Hoe bedrijven cyberfraude kunnen voorkomen
De productie bij de weefmachineproducent Picanol ligt stil, nadat het bedrijf werd getroffen door een cyberaanval. Het aandeel op Euronext Brussel is voorlopig opgeschort. Hoe kan een bedrijf zich wapenen tegen zo’n aanval en hoe moet het reageren als het toch gebeurt?
Maandag werd Picanol het slachtoffer van een aanval met ransomware, een gijzelsoftware. De hackers zijn vermoedelijk uit op losgeld in ruil voor het vrijgeven van de systemen. De productie bij de weefmachineproducten ligt stil en ook het aandeel is voorlopig geschorst.
Picanol is niet het eerste Belgische bedrijf dat te maken krijgt met hackers. Het bekendste voorbeeld van cybercriminaliteit in België dateert van 2013. Belgacom (nu Proximus) werd het slachtoffer van een sterke software die computersystemen verstoort, een zogenaamde malware. De Britse geheime dienst GCHQ had die geïnstalleerd en viseerde daarmee vooral de Belgacom-dochter BICS.
Cyberfraude is in alle sectoren en voor alle soorten ondernemingen een reëel risico. Vooral wie slecht beschermd is, vormt een geliefkoosd doelwit.
Cyberfraude zit in de lift
“Er is geen reden tot paniek”, zegt Jef Cools, adviseur bij de Raad voor de Zelfstandigen en de KMO. Wel vindt hij dat de ondernemingen het probleem vaak onderschatten. “Cybercriminaliteit is de voorbije jaren sterk toegenomen. De financiële sector liet weten dat er in België in 2018 drie keer zoveel gevallen van phishing waren als in 2017. In de verzekeringssector is het aantal schadegevallen in drie jaar tijd verdrievoudigd.”
Phishing is een techniek waarmee cyberfraudeurs via mail, telefoon, websites of pop-upschermen gevoelige informatie ontfutselen. Maar cyberfraudeurs hanteren een ruim pallet aan technieken. De bank-verzekeraar Crelan verloor in 2016 een slordige 70miljoen euro via CEO-fraude, waarbij fraudeurs zich via een mail uitgeven voor de CEO. Medewerkers worden vervolgens vriendelijk verzocht geld over te schrijven.
Jef Cools: “Ik vraag weleens aan een ondernemer: beeld je even in dat je één dag geen toegang hebt tot e-mail, digitale bestanden zoals klantgegevens en boekhouding, kassa- of facturatiesysteem. Wat zou dat voor je activiteiten betekenen? Beeld je dan vervolgens in dat je die gegevens voor altijd kwijt bent. Dat kan bijvoorbeeld gebeuren met ransomware. Daarbij eisen cyberfraudeurs geldsommen nadat ze de systemen van bedrijven hebben platgelegd. Vaak krijg ik het antwoord: dat zal mij nooit overkomen. En toch lopen jaarlijks heel wat mensen in die val. Cybercriminelen gaan bovendien steeds geraffineerder te werk.”
Reputatie- en andere schade
Volgens het jaarlijkse fraudeonderzoek van BDO Audit & Assurance waren in 2018 in ons land een op de tien bedrijven het slachtoffer van cybercriminaliteit. Het onderzoek ondervroeg 245 bedrijven in 33 sectoren. Er zijn ook andere fraudevormen die ook digitaal verlopen, zoals CEO-fraude (5%) of factuurfraude (15%). “De kosten-batenverhouding maakt cybercriminaliteit vrij aantrekkelijk voor fraudeurs”, schrijft het rapport. “Bovendien zullen gedupeerde bedrijven weinig geneigd zijn dat soort fraude bekend te maken, aangezien de reputatieschade groter kan zijn dan de oplossing van het probleem.”
De respondenten gaven aan dat de gevallen van cyberfraude hen gemiddeld 94.000 euro hebben gekost. Dat is minder dan het verlies bij verduistering en vervalsing. Identiteitsdiefstal, zoals CEO-fraude, levert fraudeurs het meest op (gemiddeld 350.000 euro).
