Digitaal inbreken met Cresco Cybersecurity: ’65 procent van de werknemers klikte op onze phishing-simulaties’
Bijna de helft van de kleine en middelgrote ondernemingen is in 2020 getroffen door een cyberaanval. De Belgische start-up Cresco Cybersecurity zet ethische hackers in om in zulke bedrijven veiligheidslekken op te sporen en die op te lossen. “65 procent van de werknemers klikte op onze phishing-simulaties. Dat is schrikwekkend.”
Wat hebben een attractiepark, een ondergrondse parkeergarage en een farmabedrijf met elkaar gemeen? Ze kunnen alle drie de interesse van cybercriminelen wekken. De ethische hackers van Cresco Cybersecurity botsten de voorbije maanden op digitale veiligheidslekken in die bedrijven. Daardoor kon het team de controle van een achtbaan overnemen of het debiet in een waterattractie verhogen, alle sensoren van parkeerplaatsen en de boodschap op verkeersborden veranderen, en tientallen paletten pijnstillers naar China verschepen.
Het is even slikken voor managers als ze met de gaten in hun digitale omgeving geconfronteerd worden, en toch zijn zulke lekken niet uitzonderlijk. Omdat onze wereld zich tegenwoordig voornamelijk digitaal afspeelt, zijn onze data een goudmijn voor de overheid, bedrijven en financiële instellingen. Dat beseffen ook ongure figuren met slechte bedoelingen.
Cybercriminaliteit zit in de lift. Begin mei was ons land nog het slachtoffer van een van de grootste cyberaanvallen uit onze geschiedenis. En Microsoft Office verklaarde begin juni nog vier ernstige beveiligingslekken te hebben gevonden. Volgens de meest recente World Economics-rangschikking zijn cyberaanvallen de nummer één van de technologische en de nummer zes van alle soorten bedreigingen voor de wereldeconomie.
Niet alleen grote bedrijven of overheden worden met cybercriminaliteit geconfronteerd. “Steeds vaker zien we dat ook kleine bedrijven en kmo’s gehackt worden”, zegt Youssef Bey, de co-oprichter van Cresco. “Ondertussen zijn heel wat bedrijven actief in cyberbeveiliging, maar zij interesseren zich weinig in die kmo’s. Nochtans heeft het kleine familiebedrijf evenveel kans op een aanval als een multinational. Het is in de meeste gevallen zelfs gemakkelijker, omdat hun cybersecurity niet helemaal op punt staat. Wij willen iedereen helpen, om zo een impact te maken op het grotere geheel.”
Penetratietesten
In vergelijking met de rest van Europa hinkt België in cybersecurity hopeloos achterop. Dat blijkt uit de cijfers. In 2020 heeft 60 procent van alle ondernemingen een digitaal veiligheidsincident gemeld. Voor alle kmo’s gaat het om 49 procent van de bedrijven. De mediaankostprijs van zo’n aanval is 60.000 euro. Daarom moeten steeds meer kleine ondernemingen binnen de zes maanden na een cyberaanval de deuren sluiten. “Naast de economische schade zijn er ook andere kosten”, verduidelijkt Bey. “Ondernemers gaan gebukt onder de morele en psychologische last. Er is ook reputatieschade en er kunnen boetes en legale kosten opduiken, of een verlies aan productiviteit. De volledige Belgische cybersecurity moet dus dringend volwassen worden.”
Onze mensen weten hoe echte hackers denken, dus kunnen de reële bedreiging het beste nabootsen
De Brusselse start-up van Guillaume Deterville, Clement Laurens en Youssef Bey is nog maar actief sinds september. Het is de vrucht van een gemeenschappelijke passie voor cybersecurity en van complementaire profielen. Deterville heeft tien jaar ervaring als ethische hacker, Laurens werkte al vijftien jaar in IT-consulting en Bey heeft jaren ervaring in sales en marketing in verschillende sectoren. Het startkapitaal bestond volledig uit eigen middelen. Intussen heeft Cresco al veertig projecten in vijftien sectoren op zijn naam staan. Daar voerden ze al meer dan 5000 uur aan penetratietesten uit. Dat is een inbraakoefening in de computersystemen van bedrijven om veiligheidslekken en kwetsbaarheden bloot te leggen.
