Digital Meeting – Cybersecurity

Kranten en nieuwssites publiceren vrijwel dagelijks berichten van geslaagde hacking of ransomware attacks. Cybercriminaliteit is de meest lucratieve vorm van criminaliteit en gaat mondiaal ver boven mensenhandel of drugshandel. Het kan een enorme impact hebben, maar niemand spiegelt het aan zijn eigen onderneming. Men ziet het als een ‘ver van mijn bed show’ vooral vanwege gebrek aan kennis. Reden voor OnlineRetailer om een digital meeting te organiseren over het topic cybersecurity met een mooie mix aan cyberexperten.

In hoeverre herkennen ondernemingen het risico van cybercriminaliteit?

Een veelgehoorde stelling is ‘bij ons valt er niks te rapen’. Het bewustzijn is over het algemeen heel laag. Cybersecurity is een heel moeilijk gegeven, merken de experts. Ze zien overigens wel grote verschillen tussen type van bedrijven. Bepaalde sectoren waarin voornamelijk compliance een grote rol speelt en die onder de nichewetgeving vallen, beginnen nu toch wel serieus stappen te nemen in cybersecurity.

Bij de gemiddelde kmo is het bewustzijn zeer laag. Men vergeet dat iedereen een target kan zijn. Cybercriminaliteit is ook voor hen absoluut een risico. Bovendien ben je als onderneming zelf juridisch verantwoordelijk. Niet je websitebouwer of je hostingpartij. Het management heeft een bestuurdersaansprakelijkheid en kan zelfs persoonlijk op het eigen vermogen aangesproken worden, net zoals het personeel persoonlijk aansprakelijk kan worden gesteld.

Veel ondernemingen zien cybercriminaliteit dus als een ‘ver van mijn bed show’. Het is iets fictiefs. Op de dag van vandaag zijn er ook te weinig officiële criminaliteitscijfers. Veel vendors staven met cijfers vanuit de eigen praktijk, die heel wat uit elkaar lopen. Er zijn geen wetenschappelijk objectieve gegevens. Wel zijn er internationale initiatieven om hier verandering in aan te brengen. Maar er is op vandaag geen uniform antwoord op de vraag wat het individuele risico is voor een onderneming en welke acties genomen moeten worden om voldoende cyberveilig te zijn.

Vanuit een keurmerk zoals Safeshops worden wel de nodige initiatieven genomen om meer aandacht te vestigen op cybersecurity. Zo is er anderhalf jaar geleden een website security groep in het leven geroepen, waarvan ook verschillende experts aan deze digital meeting deel uitmaken, met als doel om het bewustzijn in de markt te vergroten. Zo wordt er binnenkort zelfs een gratis scan ter beschikking gesteld.

Hoe gaan cybercriminelen te werk? En hoe kan je ze voor zijn?

Er is natuurlijk een hele range aan mogelijkheden, maar de meest gekende zijn toch wel de ransomware attacks, phishing, DDOS-aanvallen, CEO-fraude en misbruik met paswoorden. Ransomware is malware die een computer en/of gegevens die erop staan blokkeert en vervolgens van de gebruiker geld vraagt om de computer weer te ‘bevrijden’. Het komt regelmatig in de media, maar er is toch veel onwetendheid over.

Phishing kent eigenlijk twee varianten. De eerste gaat via personeelsleden. Ze krijgen een kwaadaardige mail binnen en na een paar clicks beginnen bestanden onbruikbaar gemaakt te worden. Bij de andere vorm wordt een website nagemaakt om klanten daar naartoe te lokken en geld af te troggelen met valse transacties. Het kan je ongewild een slechte reputatie en imagoschade bezorgen. Het is dus belangrijk om hier plannen voor klaar te hebben en jezelf erop voor te bereiden op zowel communicatief als technisch niveau. Ook het periodiek en frequent trainen van personeelsleden op dergelijke aanvallen, kan zeker helpen. Hiervoor zijn zelfs interessante tools beschikbaar om dergelijke aanvallen te simuleren.

