Het best bekende en meest beruchte voorbeeld van cybercriminaliteit in België dateert van 2013. Belgacom werd toen het slachtoffer van een sterke software die computersystemen verstoort, een zogenaamde malware. De Britse geheime dienst GCHQ had die geïnstalleerd en viseerde daarmee vooral de Belgacom-dochter BICS.

Het voorval deed het beeld ontstaan dat cyberfraude enkel een zaak is van grote bedrijven en spionerende overheden, en dat is niet correct. Denken dat een familiebedrijf geen risico loopt op cyberfraude is volgens alle specialisten een grote fout. Cybercriminaliteit is in alle sectoren en voor alle soorten ondernemingen een reëel risico. Vooral wie slecht beschermd is, vormt een geliefkoosd doelwit.

Cyberfraude zit in de lift

"Opgelet: er is geen reden tot paniek", benadrukt Jef Cools, een specialist in het onderwerp als adviseur bij de Raad voor de Zelfstandigen en de KMO. Wel vindt Cools dat de bedrijven het probleem te vaak onderschatten. "Op basis van de beschikbare gegevens kunnen we duidelijk vaststellen dat cybercriminaliteit de voorbije jaren sterk is toegenomen. De financiële sector liet bijvoorbeeld weten dat er in België in 2018 driemaal zoveel gevallen van phishing waren als in 2017. Uit de verzekeringssector kwam het bericht dat in drie jaar tijd het aantal schadegevallen is verdrievoudigd".

Phishing is een techniek waarmee cyberfraudeurs via mail, telefoon, websites of pop-upschermen gevoelige informatie ontfutselen. Cyberfraudeurs hanteren echter een ruim pallet aan technieken. De bank-verzekeraar Crelan verloor in 2016 een slordige 70 miljoen euro via CEO-fraude, waarbij fraudeurs zich via een mail uitgeven voor de CEO. Medewerkers worden vervolgens vriendelijk verzocht geld over te schrijven.

Jef Cools: "Hoe maak ik ondernemers de risico's duidelijk? Ik vraag wel eens aan een ondernemer: beeld je even in dat je één dag geen toegang hebt tot e-mail, digitale bestanden zoals klantgegevens en boekhouding, kassa- of facturatiesysteem. Wat zou dat voor je activiteiten betekenen? Beeld je dan vervolgens in dat je die gegevens voor altijd kwijt bent. Dat is bijvoorbeeld wat kan gebeuren met ransomware. Daarbij eisen cyberfraudeurs geldsommen nadat ze de systemen van bedrijven hebben platgelegd. Vaak krijg ik het antwoord: dit zal mij nooit overkomen. En toch lopen er jaarlijks heel wat mensen in die val. Cybercriminelen gaan bovendien steeds geraffineerder te werk".

Reputatie- en andere schade

Volgens het jaarlijkse fraudeonderzoek van BDO Audit & Assurance waren vorig jaar in ons land een op de tien bedrijven het slachtoffer van cybercriminaliteit. Het onderzoek ondervroeg 245 bedrijven in 33 sectoren. Bovenop dat cijfer vermeldt het onderzoek andere fraudevormen die ook digitaal verlopen, zoals CEO-fraude (nog eens 5 procent) of factuurfraude (15 procent). "Door de toenemende digitalisering bij bedrijven is de kans groot dat cybercriminaliteit in de nabije toekomst de overige fraudetypes (activa verduisteren bijvoorbeeld) achter zich laat", schrijft het rapport. "De kosten-batenverhouding maakt cybercriminaliteit vrij aantrekkelijk voor fraudeurs. Bovendien zullen gedupeerde bedrijven weinig geneigd zijn dit soort fraude bekend te maken, aangezien de reputatieschade groter kan zijn dan de oplossing van het probleem."

De respondenten gaven aan dat de gevallen van cyberfraude hen gemiddeld 94.000 euro hebben gekost. Dat is lager dan het verlies bij verduistering en vervalsing. Identiteitsdiefstal (zoals CEO-fraude) levert fraudeurs het meest op (gemiddeld 350.000 euro) en ook die kan digitaal verlopen.