Dat soort testen is niet nieuw, maar Cresco voert ze altijd uit door ervaren ethische hackers. “Zij weten hoe echte hackers denken, dus kunnen ze de bedreiging het beste nabootsen”, zegt Bey. “Ze denken als malafide hackers, maar zetten die kennis in voor het goede doel. Uiteindelijk willen we computersystemen zo waterdicht mogelijk maken.”
Het verbetertraject bestaat uit vier stappen, volgens een 360 gradenaanpak. Na de ethische inbraakpogingen en een volledige veiligheidsdoorlichting van de systemen stelt Cresco een rapport op met de bevindingen en een advies. Daarna wordt in samenspraak met de klant een actieplan op poten gezet om de infrastructuur te beveiligen. Dat gaat van een wachtwoordbeleid voor werknemers, tot een firewallinstallatie en de bescherming van de persoonlijke toestellen van het personeel. Bey: “Zelfs de beste en duurste systemen kunnen met een slechte opstelling gehackt worden. Het is dus belangrijker om die fouten eruit te halen, dan meteen een nieuwe infrastructuur te willen opzetten.”
Constante monitoring
Vervolgens worden de werknemers voorgelicht over de gevaren van cybercriminaliteit. De ploeg van ethische hackers geeft die trainingen zelf met realistische scenario’s van de bedreigingen. Zulke opleidingen blijken erg nodig. Aan 80 procent van de cyberaanvallen ligt een menselijke fout aan de basis. We klikken met andere woorden op een verdachte link. “Wij sturen bijvoorbeeld preventief phishingmails uit naar de werknemers van onze klanten”, zegt Bey. “Van de ongeveer 900 personen die de mails al kregen, klikte liefst 65 procent die aan. De helft van hen gaf zelfs gevoelige informatie door. Dat is schrikwekkend en het beste bewijs dat er fors geïnvesteerd moet worden in onze algemene cyberhygiëne.”
Tot slot heeft het bedrijf ook een monitoringprogramma, omdat cybersecurity onder constante druk staat. Hackers zijn innovatief. Als ze willen inbreken, dan zullen ze in hun opzet slagen. “Wij willen op lange termijn een punt van expertise zijn voor de klant”, zegt Bey. “Het is dus belangrijk om klanten bijvoorbeeld in te lichten over nieuwe kwetsbaarheden verbonden aan hun infrastructuur. En mocht er toch iets gebeuren, dan reageren wij binnen de 24 uur op het incident en zullen we de IT-afdeling van onze klant begeleiden bij de zoektocht naar een oplossing.”
De waarden van het rugby
Integriteit, passie en diversiteit in de ploeg, dat zijn de kernwaarden van Cresco. Toeval of niet, ze zijn gelijkaardig aan die van de rugbysport. Daarom is het bedrijf sinds kort sponsor van de Belgische rugbybond. “Rugby wint aan populariteit in België”, verduidelijkt Bey. “We hebben beloftevolle ploegen en uitstekende spelers en speelsters. De coronacrisis heeft de bond gedwongen om zijn commercieel model te herbekijken en zich ook te laten omringen door jonge ondernemers en start-ups, wat op lange termijn enkel voordelen kan opleveren. Met dit partnerschap willen we de groei van de sport en van ons eigen bedrijf in de kijker zetten, en wil Rugby Belgium op termijn een businessclub starten. De universele rugbyslogen luidt A hooligan game played by gentlemen. Geef toe: het had even goed op ethische hackers kunnen slaan.”
Drie tips voor een betere cyberhygiëne
1 Onderwijs de werknemers over cybersecurity en test de huidige infrastructuur.
2 Zorg dat werknemers sterke wachtwoorden gebruiken. Installeer bijvoorbeeld een wachtwoordmanager, waardoor die willekeurig gegenereerd worden en moeilijk te voorspellen zijn.
3 Gebruik uw gezond verstand. Geef nooit persoonlijke gegevens door en klik niet op verdachte links.
49 procent van alle Belgische kmo’s heeft in 2020 een digitaal veiligheidsincident gemeld.
Fout opgemerkt of meer nieuws? Meld het hier