cybercriminelen
IT

Cybercriminelen: de inbrekers die je niet ziet aankomen

08.03.2022
door Nieke van der Burgh

Het is een veelvoorkomende vergelijking, cybercriminelen tegenover inbrekers, maar daarom niet minder relevant, zeggen Patrick Hauspie en Jeroen Fiers, cybersecurity-experts bij het Agentschap Innoveren en Ondernemen (VLAIO). “Wanneer inbrekers merken dat het moeilijk is om een huis binnen te komen, zullen ze sneller geneigd zijn het bij iemand anders te proberen. Dit geldt ook voor cybercriminelen.” 

Het is schering en inslag

In onze huidige wereld werken steeds meer bedrijven digitaal, en sinds de opkomst van het telewerken is dit enkel toegenomen. Het is dan ook niet vreemd dat het aantal cybercriminelen en -aanvallen mee gegroeid is. Uit een recente studie in opdracht van minister van Economie en Innovatie Hilde Crevits (CD&V) blijkt dat bijna 1 op de 8 Vlaamse bedrijven in het afgelopen jaar het slachtoffer werd van cybercriminelen. “De misvatting dat je als klein bedrijf minder kans op aanvallen hebt dan grote bedrijven bestaat helaas nog altijd. Het zijn inderdaad de grote bedrijven die in de media komen als ze door cyberaanvallen getroffen worden, maar vandaag de dag is iedereen een mogelijke prooi”, aldus Hauspie. “Toch denken veel bedrijven dat het hun niet zal overkomen. Dit ‘zero risk’-idee is een mindset die we de wereld uit willen helpen.” 

Hauspie en Fiers benadrukken dat het belang van cyberveiligheid nog door te veel bedrijven wordt onderschat. Men moet meer stilstaan bij de impact van dergelijke aanvallen op zowel de lange als de korte termijn. Het meest voor de hand liggende gevolg is het stilvallen van de productie of werking van het bedrijf, wat een grote financiële impact heeft op korte termijn. Op lange termijn bestaat het gevaar om reputatieschade op te lopen. Ook het vertrouwen dat klanten en leveranciers in een bedrijf hebben, staat op het spel. VLAIO, hét aanspreekpunt van de Vlaamse overheid voor alle ondernemers in Vlaanderen, zet zich daarom in om kmo’s hierbij te steunen, onder andere via verbetertrajecten waarbij met een expert samengewerkt wordt om werkpunten op vlak van cyberveiligheid aan te kaarten. 

De human firewall 

Deze experten zijn een heel belangrijke schakel in het proces. Cyberveiligheid is niet iets dat de IT-afdeling in een bedrijf er even bij kan nemen. Het gaat verder dan dat. Het hele bedrijf moet erbij betrokken worden. Om dit te verduidelijken, geeft Hauspie een voorbeeld. “Men heeft via factuurfraude de mogelijkheid om de financiële dienst van een bedrijf te raken. Dit kan in de vorm van een mail gebeuren waarmee de zogezegd veranderde factuurgegevens van een leverancier doorgegeven worden. Wanneer men dan de volgende keer een betaling uitvoert naar die leverancier, wordt het gestort op het rekeningnummer van de cybercriminelen.” 

“Het is van groot belang dat de cyberveiligheid in een bedrijf verder gaat dan een firewall, back-ups en antivirusprogramma’s”, zeggen Hauspie en Fiers. “Wat nog te vaak mist, is wat wij de human firewall noemen: de mensen in het bedrijf.” Het kwetsbaarste aspect in het proces van cybersecurity zijn de menselijke fouten. Door élke werknemer te betrekken, kan dit risico ingedamd worden. Dit kan onder andere door opleidingen te organiseren. Dergelijke opleidingen vormen een tweevoudig voordeel voor de werknemers, omdat ze ook privé in aanraking komen met cyberaanvallen, bijvoorbeeld in de vorm van phishing mails of -sms’en. Zulke mails herkennen, of er in ieder geval kritischer voor zijn, vermindert het risico op cyberaanvallen drastisch. 

Wat nog te vaak mist, is wat wij de human firewall noemen: de mensen in het bedrijf.

Nood aan een back-up (plan)

Daarnaast is het van groot belang om een plan van aanpak klaar te hebben voor wanneer je toch slachtoffer wordt. Wie draagt welke verantwoordelijkheid, hoe frequent worden back-ups gemaakt en waar worden deze opgeslagen, communiceren we dit naar de buitenwereld en zo ja, hoe? “Deze zaken lijken evident, maar toch worden ze niet altijd gedaan”, zegt Fiers. “Online bestaan verschillende tools en gidsen die een indicatie geven over hoe bedrijven zich kunnen voorbereiden, maar toch raden we aan om een expert te raadplegen. We kunnen niet verwachten dat elk bedrijf er een in huis heeft, maar in Vlaanderen zijn er genoeg experten bij wie ze advies kunnen inwinnen.” Van een investering in cybersecurity zal je niet per se een return zien, maar het is daarom niet minder noodzakelijk. Hauspie en Fiers vergelijken het met een branddeur. “Een brand zal veel minder schade aanrichten wanneer men een branddeur heeft, dan wanneer er geen is. Ondanks je hoopt de deur nooit nodig te hebben, maak je de investering. Hetzelfde zou moeten gelden voor cybersecurity.”

Bovenal is het belangrijk altijd op je hoede te zijn en een kritische houding aan te nemen. Cybercriminelen nemen steeds slinksere methoden aan om een bedrijf binnen te dringen. Hier moet men te allen tijden op voorbereid zijn. De sleutel zit hem in de regelmaat. Mensen zijn geneigd vaak in herhaling te vallen, een regelmatige opfrissing van bijvoorbeeld een cybersecurity-opleiding is dus noodzakelijk. Ook is dit dé manier voor bedrijven om te blijven evolueren, aldus Hauspie en Fiers. “Er zullen altijd nieuwe manieren van cyberaanvallen opduiken, dat is iets wat nooit meer zal weggaan. Gelukkig worden ook steeds nieuwe manieren van cyberbeveiliging ontwikkeld.”

Online bestaan veel ondernemingen die opleidingen aanbieden om werknemers correct te leren omgaan met online gevaren. Een van deze bedrijven is Phished. Zij bieden een AI-gedreven trainingssoftware aan op basis van gepersonaliseerde en realistische phishingsimulaties. Lees er meer over in het artikel ‘Phished: zo laat je je niet vangen door cybercriminelen’.  

Vorig artikel
Volgend artikel