Een ver-van-mijn-bedshow voor de kmo?

Cybersecurity

Bewaak wat je lief is. Het geldt al van tijdens de prehistorie, maar tijden veranderen… en dus ook wat we moeten bewaken. De kist met sieraden en juwelen heeft plaats gemaakt voor het nieuwe goud: big data en de daarbij horende digitale revolutie. Sesam, open u.

Tot voor enkele jaren was cyberbeveiliging slechts weggelegd voor de grote spelers, bedrijven die koste wat kost hun gegevens willen beschermen tegen potentiële hackers. Net zoals bankovervallers in films steeds listiger worden, moeten ook hackers zichzelf telkens heruitvinden. Het ultieme doel? De naïeve klant misleiden of simpelweg binnenbreken in het onbeveiligde netwerk van dat ene kleine kmo’tje en een schat aan datagegevens plunderen.

Criminaliteit anders ingevuld

Prof. Dr. Bart Preneel is verbonden aan COSIC KU Leuven, de afdeling voor computerbeveiliging en industriële cryptografie, en stelt dat kmo’s nog niet zo fel bezig zijn met de beveiliging van hun netwerken en gegevens. “De bewustwording groeit echter wel, vooral door incidenten die zich voordoen bij andere bedrijven of in de media aan bod komen. Gekende vormen van phishing of CEO-fraude, waarbij werknemers door een hooggeplaatste persoon gevraagd worden om geld over te schrijven, komen steeds vaker voor bij kmo’s. Het is ook logisch. Hoe meer er in de wereld gedigitaliseerd wordt, hoe meer criminaliteit er zal zijn. Alles verschuift mee met de digitalisering. Een klassieke bankoverval ruimt ook plaats voor cybercriminaliteit.”

Eerst voelen dan reageren

Francis Oostvogels, manager Risk Advisory Services bij BDO Belgium beaamt: “Cybersecurity is voor veel kmo’s nog een ver-van-mijn-bedshow. Pas als er een phishing- aanval gebeurt, gaat er een belletje rinkelen en willen ze snel de risico’s beperken. Een beetje het principe van eerst voelen, dan reageren.” Bewustmaking van het personeel is volgens Preneel een eerste, maar correcte stap: “Hanteer in je beveiliging een aantal principes die je basisveiligheid afdekken en zorg dat je telkens back-ups hebt. Maak je personeel ook attent op de mogelijke gevaren. Als bedrijfsleider moet je investeren in de alertheid van je personeel zodat ze geen domme dingen doen uit onwetendheid.”

Nonchalant beveiligd

De kostprijs van beveiliging is de voorbije jaren gedaald waardoor alles toegankelijker wordt, ook voor kmo’s. Oostvogels: “De kostprijs is al lang niet meer het probleem, eerder de nonchalance van sommige bedrijven. Veel kmo’s besteden hun ICT uit en denken dat ze daardoor wel veilig zijn. Ze zijn er niet mee bezig, zolang de server en het netwerk maar goed draaien en er vlot gewerkt kan worden. Hoe de externe beveiliging precies in elkaar zit, weten ze meestal niet. Laat staan dat ze beseffen welke potentiële risico’s ze lopen.”

‘Investeer in de alertheid van je personeel zodat ze niets doen uit onwetendheid.’
Bart Preneel, COSIC KU Leuven

Penetration testing

Veel maatregelen kosten tegenwoordig al niet veel geld meer. Een sterk wachtwoordbeleid binnen een firma is al een stap in de goede richting. Zaken die vroeger vaak onbetaalbaar waren, zijn nu ook een stuk betaalbaarder geworden. Oostvogels: “Ik denk bijvoorbeeld aan penetration testing, waarbij een gesimuleerde aanval wordt uitgevoerd om te kijken hoe makkelijk je in een netwerk binnenraakt. Dat was vroeger alleen maar weggelegd voor grote bedrijven, maar nu kunnen ook, vrij eenvoudig en tegen betaalbare prijs, de cyberpijnpunten van een kmo blootgelegd worden.”

Beveiliging op maat

“Je gegevens beveiligen is een zaak van twee kanten”, gaat Preneel verder. “Je moet zelf
zo goed mogelijk met de zaken bezig zijn, maar ondertussen zorgen ook bedrijven als Microsoft, Google of Amazon dat de veiligheid gegarandeerd kan worden. Ze blijven investeren en optimaliseren, en dat moet natuurlijk ook als grootste spelers. Authenticatie in twee stappen is daar een mooi voorbeeld van.” Oostvogels adviseert kmo’s om advies in te winnen en niet alleen een parcours uit te stippelen waar je bedrijf niet veel kaas van heeft gegeten. “Er moet gekeken worden hoe een organisatie eruit ziet, of ze veel risico loopt of niet. Het heeft niet veel nut om snel te investeren in een beveiling als het niet van toepassing is voor je bedrijf.

Uit onwetendheid gebeuren er vaak nutteloze aankopen. Mijn advies is dus om echt kwalitatief advies in te winnen en een stappenplan voor je beveiliging te laten uitschrijven. Een bedrijf dat enkel bezig is met productie zal misschien veel minder beveiligd moeten worden dan een bedrijf dat persoonsgegegevens bijhoudt.”

Opletten geblazen

Iets wat volgens Preneel toch enige voorzichtigheid vraagt: “Met de nieuwe industriële revolutie, Industrie 4.0, moeten we toch opletten. Alles is tegenwoordig meer gedigitaliseerd, ook productieprocessen. Wat als we van thuis uit een productieproces kunnen veranderen in pakweg een voedingsbedrijf ? Het is zoals bij een flitscontrole van de politie: iedereen kan wel eens prijs hebben.”