informatie mee. Bijvoorbeeld waar de bezoeker vandaan is gekomen (dus informatie over jouw website). Deze informatie wordt gebruik in oa. Google Analytics.
Aanbevolen waarde is ‘Referrer-Policy: strict-origin-when-cross-origin;’.
Content security policyBeveiliging tegen Cross Site Scripting. Je kunt domeinen op een white- of blacklist aan zetten. Wanneer een aanvaller via Cross Site Scripting een script op je website plaatst kun jij je hier tegen beschermen.
Deze is lastig. Advies is beginnen met ‘default-src “none”; script-src “self”; connect-src “self”; img-src “self”; style-src “self”;’.
Cross-Origin-Embedder-PolicyDe Cross-Origin Embedder Policy stelt een site in staat om te voorkomen dat bestanden worden geladen die geen toestemming geven om te laden via CORS of CORP.De aanbevolen waarde is ‘none;’.
Cross-Origin-Opener-PolicyDe Cross-Origin Opener Policy geeft de website een opt-in tot Cross-Origin Isolation in de browser.De aanbevolen waarde is ‘(same-origin|same-origin-allow-popups|unsafe-none); report-to=’default”.
Cross-Origin-Resource-PolicyThe Cross-Origin Resource Policy stelt een resource eigenaar in staat om te specificeren wie de resource mag laden.De aanbevolen waarde is ‘(same-site|same-origin|cross-origin)’.
Expect-CTAls de Expect-CT Header ingesteld is voor een web pagina, Chrome wordt gevraagd om te checken of de website een certificate heeft in de publieke Certificate Transparent logs. Dit voorkomt het ongemerkt gebruik van valse certificaten op de website.De aanbevolen waarde is ‘enforce,max-age=30’.

Hoe test ik de veiligheid van mijn website? 

Skopos meet de veiligheid van jouw website en plaatst dit realtime in ons portal. Zo kun je op elk moment zien hoe veilig jouw websites zijn.

Wanneer moet ik ingrijpen en wat moet ik dan doen? 

Als de beveiliging van je website niet op orde is, moet je aanpassingen doen. Het kan zijn dat je dit aan je webdeveloper of webhostingpartij moet vragen. Wij raden aan om bij elke score lager dan een A de aanbevelingen te volgen.  

Wat is kwetsbare software?

Skopos analyseert de software op elke laptop, server en smartphone. Dit maakt deel uit van het proces voor kwetsbaarheidsbeheer. Verouderd software vormt een serieus risico voor organisaties. Er wordt gekeken naar de specifieke versie om te beoordelen of deze versie kwetsbaar is voor exploits of andere beveiligingsproblemen. Meestal geldt: hoe ouder de software, hoe kwetsbaarder.

Er is verouderde software gesignaleerd. Wat moet ik dan doen?

Het oplossen van dit probleem heet Patchmanagement. Wat kunt u doen om het risico van kwetsbare software te verkleinen? Er zijn een paar mogelijke acties:

1) Verwijder verouderde software. Skopos zal detecteren dat software is verwijderd en het risico dienovereenkomstig bijwerken. De meeste laptops waarvan we zeggen dat ze meerdere browsers hebben. Dit is een goed moment om de oude browser op te ruimen die u nooit hebt gebruikt.

2) Bijwerken. De meeste software biedt een knop “Nu bijwerken”. Gewoon centraal of lokaal de software updaten. De Skopos-agent zal de update opmerken en de risicoscore bijwerken. Een update resulteert meestal in een lagere risicoscore.

3) Accepteer. Soms is de oudere versie van software nodig om toegang te blijven krijgen tot een website of dienst. In dat geval kunt u het risico accepteren en een korte omschrijving geven. Skopos verwijdert de risicoscore voor elk geaccepteerd risico. Technisch gezien is de risicoblootstelling er nog steeds, maar geaccepteerd door de organisatie.

Meer lezen

Wil je meer lezen over het cyberkeurmerk? Klik dan op de button.

Dagelijkse detectie

Inzicht in cybersecurity risico’s
van je medewerkers, techniek en proces.

Maandelijks advies

Adviesrapport met acties voor het management, systeembeheer, websiteontwikkelaar en HR.

Het hele jaar in control

Met het krachtige dashboard
altijd inzicht in jouw beveiligings-scores 

Het BOV cyberkeurmerk: alle ondernemers veilig

✓ Monitor je medewerkers, computers, werkplekken, telefoons en websites
 
✓ Ontvang het BOV cyberkeurmerk KVO-B

✓ Dit collectieve project is gratis voor BOV-leden

Meest gestelde vragen

Gaan collectieve aanbieders op de stoel van de IT-dienstverlener zitten?

