De meeste MKB-bedrijven hebben geen tekort aan securitybeleid. Ze hebben een tekort aan werkende maatregelen.

Er staat ergens een informatiebeveiligingsbeleid met daarin dat er ooit een awareness-training is gegeven, dat de IT-partner “iets met firewall en antivirus” heeft geregeld. Maar als ISO 27001 of NIS2 ter sprake komt, ontstaat ineens de bekende paniek: logs, kwetsbaarheden, wachtwoorden, phishing, monitoring, leveranciers, audits, alles moet tegelijk.

Dat is precies waar het misgaat.

Security hoeft niet te beginnen met een dik consultancyrapport of een peperduur enterprise-platform. Veel praktische risico’s kunt u vandaag al verkleinen met goede open source tools. Niet omdat open source magisch is. Niet omdat gratis hetzelfde is als simpel. Maar omdat u met de juiste volgorde snel grip krijgt op de grootste gaten: wachtwoorden, phishing, exposed servers, logging, kwetsbaarheden en netwerktoegang.

De harde waarheid: open source bespaart licentiekosten, maar niet automatisch beheerkosten. Sommige tools staan binnen een middag. Andere leveren pas waarde op als iemand ze serieus beheert.

Daarom hieronder geen willekeurige lijst met “leuke gratis tools”, maar een praktische MKB-volgorde: wat pakt direct risico weg, wat helpt bij ISO 27001/NIS2, en waar moet u niet naïef aan beginnen.

1. Bitwarden of Vaultwarden

Als u één ding vandaag aanpakt, pak dan wachtwoorden aan.

Veel MKB-bedrijven doen alsof wachtwoordbeheer een volwassen proces is. In werkelijkheid staan wachtwoorden nog te vaak in Excel-bestanden, browsers, gedeelde notities, WhatsApp-gesprekken of “even tijdelijk” in een projectmap. Of wordt hetzelfde wachtwoord voor alle systemen hergebruikt.

Dat is geen security. Dat is wachten op ellende.

Bitwarden is een open source wachtwoordmanager. Vaultwarden is een lichte self-hosted variant die werkt met de Bitwarden-clients. Daarmee krijgt u gedeelde kluizen, sterke wachtwoordgeneratie, browser-extensies, mobiele apps en controle op zwakke of hergebruikte wachtwoorden.

Waarom dit direct waarde heeft

Credential-misbruik is één van de meest voorkomende startpunten van incidenten. Een aanvaller hoeft uw firewall niet te kraken als hij gewoon een hergebruikt wachtwoord vindt.

Met een wachtwoordmanager bereikt u drie dingen tegelijk:

1. Medewerkers hoeven geen wachtwoorden meer te onthouden.

2. U kunt unieke, lange wachtwoorden afdwingen.

3. U krijgt grip op gedeelde accounts en toegangsbeheer.

Dat laatste is belangrijk voor ISO 27001. Toegang moet beheerst worden. Niet “ongeveer bekend zijn bij IT”.

Wanneer betaalt u?

Bitwarden is gratis voor individueel gebruik. Voor teamfuncties, gedeelde collecties, SSO en rapportages betaalt u een relatief laag bedrag per gebruiker per maand. Vaultwarden kunt u gratis self-hosten, maar dan bent u zelf verantwoordelijk voor updates, back-ups, beschikbaarheid en beveiliging van de omgeving.

De MKB-valkuil

Self-hosting klinkt stoer, maar u zet dan uw digitale sleutelbos op uw eigen server. Als u geen strak update- en back-upproces heeft, maakt u van een beveiligingsoplossing een nieuw kroonjuweel met risico.

Praktische eerste stap

Begin simpel: kies Bitwarden Teams of Business, zet MFA aan, maak gedeelde collecties per afdeling en migreer eerst de meest risicovolle wachtwoorden: adminaccounts, hosting, DNS, Microsoft 365, boekhouding, bankkoppelingen en klantportalen.

2. CrowdSec: blokkeer de ruis voordat het werk wordt

Elke server die aan internet hangt, wordt gescand. Niet af en toe. Constant.

Bots zoeken naar open poorten, zwakke logins, bekende kwetsbaarheden en verkeerd geconfigureerde diensten. Veel MKB-bedrijven zien die ruis niet eens. Ze merken het pas als een server traag wordt, een login brute force krijgt of een kwetsbare dienst wordt misbruikt.

