‘De mens is vaak de zwakste schakel’

CYBERFRAUDE Naast financiële schade kan ook de imagoschade groot zijn voor het getroffen bedrijf. © Getty Images/iStockphoto

Een geblokkeerd klantenbestand, gestolen bankcodes of uw website die plots verdwijnt? Ook familiebedrijven kunnen het slachtoffer worden van cyberfraude. Hoe kunnen zij zich wapenen en hoe moeten ze reageren als het toch gebeurt? “Vertrek van de veronderstelling dat je op een bepaalde dag zal worden geconfronteerd met een cyberincident.”

Het bekendste voorbeeld van cybercriminaliteit in België dateert van 2013. Belgacom (nu Proximus) werd het slachtoffer van een sterke software die computersystemen verstoort, een zogenaamde malware. De Britse geheime dienst GCHQ had die geïnstalleerd en viseerde daarmee vooral de Belgacom-dochter BICS.

Het voorval deed het beeld ontstaan dat cyberfraude enkel een zaak is van grote bedrijven en spionerende overheden, en dat is niet correct. Denken dat een familiebedrijf geen risico loopt op cyberfraude is volgens alle specialisten een grote fout. Dit soort criminaliteit is in alle sectoren en voor alle soorten ondernemingen een reëel risico. Vooral wie slecht beschermd is, vormt een geliefkoosd doelwit.

Cyberfraude zit in de lift

“Er is geen reden tot paniek”, benadrukt Jef Cools, adviseur bij de Raad voor de Zelfstandigen en de KMO. Wel vindt hij dat de ondernemingen het probleem vaak onderschatten. “Cybercriminaliteit is de voorbije jaren sterk toegenomen. De financiële sector liet weten dat er in België in 2018 drie keer zoveel gevallen van phishing waren als in 2017. In de verzekeringssector is het aantal schadegevallen in drie jaar tijd verdrievoudigd.”

Phishing is een techniek waarmee cyberfraudeurs via mail, telefoon, websites of pop-upschermen gevoelige informatie ontfutselen. Maar cyberfraudeurs hanteren een ruim pallet aan technieken. De bank-verzekeraar Crelan verloor in 2016 een slordige 70 miljoen euro via CEO-fraude, waarbij fraudeurs zich via een mail uitgeven voor de CEO. Medewerkers worden vervolgens vriendelijk verzocht geld over te schrijven.

Jef Cools: “Ik vraag weleens aan een ondernemer: beeld je even in dat je één dag geen toegang hebt tot e-mail, digitale bestanden zoals klantgegevens en boekhouding, kassa- of facturatiesysteem. Wat zou dat voor je activiteiten betekenen? Beeld je dan vervolgens in dat je die gegevens voor altijd kwijt bent. Dat is bijvoorbeeld wat kan gebeuren met ransomware. Daarbij eisen cyberfraudeurs geldsommen nadat ze de systemen van bedrijven hebben platgelegd. Vaak krijg ik het antwoord: dat zal mij nooit overkomen. En toch lopen jaarlijks heel wat mensen in die val. Cybercriminelen gaan bovendien steeds geraffineerder te werk.”

Cyberaanvallen gebeuren niet toevallig het vaakst op een vrijdagnamiddag.

Reputatie- en andere schade

Volgens het jaarlijkse fraudeonderzoek van BDO Audit & Assurance waren vorig jaar in ons land een op de tien bedrijven het slachtoffer van cybercriminaliteit. Het onderzoek ondervroeg 245 bedrijven in 33 sectoren. Er zijn ook andere fraudevormen die ook digitaal verlopen, zoals CEO-fraude (5%) of factuurfraude (15%). “De kosten-batenverhouding maakt cybercriminaliteit vrij aantrekkelijk voor fraudeurs”, schrijft het rapport. “Bovendien zullen gedupeerde bedrijven weinig geneigd zijn dat soort fraude bekend te maken, aangezien de reputatieschade groter kan zijn dan de oplossing van het probleem.”

De respondenten gaven aan dat de gevallen van cyberfraude hen gemiddeld 94.000 euro hebben gekost. Dat is minder dan het verlies bij verduistering en vervalsing. Identiteitsdiefstal, zoals CEO-fraude, levert fraudeurs het meest op (gemiddeld 350.000 euro) en ook die kan digitaal.