Vele mensen gebruiken nog steeds zwakke paswoorden waardoor hun account kan overgenomen worden wat kan leiden tot succesvolle hacks. Om allerlei misbruiken met paswoorden te voorkomen, gaat de markt steeds vaker naar sterkere vormen van authenticatie. Toch blijft het volgens de experts een moeilijke. Je wilt aan de ene kant dat klanten zo gemakkelijk mogelijk kunnen inloggen, maar aan de andere kant moet het niet de deur openen voor criminelen. Omschakelen naar SSO-functionaliteiten (single sign-on) waarbij klanten met een Google- of Apple-account kunnen inloggen, zonder weer een nieuw paswoord te moeten aanmaken, kan wat soelaas bieden.

Daarnaast zien de experts in België zeker ook incidenten met CEO-fraude, een vorm van fraude of oplichting waarbij er geprobeerd wordt om mensen geld te laten overmaken naar de bankrekening van de oplichter door zich voor te doen als een CEO of andere hooggeplaatste functionaris in een bedrijf. En ook aanvallen in DDOS-sfeer komen regelmatig voor met de bedoeling een website plat te leggen. Het gebeurt vaak op systemen waar de ondernemer wat minder aandacht voor heeft en die daarom juist vatbaar zijn voor aanvallen.

Bedenk dat criminelen vooral op zoek zijn naar geld. Data wordt eerder gezien als een middel dan als een doel. Bij slechts een klein aantal bedrijven in België situeert het risico zich op het niveau van industriële spionage. Dan is data wél het target.

Is een cyberaanval beter bespreekbaar geworden?

Neen, klinkt het resoluut. Openlijke communicatie rondom een cyberaanval is volgens de experts nog niet evident. Zeker niet bij de wat kleinere bedrijven. Zelfs als je bedenkt dat de kosten én de reputatieschade kunnen worden opgevangen door een cyber insurance verzekeraar, merken de experts een enorme terughoudendheid om erover te praten.

Het is een cultureel verschijnsel. Als je ziet hoeveel meldingen er zijn geweest bij de Autoriteit Persoonsgegevens in Nederland, dan is dat een veelvoud vergeleken met België. Datzelfde geldt voor het aantal bedrijven dat bepaalde security certificaten heeft behaald. We lopen op vlak van cybersecurity toch wel wat achterop in België. De Belgische overheid heeft daarin ook een rol gehad. Zo werd de Belgische Gegevensbeschermingsautoriteit veel te laat actief, meer dan een jaar nadat het eigenlijk had gemoeten.

Positief is wel dat de overheid nu een serieuze inhaalslag wil maken en de ambitie heeft uitgesproken om tegen 2025 tot de top 5 landen te behoren op het gebied van cybersecurity. En daarvoor een nationaal plan heeft opgesteld. De VLAIO cybersecurity verbetertrajecten onderstrepen die ambities. De overheid betaalt maar liefst 45% van de kosten van kmo’s die investeren in cybersecurity. Er zijn niet veel landen waar het zover gaat. Het bewustzijn is dus ook zeker bij de overheid gekomen.

Cybercriminaliteit stijgt jaar na jaar. Wat is de reden hiervoor?

Hoe digitaler je gaat als samenleving en maatschappij, hoe meer malafide partijen op de kar springen. Alle gegevens van iedereen staan online. Criminelen zullen op allerlei manieren proberen om een voet tussen de deur te krijgen en informatie te ontfutselen. Ze worden ook steeds professioneler. In principe kan iemand vanaf de andere kant van de wereld jou online aanvallen.

Corona is in die zin ook een ‘goed jaar’ geweest voor criminelen. Niet eerder zijn er zoveel bedrijven de mogelijkheden van e-commerce gaan ontdekken. En je hoeft tegenwoordig al geen IT-specialist meer te zijn om ICT-diensten online te brengen. Dat geeft de ‘perfect storm’ voor criminelen om meer geld te verdienen dan met een lokale drugshandel. Cybercriminaliteit is anno 2021 de meest lucratieve vorm van criminaliteit. Het is ook nog een vorm van criminaliteit waarbij de pakkans heel gering is en waarin je onder fijne omstandigheden kan ‘werken’ zonder een wapen te hoeven dragen. De gedroomde manier om geld te verdienen.