CrowdSec is een open source security engine die kwaadaardig gedrag detecteert via logs en vervolgens actief kan blokkeren. Denk aan een moderne Fail2ban, maar dan met community threat intelligence.

Waarom dit direct waarde heeft

CrowdSec kijkt naar gedrag. Bijvoorbeeld:

• herhaalde mislukte logins;

• brute force op SSH;

• scans op webservers;

• verdachte HTTP-requests;

• aanvallen die ook bij andere deelnemers zijn gezien.

De kracht zit in het community-effect. Als veel andere deelnemers een IP-adres als kwaadaardig zien, kunt u daarvan meeprofiteren. Daardoor blokkeert u een groot deel van de automatische internetruis voordat uw systemen er last van krijgen.

Wanneer betaalt u?

De engine en detectieregels zijn gratis. Voor uitgebreidere consolefuncties, langere retentie en premium blocklists kunt u betalen.

De MKB-valkuil

CrowdSec beschermt vooral wat logs produceert en waar u het goed op aansluit. Het is geen volledige WAF, geen SIEM en geen vervanging voor patching. Een slecht onderhouden server blijft een slecht onderhouden server, ook als er CrowdSec voor staat.

Praktische eerste stap

Installeer CrowdSec op internet-facing servers, koppel het aan SSH, Nginx/Apache of Cloudflare, en begin met blokkeren op brute force en scanning. Dit is één van de beste effort-to-impact maatregelen in deze lijst.

3. Pi-hole of AdGuard Home: DNS-filtering voor weinig geld

Veel aanvallen beginnen met een klik. Niet elke klik leidt direct tot malware, maar vaak wel tot een domein dat u liever niet op uw netwerk ziet.

Pi-hole en AdGuard Home werken als netwerkbrede DNS-filter. Ze blokkeren advertenties, trackers en bekende malware- of phishingdomeinen voordat een verbinding tot stand komt.

In gewoon Nederlands: als een laptop naar een fout domein wil, houdt u dat verzoek al tegen bij de naamvertaling.

Waarom dit direct waarde heeft

DNS-filtering is geen wondermiddel, maar wel een goedkope extra laag. Het helpt tegen:

• bekende phishingdomeinen;

• malware command-and-control;

• tracking en ongewenste advertentiedomeinen;

• inzicht in welke apparaten waarheen verbinden.

Voor MKB is dit interessant omdat het laagdrempelig is. U hoeft geen groot securityteam te hebben om hiermee te starten. Dit geeft ook een invulling aan het web filtering norm artikel van de ISO27001.

Wanneer betaalt u?

De software is gratis. U heeft alleen hardware of een kleine VM nodig. Denk aan een Raspberry Pi, mini-pc of virtuele machine.

De MKB-valkuil

DNS-filtering werkt vooral goed binnen uw eigen netwerk. Buiten kantoor heeft u aanvullende inrichting nodig, bijvoorbeeld via VPN of endpoint-DNS. Daarnaast kunnen sommige applicaties hardcoded DNS of DNS-over-HTTPS gebruiken, waardoor ze uw filter omzeilen.

Ook belangrijk: maak geen single point of failure. Als uw enige DNS-filter uitvalt, ligt mogelijk uw internetervaring plat.

Praktische eerste stap

Zet twee instances op, gebruik betrouwbare blocklists, log per client en test eerst met een kleine groep gebruikers. Voeg daarna malware- en phishinglijsten toe en monitor wat wordt geblokkeerd.

4. GoPhish: maak awareness meetbaar in plaats van jaarlijks toneel

Phishingtraining is vaak een jaarlijks ritueel. Medewerkers klikken door een e-learning, beantwoorden wat makkelijke vragen en iedereen voelt zich weer veilig.

Tot de eerste echte phishingmail binnenkomt.

GoPhish is een open source framework voor phishing-simulaties. U kunt campagnes maken, e-mails ontwerpen, landingspagina’s gebruiken en meten wie opent, klikt of gegevens invult.

Waarom dit direct waarde heeft

GoPhish maakt awareness concreet. Niet als afrekencultuur, maar als meetinstrument.