Wij geloven dat informatiebeveiliging de verantwoordelijkheid is van de bedrijfsdirectie. Niet van IT, niet van de dienstverlener en niet van accountants. Het gros van het MKB wil iets maar heeft net een zetje nodig. Daarom bieden we Skopos Lite aan. Wij vinden het winst dat een bedrijvenkring, gemeente, bank of verzekeraar zich ook bezig wil houden met security. Maar de eindverantwoordelijkheid blijft liggen bij de bedrijfsdirectie.

Welke informatie verzamelt Skopos?

De Skopos software verzamelt slechts minimale informatie. Als je toegang krijgt tot het platform, heeft Skopos nooit meer dan de volgende persoonsgegevens van jou nodig:  
• Naam  
• E-mailadres  
• IP-adres  
 
Als de software van Skopos op jouw computer of telefoon is geïnstalleerd zal Skopos, afhankelijk van je gebruik, onderstaande gegevens ook verwerken:  
• Welke applicaties op je computer of telefoon zijn geïnstalleerd; 
• Welke beveiligingsinstellingen zijn ingesteld op je computer of je telefoon (bijvoorbeeld: is de harde schijf gecodeerd of niet, is de firewall en antivirus actief en is Windows ge-update); 
• De antwoorden die je hebt gegeven op de vragenlijsten die aan jou beschikbaar zijn gesteld. 

Ik ben IT-er. Gaat Skopos mijn dienstverlening in de weg zitten?

Onze ervaring leert van niet, Skopos maakt risico’s inzichtelijk op directie niveau waar gebruikers eerst niet van bewust zijn. Skopos jaagt de behoefte aan van allerlei diensten zoals back-up faciliteiten, monitoring software en SOC diensten.

Hoe gaan jullie om met mijn privacy en gegevens?

Skopos respecteert de privacy van haar gebruikers en zorgt dat persoonsgegevens vertrouwelijk worden behandeld. Dit kan je in detail nalezen in het privacy statement van Skopos.

Wie is Skopos?

Skopos is een bedrijf van ethische hackers wat al jarenlang software ontwikkelt. Skopos is ontworpen vanuit de principes van security by design en privacy by design. Dit betekent dat de relevante kwaliteitseisen over veiligheid en privacy ‘by design’ in het product zijn geïntegreerd. De meeste medewerkers van Skopos komen uit Veenendaal en je kunt bij hen langskomen om verder te praten over cybersecurity voor jouw bedrijf. De accountants van Schuiteman werken samen met Skopos voor de cybersecurity van hun cliënten. Skopos is bezig met de ISO27001 certificering en verwacht in het najaar van 2022 gecertificeerd te zijn. Meer over onze organisatie lees je op https://skopos.ai

Hoe kom ik in contact met Skopos?

Je kunt ons bereiken op support@skopos.ai

Wat zeggen onze klanten?

”Door het gebruik van Skopos zorgen we ervoor dat we de veiligheid waarborgen en de risico’s van een hack beperken.

Skopos helpt je als ondernemer ontzettend veel als je laat zien dat je die tool gebruikt. Wij als accountant voegen daar onze deskundigheid aan toe en kunnen daarvoor een accountantsrapport afgeven.”

Gert de Fluiter
Schuiteman Accountants & Adviseurs

Samenwerking met BOV

Skopos werkt samen met Bedrijvenkring Ondernemend Veenendaal. Met deze unieke samenwerking kunnen we ervoor zorgen dat organisaties snel, eenvoudig en aantoonbaar in control zijn van hun cyberrisico’s.

De visie van Skopos is om organisatie preventief veiliger te maken. Dat moet snel, eenvoudig,efffectief en betaalbaar. In samenwerking met de BOV gaat Skopos nu alle aangesloten bedrijven binnen het collectief haar cybersecurity diensten aanbieden.

Om deze digitale gevaren gezamenlijk het hoofd te bieden, is de BOV (Bedrijvenkring Ondernemend Veenendaal) gestart met een collectief en gratis cybersecurityprogramma voor haar leden. Uniek, in de zin dat Veenendaal dit als eerste gemeente oppakt via het Keurmerk Veilig Ondernemen voor bedrijfsterreinen. 

De BOV heeft een speergroep in het leven geroepen die de collectieve cybersecurity activiteiten begeleidt en aanstuurt. Die bestaat uit de gemeente VeenendaalSchuiteman Accountants & Adviseurs in EdeSchipper Security in Veenendaal en het Centrum voor Criminaliteitspreventie en Veiligheid. Het CCV werkt samen met veiligheidsprofessionals, overheden, bedrijven en maatschappelijke organisaties. Deze onafhankelijke stichting is onder andere bekend van het KVO-keurmerk en van het Politiekeurmerk Veilig Wonen. 

Laatste nieuws