"Wij hebben antivirus" is geen security-strategie

Antivirus uit 2010 was een product dat malware-bestanden herkende aan handtekeningen. In 2026 is "we hebben antivirus" een gevoel, geen verdediging.

De meeste echte aanvallen op MKB-bedrijven gaan tegenwoordig zo: een phishing-mail die overtuigend genoeg is om iemand op een link te laten klikken. Een nep-login-pagina die credentials vangt. Daarna logt de aanvaller in met geldige credentials, kijkt rond in de mail, en stuurt vanuit dat account een factuur naar een klant met een gewijzigd bankrekeningnummer. Geen bestand wordt gedownload. Antivirus ziet niets.

Wat helpt wel.

MFA op alles. Niet alleen op de mail. Ook op administratie, CRM, boekhouding, VPN, alles wat van buiten te bereiken is. Een gestolen wachtwoord moet niet genoeg zijn om in te loggen.

Conditional access. Als iemand vanuit Indonesië inlogt om kwart voor drie 's nachts, mag dat niet zonder dubbele check. Microsoft 365 Business Premium en Google Workspace Enterprise bieden dit zonder extra licentie.

Phishing-bewust personeel. Niet door een verplichte training van twee uur die niemand serieus neemt. Wel door regelmatig korte simulaties (een nep-phishing-mail die intern verstuurd wordt) en uitleg achteraf voor wie erin trapte. Wij doen dit standaard binnen Managed IT.

Audit-logging die je daadwerkelijk leest. Iemand logt op een vreemd tijdstip in, je weet het. Iemand stuurt 200 mails in een uur, je weet het. Zonder dit ben je blind voor wat er in je eigen accounts gebeurt.

Backups die getest zijn. Voor het scenario waarin het toch is misgegaan en alles versleuteld is.

Antivirus blijft een onderdeel. Als enige verdediging is het iets uit een ander tijdperk.