U ziet bijvoorbeeld:

• welke afdelingen kwetsbaarder zijn;

• welke type mails werken;

• of medewerkers verdachte mails melden;

• of klikpercentages dalen na training;

• welke processen extra bescherming nodig hebben.

Dat past goed bij ISO 27001 A.6.3 over awareness, education en training. Maar let op: phishingweerbaarheid is nooit alleen training. De phishingblog laat terecht zien dat echte weerbaarheid ontstaat uit een combinatie van people, organisatorische en technische controls: secure authentication, logging, monitoring, web filtering, incidentmanagement en leveranciersbeheersing.

Wanneer betaalt u?

GoPhish is gratis. U heeft wel een server, verzenddomein en goede e-mailconfiguratie nodig. De tijd zit vooral in campagneontwerp, deliverability en zorgvuldige interne communicatie.

De MKB-valkuil

Gebruik GoPhish niet om medewerkers publiekelijk te betrappen. Dan creëert u angst, geen weerbaarheid.

De vraag is niet: “Wie klikte er?”
De vraag is: “Waarom kon deze aanval werken, en welke technische of procesmatige maatregel voorkomt schade als iemand tóch klikt?”

Praktische eerste stap

Start met één eenvoudige campagne per kwartaal. Meet niet alleen kliks, maar vooral meldgedrag. Train finance, HR, directie en servicedesk apart, omdat zij andere risico’s lopen dan algemene medewerkers.

5. Lynis: snelle hardening-audit voor Linux-servers

Veel servers draaien jarenlang door zonder scherpe controle op configuratie. Updates lopen achter. SSH staat te ruim open. Logging staat verkeerd. Bestandsrechten kloppen net niet. Onnodige services draaien nog.

Dat voelt klein, totdat een aanvaller precies zo’n misconfiguratie gebruikt.

Lynis is een open-source security auditing tool voor Linux/Unix-systemen. Het voert honderden checks uit en geeft concrete verbeterpunten.

Waarom dit direct waarde heeft

Lynis is praktisch omdat u snel een nulmeting krijgt. Geen zwaar traject. Geen groot dashboard. Gewoon draaien en zien waar uw server beter kan.

Het kijkt onder andere naar:

• patchstatus;

• systeemconfiguratie;

• logging;

• authenticatie;

• bestandsrechten;

• hardening-instellingen;

• compliance-gerelateerde aandachtspunten.

Voor audits is dit bruikbaar omdat u verbetering kunt aantonen. Bijvoorbeeld: hardening-score eerst 62, later 81. Dat is beter dan zeggen: “Onze servers zijn veilig geconfigureerd.” Bewijs wint van bewering. Lynis kan ook automatisch op bepaalde momenten audits draaien, dat is nóg beter voor security en aantoonbaarheid.

Wanneer betaalt u?

De open source versie is gratis. Lynis Enterprise biedt centrale rapportage, dashboarding en support.

De MKB-valkuil

Lynis lost niets automatisch op. Het geeft aanbevelingen. Iemand moet ze beoordelen, prioriteren en uitvoeren. Bij één server is dat overzichtelijk. Bij twintig servers wordt handmatig werken snel rommelig.

Praktische eerste stap

Draai Lynis op alle Linux-servers, exporteer de resultaten en pak eerst de high-impact punten aan: updates, SSH-hardening, logging, onnodige services en permissies.

6. Greenbone OpenVAS: maak patchbeleid toetsbaar

Veel organisaties zeggen: “Wij patchen regelmatig.”

Prima. Bewijs het maar.

Greenbone OpenVAS Community Edition is een open source vulnerability scanner. Het scant systemen en netwerken op bekende kwetsbaarheden en geeft rapportages met ernstscores.

Waarom dit direct waarde heeft

Kwetsbaarhedenbeheer is één van de onderwerpen waar MKB-bedrijven vaak te vaag over zijn. Er is wel een patchronde, maar niemand weet precies:

• welke systemen kwetsbaar zijn;

• welke kwetsbaarheden kritisch zijn;

• welke patches ontbreken;

• welke risico’s al maanden openstaan;

• of externe systemen anders scoren dan interne systemen.

OpenVAS maakt dit zichtbaar. Daarmee ondersteunt u ook ISO 27001 A.8.8 over management van technische kwetsbaarheden en NIS2-risicobeheersmaatregelen.

Wanneer betaalt u?