De identiteitsfraude kan zich bovendien extern richten. In 2018 werd Katoen Natie het slachtoffer van spoofing. Fraudeurs gebruikten een vals e-mailadres op naam van een medewerkster van het bedrijf van Fernand Huts. Vanaf dat adres verzonden ze zogezegd achterstallige facturen, voor bedragen tot 4000 euro. Een andere bekende zaak is die van het incassobureau Trivion. Duizenden Vlamingen kregen een e-mail waarmee de oplichters zich voorstelden als de zaakvoerder. De geadresseerden moesten rekeningen betalen, op risico van dagvaarding of inbeslagname van goederen. Het bureau leed geen financiële schade, maar de imagoschade was groot.
BDO nuanceert dat de verliezen door cyberfraude in de studie enkel de rechtstreekse gevolgen weergeven. “Die bedragen tonen enkel het directe financiële verlies. De indirecte kosten om problemen op te lossen die het gevolg zijn van fraude kunnen de impact substantieel verhogen. Dat geldt voor cybercriminaliteit, waarvan de directe gevolgen beperkt zijn, maar de indirecte kosten, zoals bedrijfsonderbrekingen of imagoschade, kunnen veel hoger oplopen.”
Een recent voorbeeld is dat van Asco, een producent van luchtvaartonderdelen. Asco werd in juni het slachtoffer van een ransomware-aanval op zijn servers. De gijzelsoftware legde eerst de servers en bij uitbreiding het hele bedrijf voor weken stil. Naast CEO-fraude en ransomware volgt nog een lange lijst van mogelijke digitale oplichtingstechnieken. Denk aan valse bankwebsites, of technieken die voorheen vooral op papier bestonden en intussen ook een digitale variant hebben, zoals factuurfraude of beleggingsfraude.
Hoe kunnen bedrijven zich weren?
Met welke acties en investeringen kan een bedrijf zich wapenen tegen cyberfraude? Dat hangt af van verschillende factoren: de bedrijfsgrootte, de interne organisatie, de kenmerken van het ICT-netwerk, de aanwezigheid van eigen ICT-specialisten en de sector waarin het bedrijf actief is. Hoe gaat u het best te werk?
1. Analyseer het risico
Weeg de kans op een bepaalde dreiging af tegen de impact die fraude kan hebben voor de onderneming. Zo’n analyse biedt inzicht in de kwetsbaarheid van het bedrijf. De dreiging van cybercriminelen kan je niet wegnemen, maar aan je zwakke punten kan je wel werken. Voor die analyse bestaan vele modellen, zowel eenvoudig als zeer uitgebreid. Dat betekent dat het ook voor kleine bedrijven een mogelijkheid is. “Voor die bedrijven is de oefening zelfs nog nuttiger”, vindt Jef Cools. “Aangezien ze op die manier hun middelen kunnen inzetten voor de meest noodzakelijke acties. Op basis van de risicoanalyse kan vervolgens een cyberveiligheidsplan worden opgesteld met de strategie en de maatregelen.”
2. Neem technische maatregelen
De meest vanzelfsprekende stap is het oplossen van hiaten in het informaticasysteem. Dat begint met zeer minimale ingrepen: tijdige updates van de software, een antivirusprogramma dat rekening houdt met de nieuwste bedreigingen, een firewall en een actief toegangs- en accountbeheer. Zorg ook voor back-ups van de gegevens en voor een regelmatige controle van de werking van die back-ups. Weet ook dat fraudeurs houden van rustige momenten, zoals vakantieperiodes. Ook daar kunnen eenvoudige ingrepen al onheil voorkomen. Voorzie bijvoorbeeld in een systeem met dubbele handtekeningen op facturen tijdens vakantieperiodes. Let verder op de informatie in de automatische afwezigheidsmails. Geef niet te veel informatie prijs, want fraudeurs kunnen zich bijvoorbeeld op namen van vervangers baseren om aan identiteitsfraude te doen.