In bepaalde landen die minder ethisch zaken doen, genieten hackers zelfs een sterrenstatus. Zolang ze hun vaderlandse overheid en bedrijven geen onrecht aandoen, wordt het gedoogd. Sterker nog, ze ondersteunen dit soort criminelen gewoon en vragen zelfs af en toe wat klusjes te doen voor het vaderland. In Rusland en China is dat heel gebruikelijk. Overigens is Rusland er onlangs wel op aangesproken tijdens de G7. Het is daarnaast niet zo dat de politie in geciviliseerde landen onsuccesvol is, maar de opsporing duurt lang. Het is een kat-en-muisspel.

Hoe kan je je beveiliging op een structurele manier integreren?

Het ‘instapniveau’ voor iedere onderneming zou moeten zijn dat je je hygiënefactoren op orde hebt. Met andere woorden, een continue check of de deur op slot zit, de ramen dicht zijn, de camera’s actief zijn, enz. Dat kun je heel gemakkelijk toetsen en afdichten met een laagdrempelige analyse. Daarnaast moet je investeren in een stukje onderhoud van je IT-systemen. Net zoals je je auto onderhoudt, moet je ook je IT-systemen up-to-date houden.

Houden bovenstaande zaken serieuze criminelen buiten de deur? Natuurlijk niet, maar het kan wel afschrikken. Vervolgens is het raadzaam in zee te gaan met een professionele hostingpartij en slimme infrastructuurpartners gekoppeld met een onafhankelijk adviseur die verder het specialistisch advies kan geven. Dat laatste is aan te raden, gezien de vaak beperkte tijd, middelen en expertise op het vlak van cybersecurity bij kmo’s. Neemt niet weg dat het wenselijk is om met een door een onafhankelijke derde partij aangeboden scanoplossing altijd een tegencontrole te doen.

Behalve de systemen IT-technisch te beveiligen, blijven awareness trainingen onverminderd belangrijk evenals het implementeren van beleidsmaatregelen inzake cybersecurity en het juridisch aftoetsen van concrete zaken. Omdat je nooit tot een nul-risico komt, is het verstandig een verzekering af te sluiten voor het restrisico. Een goede cyberverzekering kost vandaag het equivalent van twee tot drie autoverzekeringen.

Conclusie: gezond wantrouwen

Vertrouw niet enkel op de blauwe ogen van je hostingpartij, websitebouwer of programmeur. Ze doen het goed, hebben alle kennis en doen oprecht heel veel voor je. Maar juridisch heb je altijd je eigen verantwoordelijkheid. Je moet altijd controleren of hetgeen wordt geleverd veilig is. Verantwoordelijkheid kun je niet outsourcen. Het advies is dus om met gezond wantrouwen alles te bekijken.

Daarnaast moeten we concluderen dat cyberbedreigingen nooit meer weg gaan. In de 17e eeuw hadden we te maken met piraterij en werden schepen aangevallen op zee op zoek naar kroonjuwelen. Vandaag zijn die kroonjuwelen de data en digitale oplossingen waarmee we samenwerken. Ben je ervan bewust dat als je op een digitale manier zaken doet, er altijd aanvallen kunnen gebeuren en dat je jezelf hiertegen moet beschermen.

Positief is dat de business rond cybersecurity heel matuur is geworden. Er zijn enorm veel standaarden waarop we kunnen aligneren en tools die ons kunnen helpen om aanvallen te detecteren en onderscheppen. We zien wel dat het voor veel ondernemingen moeilijk is om het bos tussen de bomen te zien en de juiste maatregelen te nemen die het meeste impact hebben op de beveiliging van de eigen onderneming. Vertrouw hiervoor op het advies van een onafhankelijke security partner. Start dus vandaag nog met jouw security journey en neem maatregelen om jouw kroonjuwelen te beschermen. Zorg dat de hygiëne goed wordt. De gemiddelde hacker geeft op na 200 uur, want dan wordt het te duur en zoeken ze een ander slachtoffer.

Deelnemers

Combell: Dimitri Steyaert

Sirius Legal: Roeland Lembrechts

Cybercontract: Koen Druyts

Toreon: Siebe De Roovere

Nviso: Vincent Defrenne

Sweepatic: Kris Jehaes

TrustGuard: Hans Bouman

Geef als eerste een reactie

Geef een reactie

Uw e-mailadres wordt niet gepubliceerd.


*