De Community Edition is gratis. De commerciële Greenbone Enterprise Feed is actueler en uitgebreider. Daar betaalt u voor.

De MKB-valkuil

Een vulnerability scan is geen absolute waarheid en ook geen zekerheid. Scans kunnen traag zijn, false positives geven of kwetsbaarheden missen. Zonder interpretatie eindigt u met een dik rapport waar niemand iets mee doet.

Dat is de papieren ISO-valkuil in technische vorm: een rapport hebben en denken dat u het risico heeft opgelost.

Praktische eerste stap

Scan eerst uw externe IP-adressen en kritieke interne servers. Maak daarna een simpele opvolgingslijst: kritiek binnen 7 dagen, hoog binnen 30 dagen, middel volgens patchcyclus. Houd uitzonderingen bewust klein en gedocumenteerd.

7. OPNsense: enterprise firewall zonder enterprise-licentie

Een firewall is niet spannend. Tot u ontdekt dat remote access openstaat, gasten en servers op hetzelfde netwerk zitten, of oude poorten nog bereikbaar zijn “omdat het ooit handig was”.

OPNsense is een open source firewall/router-platform. Het biedt onder andere stateful firewalling, VPN, VLAN’s, IDS/IPS via Suricata, captive portal, traffic shaping en rapportages.

Waarom dit direct waarde heeft

Voor MKB is OPNsense vooral interessant voor drie dingen:

1. Netwerksegmentatie
   Scheid kantoor, gasten, servers, IoT en beheeromgevingen.

2. Veilige remote access
   Gebruik VPN in plaats van open RDP, losse port forwards of “tijdelijke” uitzonderingen die nooit verdwijnen.

3. Zichtbaarheid op netwerkverkeer
   U krijgt meer grip op wat er door uw netwerk loopt.

Wanneer betaalt u?

De software is gratis. U betaalt eventueel voor hardware, support of de Business Edition.

De MKB-valkuil

OPNsense vervangt vaak uw router/firewall. Dat maakt het geen simpele toolinstallatie, maar een infrastructuurproject. Verkeerde configuratie kan downtime veroorzaken of juist een vals gevoel van veiligheid geven.

Praktische eerste stap

Begin niet meteen met alles omgooien. Breng eerst uw netwerk in kaart: internetverbinding, VLAN’s, servers, printers, WiFi, gastennetwerk, VPN, port forwards. Migreer daarna gecontroleerd en test rollback.

8. Wazuh: SIEM/XDR voor wie logging serieus wil nemen

Nu komen we bij Wazuh.

Wazuh is een open source platform dat SIEM en endpoint-monitoring combineert. Het verzamelt logs, monitort endpoints, detecteert kwetsbaarheden, controleert configuraties en biedt compliance-dashboards voor onder andere ISO 27001 en PCI DSS. Wazuh is een heel goed ‘alles-in-1-platform’.

Waarom dit waarde heeft

Wazuh vult een groot gat in veel MKB-omgevingen: detectie en logging.

Het kan helpen met:

• logaggregatie;

• file integrity monitoring;

• host-based intrusion detection;

• vulnerability detection;

• CIS-benchmark checks;

• MITRE ATT&CK-mapping;

• automatische alerts;

• compliance-rapportages;

• active response.

Voor ISO 27001 is vooral de link met logging en monitoring relevant. Denk aan A.8.15 en A.8.16. Veel MKB-bedrijven hebben daar in de praktijk weinig bewijs voor. Ze hebben logs, maar niemand gebruikt ze. Of ze hebben meldingen, maar geen opvolging.

Wazuh kan dat verbeteren.

Daarnaast geeft Wazuh invulling aan kwetsbaarheden management, configuraties, auditing van systemen.

Wanneer betaalt u?

Self-hosted Wazuh is gratis zonder licentiekosten. U betaalt wel voor infrastructuur: een stevige VM, opslag voor logretentie, back-ups en beheer. De managed cloud-variant werkt met abonnementen op basis van agents en supportniveau.

De MKB-valkuil

Wazuh is krachtig, maar niet licht. U heeft Linux-kennis nodig. Installatie, configuratie, tuning en beheer vragen serieus werk. Veel zaken lopen via CLI. Alerts moeten worden gefilterd. Use cases moeten worden ingericht. False positives moeten omlaag.