De identiteitsfraude kan zich bovendien extern richten. In 2018 werd KatoenNatie het slachtoffer van spoofing. Fraudeurs gebruikten een vals e-mailadres op naam van een medewerkster van het bedrijf van Fernand Huts. Vanaf dat adres verzonden ze zogezegd achterstallige facturen, voor bedragen tot 4000 euro. Een andere bekende zaak is die van het incassobureau Trivion. Duizenden Vlamingen kregen een e-mail waarmee de oplichters zich voorstelden als de zaakvoerder. De geadresseerden moesten rekeningen betalen, op risico van dagvaarding of inbeslagname van goederen. Het bureau leed geen financiële schade, maar de imagoschade was groot.

BDO nuanceert dat de verliezen door cyberfraude in de studie enkel de rechtstreekse gevolgen weergeven. “Die bedragen tonen enkel het directe financiële verlies. De indirecte kosten om problemen op te lossen die het gevolg zijn van fraude kunnen de impact substantieel verhogen. Dat geldt voor cybercriminaliteit, waarvan de directe gevolgen beperkt zijn, maar de indirecte kosten, zoals bedrijfsonderbrekingen of imagoschade, veel hoger kunnen oplopen.”

Een recent voorbeeld is dat van Asco, een producent van luchtvaartonderdelen. Asco werd in juni het slachtoffer van een ransomware-aanval op zijn servers. Die zogenaamde gijzelsoftware legde eerst de servers en bij uitbreiding het hele bedrijf voor weken stil. Naast CEO-fraude en ransomware volgt nog een lange lijst van mogelijke digitale oplichtingstechnieken. Denk aan valse bankwebsites, of technieken die voorheen vooral op papier bestonden en intussen ook een digitale variant hebben, zoals factuurfraude of beleggingsfraude.

Hoe kunnen familiebedrijven zich weren?

Met welke acties en investeringen kan een familiebedrijf zich wapenen tegen cyberfraude? Dat hangt af van verschillende factoren: de bedrijfsgrootte, de interne organisatie, de kenmerken van het ICT-netwerk, de aanwezigheid van eigen ICT-specialisten en de sector waarin het bedrijf actief is. Hoe ga je het best te werk?

1. Analyseer het risico

Weeg de kans op een bepaalde dreiging af tegen de impact die fraude kan hebben voor de onderneming. Zo’n analyse biedt inzicht in de kwetsbaarheid van het bedrijf. De dreiging van cybercriminelen kan je niet wegnemen, maar aan je zwakke punten kan je wel werken. Voor die analyse bestaan vele modellen, zowel eenvoudig als zeer uitgebreid. Dat betekent dat het ook voor kleine familiebedrijven een mogelijkheid is. “Voor die bedrijven is de oefening zelfs nog nuttiger”, vindt Jef Cools. “Aangezien ze op die manier hun middelen kunnen inzetten voor de meest noodzakelijke acties. Op basis van de risicoanalyse kan vervolgens een cyberveiligheidsplan opgesteld worden met de strategie en de maatregelen.”

JEF COOLS
JEF COOLS “Bij de overgrote meerderheid van de cyberincidenten vormt de rol van de medewerkers een belangrijke oorzaak.”© E. ELLEBOOG

2. Neem technische maatregelen

De meest vanzelfsprekende stap is het oplossen van hiaten in het informaticasysteem. Dat begint met zeer minimale ingrepen: tijdige updates van de software, een antivirusprogramma dat rekening houdt met de nieuwste bedreigingen, een firewall en een actief toegangs- en accountbeheer. Zorg ook voor back-ups van de gegevens en voor een regelmatige controle van de werking van die back-ups. Weet ook dat fraudeurs houden van rustige momenten, zoals vakantieperiodes. Ook daar kunnen eenvoudige ingrepen al onheil voorkomen. Voorzie bijvoorbeeld in een systeem met dubbele handtekeningen op facturen tijdens vakantieperiodes. Let verder op de informatie in de automatische afwezigheidsmails. Geef niet te veel informatie prijs, want fraudeurs kunnen zich bijvoorbeeld op namen van vervangers baseren om aan identiteitsfraude te doen.

Door volgehouden inspanningen zonder overdreven veel kosten kun je al goede resultaten boeken

3. Zorg voor bewustwording in het bedrijf

Naast de technische component speelt ook de menselijke factor een belangrijke rol. “Uit onderzoek blijkt dat bij de overgrote meerderheid van cyberincidenten de rol van mensen een belangrijke oorzaak vormt”, weet Jef Cools. De technische maatregelen moet u dus koppelen aan informatie en opleidingen voor de werknemers. Ook daar is de instapdrempel laag: specialisten raden aan te werken aan bewustwording over CEO-fraude, het herkennen van valse mails of het belang van veilige paswoorden. “Technische maatregelen alleen hebben geen zin”, benadrukt Cools. “Hoe sterk je een systeem ook beveiligt, de mens blijft vaak de zwakke schakel. Gedrag kan je moeilijk aanpassen. Toch kan je door volgehouden inspanningen zonder overdreven veel kosten goede resultaten boeken.”

