Vorige vrijdag gingen de check-in- en de boardingsystemen van Brussels Airport plat, na een cyberaanval op de leverancier van de software. Die zal 5 à 10 miljoen dollar moeten betalen aan de hackers, schat Geert Baudewijns, de CEO van het cyberbeveiligingsbedrijf Secutec. Maar de echte vetpot voor cybercriminelen zijn de kleine bedrijven.
Het was even wennen voor Brussels Airport vorige week vrijdag. Het inchecken en boarden van passagiers moest opnieuw met pen en papier gebeuren. De digitale passagiersafhandeling ging plat na een aanval met zogenoemde ransomware op de leverancier van de software, het Amerikaanse Collins Aerospace. Ook in Berlijn, Dublin en London Heathrow waren er problemen. “Mijn inschatting is dat Collins Aerospace tussen 5 en 10 miljoen dollar zal moeten betalen aan de hackers voor het ontgrendelen van zijn systemen”, zegt Geert Baudewijns, de CEO van de cyberbeveiliger Secutec. Hij voert bijna dagelijks onderhandelingen met cybercriminelen, in opdracht van bedrijven die aangevallen zijn met ransomware of gijzelingssoftware.
5 tot 10 miljoen dollar: is dat bedrag aan de kleine of de grote kant in het hackerswereldje?
GEERT BAUDEWIJNS. “Dat is een groot bedrag. Bij de klassieke hackings van Belgische bedrijven die ik dagelijks afhandel, gaat het over bedragen tussen 50.000 en 500.000 dollar. De mediaan zit ergens tussen 150.000 en 250.000 dollar. Het hangt af van de grootte van het bedrijf.”
Dus hackers bestuderen eerst de jaarrekening van hun doelwit?
BAUDEWIJNS. “Inderdaad. Maar daar rijst een probleem. Vaak moet ik aan hackers uitleggen hoe de jaarrekening van een Belgische vennootschap in elkaar zit. Een Belgisch bedrijf dat al jaren goed boert, heeft meestal een riant eigen vermogen opgebouwd. Hackers zien dat getal, en denken dat het gaat om het bedrag op de bankrekening van het bedrijf. Elke week moet ik aan hackers uitleggen dat ze zich vergissen.”
Een goede cyberbeveiliging, hoeveel kost dat tegenwoordig?
BAUDWIJNS. “Geloof het of niet, maar ik heb daar geen pasklaar antwoord op. Een netwerk moet je beveiligen op meerdere niveaus. Er zijn de servers en de firewall, met meerdere tussenliggende lagen. De beveiliging van dat alles levert een bedrag per netwerkgebruiker op waarvan veel ondernemers zouden achterovervallen.”
Is een goede cyberbeveiliging dan wel haalbaar voor kleine bedrijven?
BAUDEWIJNS. “Er is een reden waarom steeds almaar grote bedrijven gehackt worden. Door de schadelijke impact van hacks in het verleden is de deskundigheid van hun IT-departementen er met rasse schreden op vooruitgegaan, en daarmee ook de kwaliteit van de cyberbeveiliging. De visvijver voor hackers zijn vandaag de kleine bedrijven. Je moet rekenen op maandelijks zowat 500 gerapporteerde hacks door gerenommeerde ransomware-organisaties. Vroeger behoorden vaak grote firma’s tot de slachtoffers. Nu bestaat het gros van de slachtoffers uit bedrijven met 50 à 500 werkstations.”
De IT’ers van kleine bedrijven zijn niet meer mee met de huidige veiligheidsstandaarden?
BAUDEWIJNS. “Kleine bedrijven hebben vaak een IT-manager die al tien of twintig jaar de dienst uitmaakt. Als zo’n bedrijf gehackt wordt, krijg ik vaak te horen: ‘Wij hebben een goede IT-manager.’ Met alle respect, maar zo iemand is gestart met een netwerk van 15 à 20 pc’s. Daarna is het bedrijf fors gegroeid, samen met het aantal pc’s. Maar de kennis van de IT-managers is niet meegegroeid, want ze volgden geen bijscholing. Daardoor gebeuren er fouten.”
‘Het gros van de slachtoffers van cybercriminaliteit zijn bedrijven met 50 à 500 werkstations’
Waarom zou ik als kleine ondernemer investeren in dure cyberveiligheid als mij dat geen extra klanten oplevert?
BAUDEWIJNS. “Ik begrijp dat bezwaar. Maar als zo’n firma gehackt wordt, gaat de portefeuille ineens wel open. Dan is alles mogelijk, ongeacht het bedrag. Na drie, vier weken zijn de problemen opgelost, is de productie opnieuw op dreef. En na een halfjaar is het op de IT-afdeling weer business as usual, en is de portefeuille opnieuw gesloten.”
En dat is gevaarlijk.
BAUDEWIJNS. “Heel vaak denken mensen dat cyberbeveiliging een fantastische business is. Laat mij duidelijk zijn: wij mogen niet klagen. Maar het is echt niet gemakkelijk om kleine bedrijven te overtuigen van een degelijke cyberbeveiliging, ook al omdat het technologisch almaar complexer wordt. Je merkt dat de IT’er liever bij het oude blijft, want dat is wat hij of zij kent. Bij vernieuwing vrezen ze voor controleverlies.”
Hoe garanderen cybercriminelen dat ze na betaling van het losgeld geen nieuwe aanval doen op het bedrijf?
BAUWEWIJNS. “Die garantie kan het getroffen bedrijf niet krijgen. De praktijk bewijst echter dat hackers een bepaalde ethische code hanteren. Als het bedrijf betaalt, komen de hackers niet terug. De jongste negen jaar heb ik voor meer dan 550 bedrijven onderhandeld met cybercriminelen. Nadien volgden we de getroffen bedrijven op. Er is nooit een geval geweest waar een bedrijf een tweede keer werd gehackt.”
Collins Aerospace is nochtans al gehackt geweest.
BAUDEWIJNS. “Tot op vandaag weten we niet door welke groep Collins Aerospace gehackt is geweest. Maar het zou me sterk verwonderen als het om dezelfde groep hackers zou gaan als bij de cyberaanval van twee jaar geleden. De groep die toen de aanval pleegde, bestaat vandaag al niet meer.”
Zal het geen ongelijke strijd blijven? De hacker moet slechts één gaatje in het systeem vinden, terwijl het bedrijf zich op een veelvoud van risico’s moet voorbereiden.
BAUDEWIJNS. “Dat klopt. Een hacker kan zich specialiseren, terwijl een bedrijf soms tot 500 toepassingen op zijn netwerk moet beveiligen en regelmatig updaten. Het is een moeilijke strijd, en dat zal altijd zo blijven.”