Een SIEM zonder opvolging is een rookmelder zonder batterij. Het hangt mooi aan het plafond, maar redt niemand.

Praktische eerste stap

Gebruik Wazuh niet als eerste tool als uw basis nog rommelig is. Start pas als wachtwoordbeheer, patching, firewalling en loggingbronnen redelijk op orde zijn. Begin daarna met een kleine scope: kritieke servers, beheeraccounts en kwetsbaarheidsdetectie. Breid pas uit als u alerts ook echt opvolgt.

9. Suricata: netwerkdetectie voor verkeer dat endpoints missen

Niet alles draait op een endpoint waar u een agent op kunt installeren.

Denk aan printers, IoT-apparaten, netwerkapparatuur, oude systemen of servers waar u beperkte controle over heeft. Endpointbeveiliging mist dat vaak. Suricata kijkt daarom naar netwerkverkeer.

Suricata is een open source IDS/IPS-engine. IDS betekent intrusion detection system: verdachte patronen herkennen. IPS betekent intrusion prevention system: verkeer actief blokkeren.

Waarom dit waarde heeft

Suricata kan aanvallen zien die endpointtools missen, zoals:

• laterale beweging;

• verdachte protocolactiviteit;

• scanning binnen het netwerk;

• exfiltratiepatronen;

• verkeer vanaf apparaten zonder agent;

• bekende aanvalssignatures.

Het integreert ook goed met OPNsense en kan output leveren richting Wazuh of Elastic.

Wanneer betaalt u?

De engine is gratis. De ET Open ruleset is gratis. Voor uitgebreidere ET Pro rules betaalt u.

De MKB-valkuil

Suricata zonder tuning wordt snel een alarmmachine. Veel meldingen, weinig actie. En door versleuteld TLS-verkeer ziet u niet alles.

Ook hier geldt: alerts zonder eigenaar zijn waardeloos.

Praktische eerste stap

Gebruik Suricata vooral in combinatie met OPNsense. Begin in detectiemodus, kijk welke meldingen relevant zijn, tune de regels en zet pas daarna voorzichtig preventie aan voor duidelijke, laag-risico blokkades.

10. Keycloak: SSO en centrale toegang, maar alleen als het past

Keycloak is een open source identity & access management platform. Het biedt single sign-on, MFA, gebruikersbeheer, rollen, koppelingen met LDAP/AD en ondersteuning voor standaarden zoals OIDC en SAML.

In gewone taal: één centrale plek om toegang tot applicaties te regelen.

Waarom dit waarde heeft

Toegangsbeheer is één van de grootste rommelgebieden in MKB.

Medewerker uit dienst?
Dan moeten twintig accounts worden verwijderd.

Nieuwe medewerker?
Dan maakt iedereen ergens een account aan.

MFA?
Soms wel, soms niet.

Rechten?
“Hij heeft dezelfde rol als Pieter, denk ik.”

Keycloak kan dit centraliseren voor self-hosted of interne applicaties. Daarmee verkleint u het risico op vergeten accounts, zwakke authenticatie en rommelige offboarding.

Wanneer betaalt u?

Keycloak zelf is gratis. De echte kosten zitten in hosting, inrichting en implementatietijd. Eventueel betaalt u voor support via commerciële routes.

De MKB-valkuil

Keycloak is niet voor elk MKB nodig. Als u volledig in Microsoft 365 zit, heeft u met Entra ID vaak al een identity-platform. Dan is Keycloak meestal extra complexiteit en misschien zelfs onnodig. Gebruik keycloak ook alleen als u goed weet waar u mee bezig bent.

Gebruik Keycloak vooral als u meerdere self-hosted applicaties heeft en centrale SSO/MFA mist.

Praktische eerste stap

Inventariseer eerst uw applicaties. Heeft u meerdere interne of self-hosted tools zonder goede centrale login? Dan kan Keycloak zinvol zijn. Heeft u vooral Microsoft 365 en SaaS-applicaties? Richt dan eerst Entra ID goed in.

De juiste volgorde: begin niet met de zwaarste tool

De klassieke fout is beginnen met de tool die het indrukwekkendst klinkt.

Dus koopt of installeert men een SIEM. Of een IDS. Of een vulnerability scanner. Daarna komt er een dashboard vol meldingen, niemand kijkt ernaar, en drie maanden later is het project “te complex”.