Iedereen in de onderneming moet betrokken worden en zeker ook het management. “Het management heeft een voorbeeldfunctie”, aldus Cools. “Bij het verbeteren van de cyberveiligheid vragen we van hen een actieve betrokkenheid en voldoende engagement.”

4. Overweeg een verzekering

Tegen cyberfraude kan een onderneming zich ook indekken. Het nemen van een verzekering betekent natuurlijk niet dat preventieve en beschermende maatregelen overbodig zijn, maar ze kan wel eventuele schade dekken. Sommige verzekeringen voorzien ook in technische ondersteuning.

5. Wees klaar voor een snelle reactie

Zodra er een analyse van het risico is, kan een bedrijf een plan opmaken dat incidenten aanpakt. “Vertrek van de veronderstelling dat je op een bepaalde dag zal worden geconfronteerd met een cyberincident”, benadrukt Jef Cools. “Zorg ervoor dat je weet wat je dan moet doen, wie je binnen en buiten de onderneming moet verwittigen, en hoe je deze personen kan bereiken.” Hou er rekening mee dat het plan ook buiten de kantooruren moet werken. Cyberaanvallen gebeuren niet toevallig het vaakst op een vrijdagnamiddag. Cybercriminelen weten dat ondernemingen dan trager reageren en zij meer schade kunnen toebrengen. En ook al lijkt het vanzelfsprekend om een plan tegen cybercriminaliteit digitaal te verspreiden, toch is het raadzaam een plan op papier te hebben. De kans dat het digitale plan niet toegankelijk is, is groot.

'De mens is vaak de zwakste schakel'

Familiebedrijven

De levensader van onze economie

Drie kwart van de Belgische ondernemingen zijn familiebedrijven. Ze zijn goed voor een derde van ons bruto binnenlands product en 45 procent van de werkgelegenheid. Familiebedrijven zijn de levensader van onze economie. Meer dan ooit wil Trends die levensader aandacht geven. En dat doen we via alle kanalen die we ter beschikking hebben. Maandelijks publiceren we in dit magazine een uitgebreid artikel over een thema dat de familiale bedrijven bezighoudt. Daarnaast is er een aparte website: www.trends.be/familybusiness. Op Kanaal Z ziet u boeiende en praktische getuigenissen over de familiale problematiek. En er is de maandelijkse nieuwsbrief Trends Family Business, die een brede waaier familiale onderwerpen behandelt.

Met de steun van BDO

'De mens is vaak de zwakste schakel'

Waarop focussen bij een cyberaanval?

Bedrijven die zich hebben voorbereid, kunnen bij een cyberaanval of bij het vaststellen van cyberfraude terugvallen op hun noodplan. Tegelijk is het belangrijk dat de activiteit van het bedrijf zo goed mogelijk kan voortgaan. Wat is daarvoor noodzakelijk? Beperk in de eerste plaats zoveel mogelijk de schade. In het geval van malware kan zo snel mogelijk de netwerkconnectie van de pc’s onderbreken al helpen.

Beschikt de onderneming intern niet over de nodige kennis en expertise? Zorg ervoor dat duidelijk is welke externe partner kan helpen en hoe je die het beste kunt contacteren, waardoor zo snel mogelijk systemen en data worden hersteld, en de onderneming opnieuw operationeel wordt. Het is ook mogelijk dat de onderneming een cyberverzekering met bijstand heeft. Dan loopt de coördinatie via die weg.

Afhankelijk van de omvang van het probleem, is het belangrijk dat ook klanten, leveranciers en alle andere betrokkenen op de hoogte worden gebracht. Het kan dat ook zij maatregelen moeten nemen. Breng voorts zeker ook de overheden op de hoogte. Dat kan via het Computer Emergency Response Team van de overheid (CERT, www.cert.be). Dien ook een klacht in bij de lokale politie. Die zal de klacht doorgeven aan de Computer Crime Unit. Breng in het geval van een inbreuk op de verwerking van persoonsgegevens binnen de 72 uur de Gegevensbeschermingsautoriteit op de hoogte. Informeer in dat geval ook de nationale autoriteit bevoegd voor de sector waarin je onderneming actief is.

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content