3. Zorg voor bewustwording in het bedrijf
Naast de technische component speelt ook de menselijke factor een belangrijke rol. “Uit onderzoek blijkt dat bij de overgrote meerderheid van cyberincidenten de rol van mensen een belangrijke oorzaak vormt”, weet Jef Cools. De technische maatregelen moet u dus koppelen aan informatie en opleidingen voor de werknemers. Ook daar is de instapdrempel laag: specialisten raden aan te werken aan bewustwording over CEO-fraude, het herkennen van valse mails of het belang van veilige paswoorden. “Technische maatregelen alleen hebben geen zin”, benadrukt Cools. “Hoe sterk je een systeem ook beveiligt, de mens blijft vaak de zwakke schakel. Gedrag kan je moeilijk aanpassen. Toch kan je door volgehouden inspanningen zonder overdreven veel kosten goede resultaten boeken.”Iedereen in de onderneming moet betrokken worden en zeker ook het management. “Het management heeft een voorbeeldfunctie”, aldus Cools. “Bij het verbeteren van de cyberveiligheid vragen we van hen een actieve betrokkenheid en voldoende engagement.”
4. Overweeg een verzekering
Tegen cyberfraude kan een onderneming zich ook indekken. Het nemen van een verzekering betekent natuurlijk niet dat preventieve en beschermende maatregelen overbodig zijn, maar ze kan wel de schade dekken. Sommige verzekeringen voorzien ook in technische ondersteuning.
5. Wees klaar voor een snelle reactie
Zodra er een analyse van het risico is, kan een bedrijf een plan opmaken dat incidenten aanpakt. “Vertrek van de veronderstelling dat je op een bepaalde dag zal worden geconfronteerd met een cyberincident”, benadrukt Jef Cools. “Zorg ervoor dat je weet wat je dan moet doen, wie je binnen en buiten de onderneming moet verwittigen, en hoe je die personen kan bereiken.” Hou er rekening mee dat het plan ook buiten de kantooruren moet werken. Cyberaanvallen gebeuren niet toevallig het vaakst op een vrijdagnamiddag. Cybercriminelen weten dat ondernemingen dan trager reageren en zij meer schade kunnen toebrengen. En ook al lijkt het vanzelfsprekend om een plan tegen cybercriminaliteit digitaal te verspreiden, toch is het raadzaam een plan op papier te hebben. De kans dat het digitale plan niet toegankelijk is, is groot.
Waarop focussen bij een cyberaanval?
Bedrijven die zich hebben voorbereid, kunnen bij een cyberaanval of bij het vaststellen van cyberfraude terugvallen op hun noodplan. Tegelijk is het belangrijk dat de activiteit van het bedrijf zo goed mogelijk kan voortgaan. Wat is daarvoor noodzakelijk? Beperk in de eerste plaats zoveel mogelijk de schade. In het geval van malware kan zo snel mogelijk de netwerkconnectie van de pc’s onderbreken al helpen.
Beschikt de onderneming intern niet over de nodige kennis en expertise? Zorg ervoor dat duidelijk is welke externe partner kan helpen en hoe je die het beste kunt contacteren, waardoor zo snel mogelijk systemen en data worden hersteld, en de onderneming opnieuw operationeel wordt. Het is ook mogelijk dat de onderneming een cyberverzekering met bijstand heeft. Dan loopt de coördinatie via die weg.
Afhankelijk van de omvang van het probleem, is het belangrijk dat ook klanten, leveranciers en alle andere betrokkenen op de hoogte worden gebracht. Het kan dat ook zij maatregelen moeten nemen. Breng voorts zeker ook de overheden op de hoogte. Dat kan via het Computer Emergency Response Team van de overheid (CERT, www.cert.be). Dien ook een klacht in bij de lokale politie. Die zal de klacht doorgeven aan de Computer Crime Unit. Breng in het geval van een inbreuk op de verwerking van persoonsgegevens binnen de 72 uur de Gegevensbeschermingsautoriteit op de hoogte. Informeer in dat geval ook de nationale autoriteit bevoegd voor de sector waarin je onderneming actief is.
Fout opgemerkt of meer nieuws? Meld het hier