Security werkt andersom.

Pak eerst de risico’s die vaak tot incidenten leiden én eenvoudig te reduceren zijn.

Praktische implementatievolgorde voor MKB

De nuchtere conclusie: begin niet met Wazuh of Suricata als uw wachtwoorden nog in Excel staan. Dat is alsof u cameratoezicht installeert terwijl de voordeur open blijft.

Wat betekent dit voor ISO 27001 en NIS2?

Open source tools maken u niet automatisch compliant. Dat is de papieren ISO-fout.

Een tool is geen maatregel totdat u kunt aantonen:

• waarom u deze inzet;

• welk risico u ermee verlaagt;

• wie de tool beheert;

• hoe vaak u controles uitvoert;

• wat u doet met meldingen;

• welk bewijs u bewaart;

• hoe verbeteringen worden opgevolgd.

Voor ISO 27001 is vooral die bewijsvoering belangrijk. Niet als bureaucratische hobby, maar omdat een auditor wil zien dat uw beveiliging werkt.

Voorbeelden:

• Bitwarden ondersteunt toegangsbeheer en bescherming van authenticatie-informatie.

• GoPhish ondersteunt awareness en training.

• OpenVAS ondersteunt kwetsbaarhedenbeheer.

• Wazuh ondersteunt logging, monitoring en detectie.

• OPNsense ondersteunt netwerksegmentatie en veilige toegang.

• Lynis ondersteunt hardening en aantoonbare verbetering.

• Pi-hole ondersteunt web/DNS-filtering als extra verdedigingslaag.

• CrowdSec ondersteunt bescherming tegen brute force en scanning.

• Suricata ondersteunt netwerkdetectie.

• Keycloak ondersteunt centrale identity en access management.

Maar nogmaals: de auditor certificeert uw toolstack niet. De auditor beoordeelt uw beheersing.

De no-nonsense aanpak: klein beginnen, hard bewijzen, doorbouwen

De traditionele consultancywereld maakt security vaak te groot. Eerst maanden praten. Dan beleid schrijven. Daarna frameworks mappen. En ergens aan het einde vraagt iemand: “Maar werkt dit eigenlijk?”

Draai het om.

Begin met een smalle baseline die direct risico verlaagt:

1. Wachtwoorden onder controle
   Bitwarden of Vaultwarden. Geen Excel. Geen gedeelde browserwachtwoorden.

2. Internet-facing systemen beschermen
   CrowdSec, patching, firewallregels, geen open beheerpoorten.

3. Phishingroutes beperken
   DNS-filtering, GoPhish, MFA, meldproces, mailbeveiliging.

4. Kwetsbaarheden zichtbaar maken
   OpenVAS en Lynis voor periodieke scans en hardening.

5. Netwerk en logging volwassen maken
   OPNsense, Wazuh en eventueel Suricata zodra iemand de meldingen beheert.

6. Identity centraliseren waar nodig
   Keycloak alleen als het landschap daarom vraagt.

Dat is praktischer dan een jaar lang tandenpoetsen voor de tandarts. U bouwt beveiliging die dagelijks werkt, en de audit wordt daarna vooral het moment waarop u laat zien wat u al doet.

Conclusie: gratis tools zijn niet gratis, maar wel slim

Open source securitytools kunnen voor MKB enorm waardevol zijn. Niet omdat ze niets kosten, maar omdat ze u dwingen praktisch te denken.

Wat is het risico?
Welke tool verlaagt dat risico?
Wie beheert het?
Welk bewijs levert het op?
Wat doen we als er een melding komt?

Als u die vragen niet beantwoordt, krijgt u alleen meer dashboards, meer alerts en meer schijnveiligheid.

Als u ze wél beantwoordt, kunt u met relatief beperkte middelen een serieuze beveiligingsbasis neerzetten. Begin met de tools die direct risico verlagen. Bouw daarna pas aan zwaardere detectie en compliance.

De juiste volgorde is simpel:

Eerst grip. Dan zicht. Dan volwassen monitoring. Niet andersom.

Disclaimer

Lees voor het gebruik van opensource tools ook goed naar de licentievoorwaarden van de desbetreffende tool en in hoeverre uw organisatie (gratis) gebruik mag maken van de tooling.