De identiteitsfraude kan zich bovendien ook extern richten. In 2018 werd KatoenNatie het slachtoffer van 'spoofing'. Fraudeurs gebruikten een vals e-mailadres op naam van een medewerkster van het bedrijf van Fernand Huts. Vanaf dat adres verzonden ze zogezegd achterstallige facturen, voor bedragen tot 4000 euro. Een andere bekende zaak is die van het incassobureau Trivion dat zijn naam misbruikt zag. Duizenden Vlamingen kregen een e-mail waarmee de oplichters zich voorstelden als de zaakvoerder. De geadresseerden moesten zogezegd rekeningen betalen, op risico van dagvaarding of inbeslagname van goederen. Het bureau leed geen financiële schade, maar de imagoschade was groot.

BDO nuanceert dat de verliezen door cyberfraude in de studie enkel de rechtstreekse gevolgen weergeven. "Deze bedragen tonen enkel het directe financiële verlies. De indirecte kosten om problemen op te lossen die het gevolg zijn van fraude staan hier nog los van en kunnen de impact substantieel verhogen. Dat geldt met name voor cybercriminaliteit, waarvan de directe gevolgen beperkt zijn, maar de indirecte kosten, zoals bedrijfsonderbrekingen of imagoschade, veel hoger kunnen oplopen."

Een bekend en recent voorbeeld is dat van Asco, de producent van luchtvaartonderdelen in handen van de familie Boas. Asco werd in juni slachtoffer van een ransomware-aanval op zijn servers. Die zogenaamde 'gijzelsoftware' legde eerst de servers en bij uitbreiding het hele bedrijf voor weken stil. Naast CEO-fraude of ransomware volgt nog een lange lijst van mogelijke digitale oplichtingstechnieken. Denk maar aan valse bankwebsites, of technieken die voorheen vooral op papier bestonden en intussen ook een digitale variant hebben, zoals factuurfraude of beleggingsfraude.

Hoe kunnen familiebedrijven zich weren?

Met welke acties en investeringen kan een familiebedrijf zich nu wapenen tegen cyberfraude? Dat hangt af van verschillende factoren: de bedrijfsgrootte, de interne organisatie, de kenmerken van het ICT-netwerk, de aanwezigheid van eigen ICT-specialisten en de sector waarin het bedrijf actief is. Algemeen delen specialisten mogelijke acties op in een aantal grote domeinen: identificatie van de risico's, preventie en bescherming, detectie van de aanvallen of inbreuken, de reactie op aanvallen en de herstelmaatregelen. Hoe ga je het beste te werk?

1. Analyseer het risico

Specialisten omschrijven dit als een 'cybersecurity risk assessment'. Daarmee weeg je de kans op een bepaalde dreiging af tegen de impact die fraude kan hebben voor de onderneming. Zo'n analyse biedt inzicht in de kwetsbaarheid van het bedrijf. De dreiging van cybercriminelen kan je niet wegnemen, maar aan je zwakke punten kan je wel werken. Voor die analyse bestaan vele modellen, zowel eenvoudig als zeer uitgebreid. Dat betekent dat het ook voor kleine familiebedrijven een mogelijkheid is. "Voor deze bedrijven is die oefening zelfs nog nuttiger", vindt Jef Cools. "Aangezien ze op die manier hun middelen kunnen inzetten voor de meest noodzakelijke acties. Op basis van de risicoanalyse kan vervolgens een cyberveiligheidsplan opgesteld worden met de strategie en de maatregelen."

2. Neem technische maatregelen

De meest evidente stap is het oplossen van hiaten in het informaticasysteem. Dat begint met zeer minimale ingrepen: tijdige updates van de software, een antivirusprogramma dat rekening houdt met de nieuwste bedreigingen, een firewall en een actief toegangs- en accountsbeheer. Zorg ook voor back-ups van de gegevens en voor een regelmatige controle van de werking van die back-ups. Weet ook dat fraudeurs houden van rustige momenten, zoals vakantieperiodes. Ook daar kunnen eenvoudige ingrepen al onheil voorkomen. Voorzie bijvoorbeeld in een systeem met dubbele handtekeningen op facturen tijdens vakantieperiodes. Let verder op de informatie in automatische afwezigheidsmails. Geef niet te veel informatie prijs, want fraudeurs kunnen zich bijvoorbeeld op namen van vervangers baseren om aan identiteitsfraude te doen.

3. Zorg voor bewustwording in het bedrijf

Naast de technische component speelt ook de menselijke factor een belangrijke rol. "Uit onderzoek blijkt dat bij de overgrote meerderheid van cyberincidenten de rol van mensen een belangrijke oorzaak vormt", weet Jef Cools. De technische maatregelen moet u dus koppelen aan informatie en opleidingen voor de werknemers. Ook daar is de instapdrempel laag: specialisten raden aan te werken aan bewustwording over CEO-fraude, het herkennen van valse mails of het belang van veilige paswoorden. "Technische maatregelen alleen hebben geen zin", benadrukt Cools. "Hoe sterk je een systeem ook beveiligt, de mens blijft vaak de zwakke schakel. Gedrag kan je moeilijk aanpassen. Toch kan je door volgehouden inspanningen zonder overdreven veel kosten goede resultaten boeken."

Werknemers meer bewust maken: het toont overduidelijk aan dat cyberveiligheid geen zaak is die zich beperkt tot de ICT-afdeling. Iedereen in de onderneming moet betrokken worden en zeker ook het management. "Het management heeft een voorbeeldfunctie", aldus Cools. "Bij het verbeteren van de cyberveiligheid vragen we van hen een actieve betrokkenheid en voldoende engagement."

4. Overweeg een verzekering

Tegen cyberfraude kan een onderneming zich ook indekken. Het nemen van een verzekering betekent natuurlijk niet dat preventieve en beschermende maatregelen overbodig zijn, maar ze kan wel eventuele schade dekken. Sommige verzekeringen voorzien ook in technische ondersteuning wanneer je het slachtoffer wordt van cyberfraude.

5. Wees klaar voor een snelle reactie

Zodra een analyse van het risico op cyberfraude beschikbaar is, kan een bedrijf een plan opmaken dat veiligheidsincidenten aanpakt. "Vertrek van de veronderstelling dat je op een bepaalde dag geconfronteerd zal worden met een cyberincident", benadrukt Jef Cools. "Zorg ervoor dat je weet wat je dan moet doen, wie je binnen en buiten de onderneming moet verwittigen, en hoe je deze personen kan bereiken." Hou er rekening mee dat het plan ook buiten de kantooruren moet werken. Cyberaanvallen gebeuren niet toevallig het vaakst op een vrijdagnamiddag. Cybercriminelen weten dat ondernemingen dan trager reageren en zij meer schade kunnen toebrengen. En ook al lijkt het evident om een plan tegen cybercriminaliteit digitaal te verspreiden, toch is het raadzaam vooral een plan op papier te hebben. De kans dat het digitale plan niet toegankelijk is, is namelijk groot.

Waarop focussen bij een cyberaanval?

Bedrijven die zich hebben voorbereid, kunnen bij een cyberaanval of bij het vaststellen van cyberfraude terugvallen op hun noodplan. Tegelijk is het belangrijk dat de activiteit van het bedrijf zo goed als mogelijk kan voortgaan. Wat is daarvoor noodzakelijk? Beperk in de eerste plaats zoveel mogelijk de schade. In het geval van malware kan zo snel mogelijk de netwerkconnectie van de pc's onderbreken al helpen.

Beschikt de onderneming intern niet over de nodige kennis en expertise? Zorg ervoor dat duidelijk is welke externe partner kan helpen en hoe je die het beste kunt contacteren, waardoor zo snel mogelijk systemen en data worden hersteld, en de onderneming opnieuw operationeel wordt. Het is ook mogelijk dat de onderneming een cyberverzekering met bijstand heeft, en dan loopt de coördinatie via die weg.

Afhankelijk van de omvang van het probleem, is het belangrijk dat ook klanten, leveranciers en alle andere betrokkenen op de hoogte worden gebracht. Het kan dat ook zij maatregelen moeten nemen. Breng voorts zeker ook de overheden op de hoogte. Dat kan via het Computer Emergency Response Team van de overheid (CERT, www.cert.be). Ook vanuit het CERT kan bijstand en advies komen, maar daar stopt het lijstje met meldingen niet. Dien ook een klacht in bij de lokale politie. Die zal de klacht doorgeven aan de Computer Crime Unit. Breng in het geval van een inbreuk op de verwerking van persoonsgegevens binnen de 72 uur de Gegevensbeschermingsautoriteit op de hoogte. Informeer in dat geval ook de egd voor de sector waarin je onderneming actief is.