Pieter Van der Hulst (i-Force): ‘De frontale aanval op bedrijven werd ingeruild voor de guerrilla van binnenuit’

Het aantal cyberaanvallen nam toe door het succes van thuiswerk, maar ondertussen hebben de meeste ondernemingen hun digitale veiligheid op punt gesteld. Cyberaanvallen gebeuren vandaag minder frontaal, maar wel via de gehackte systemen van leveranciers of klanten, stelt cybermisdaadbestrijder Pieter Van der Hulst van het gespecialiseerde bedrijf i-Force.

De technologiefederatie Agoria wijst er vandaag op dat er vorig jaar bijna 40 procent meer cyberaanvallen waren dan in 2019. Pieter Van der Hulst (i-Force) komt via de verzekeringsmaatschappijen of als onafhankelijke consultant in actie als een onderneming wordt aangevallen door cybercriminelen, die bijvoorbeeld het bedrijfsnetwerk lamleggen en losgeld eisen om hun greep te lossen. “Bedrijven waren niet voorbereid op de sterke stijging van het thuiswerken”, bevestigt hij. “Met alle veiligheidsrisico’s van dien tot gevolg.”

Lees verder onder de video (reportage Kanaal Z)

Namen bedrijven tijdens de pandemie wetens en willens het risico door hun werknemers zonder een strikte IT-beveiliging toch thuis te laten werken?

PIETER VAN DER HULST. “Bedrijven stonden voor een pest-of-choleradilemma: risico’s nemen of de boel sluiten. Ze hadden geen keuze. De overheid verplichtte de ondernemingen hun werknemers soms voor 100 procent thuis te laten werken. De IT-afdeling wist dat ze een cyberrisico liepen, omdat ze daar niet klaar voor waren. Het management besliste toch maar de stap naar thuiswerk te zetten.”

Waarom verhoogt thuiswerk het risico op cyberaanvallen?

VAN DER HULST. “Pc’s werden tijdens de pandemie weggetrokken uit een beschermde bedrijfsomgeving en bij wijze van spreken door de kinderen van werknemers gebruikt als PlayStation. Hun malware kwam op het bedrijfsnetwerk terecht, waar de bad guys van de cybermisdaad vrij spel kregen. Gelukkig is de situatie verbeterd. Thuiswerken gebeurt vandaag meestal met een aanvaardbaar veiligheidsrisico.”

Wat verklaart dan de sterke toename van cyberaanvallen op ondernemingen?

VAN DER HULST. “Cybercriminelen hebben hun strategie aangepast. Ze weten dat ondernemingen focussen op de beveiliging via het eigen IT-netwerk om hen buiten te houden. Een frontale cyberaanval kunnen de meeste grote ondernemingen – met dank aan in de strijd geharde interne en externe IT-professionals – ondertussen wel afslaan. Daarom concentreren de cybercriminelen zich op de zwakheden bij de klanten en de leveranciers van die bedrijven.

“Als de digitale ratten erin slagen zich te nestelen in het netwerk rond dat grote bedrijf, kunnen ze langzaam via de VPN-tunnel naar boven kruipen en in het digitale hart van het slachtoffer toeslaan. De frontale aanval op bedrijven werd ingeruild voor de guerrilla van binnenuit.”

Zijn de meeste bedrijven niet beveiligd tegen dat soort externe zwakheden?

VAN DER HULST. “De criminelen sluipen sneller in de software dan men voor mogelijk houdt. De centrale digitale netwerken zijn meestal goed beveiligd door de veiligheidssystemen van de Microsofts en Adobes van deze wereld. Andere software is een probleem. Die wordt soms ontworpen door wat luie consultants, die een beroep doen op open bronnen. Die zijn dikwijls voor hackers zo lek als een zeef, omdat ze zijn ontworpen door hobbyisten. De buitenschil van bedrijfsapplicaties is met andere woorden goed beschermd tegen een aanval, maar het systeem kan bezwijken door interne zwakheden. De onderliggende software ontploft in het gezicht van de bedrijfs-IT’ers.”

Hoe moet een bedrijf reageren als het wordt aangevallen door cybercriminelen?

VAN DER HULST. “Er zijn twee scenario’s: de bedrijfsleiding vermoedt dat een aanval op til is of het kwaad is al geschied. In het eerste geval zullen we binnen de 48 uur het bedrijfsnetwerk doorlichten en de vijand proberen terug te dringen. Als dat is gelukt, moeten we waakzaam blijven. Als de jachthonden bloed geroken hebben, zullen ze de prooi niet loslaten. De cybercriminelen blijven na een mislukte aanval toeslaan via onder meer phishingmails om toch binnen te geraken.

“Is de cybercrimineel erin geslaagd het netwerk lam te leggen, dan eist hij losgeld om het weer vrij te geven. De meeste bedrijven zijn ondertussen wel zo verstandig geweest een back-up aan te leggen van hun digitale bestanden om de betaling van digitaal losgeld te vermijden.

“De hackers weten dat ook. Meestal zullen ze in de korte tijd van de digitale invasie zo veel mogelijk informatie van het bedrijf verzamelen en opslaan op hun server. Zijn ze uit het netwerk verdreven en is het bedrijf weer operationeel, zullen ze de bedrijfsleiding chanteren met hun pas verworven kennis over de gestolen klantenbestanden, rekeningnummers, bedrijfsprocessen, gepatenteerde productietechnieken, leveringsgegevens, personeelsgegevens enzovoort.

“Als die data op het net worden gegooid, bij een concurrent of crimineel terechtkomen, loopt het bedrijf een risico. De financiële of bedrijfsreputatieschade kan enorm zijn. Beursgenoteerde bedrijven kunnen zulke miserie nog sterker missen. Soms is het na de afgeslagen cyberaanval nog steeds aangewezen te betalen om te vermijden dat de data misbruikt worden.”

Hoezo? Is de stelregel niet dat men nooit betaalt aan cybercriminelen?

VAN DER HULST. “In principe klopt dat. Wie bezwijkt voor cyberchantage en betaalt, spijst daarmee de georganiseerde misdaad. Maar soms staat de bedrijfsleiding met de rug tegen de muur. Enkele weken geleden nog werden we opgeroepen door een bouwbedrijf met tientallen werven in Oost- en West-Vlaanderen. De cybercriminelen hadden alle informatie buitgemaakt en de processen lamgelegd: de facturatie, de klantenlijsten, de leveranciersnota’s, de boekhouding en de personeelsdata. Zonder die informatie zou het maanden duren om het bedrijf min of meer weer op de sporen te krijgen. De schade zou tot een faillissement kunnen leiden. Wat kan je dan nog doen als baas? Betalen, het bedrijf heropstarten, IT-specialisten de boel laten opkuisen en de deur dichttimmeren.”

Wat moet een bedrijf doen om dat soort aanvallen te vermijden?

VAN DER HULST. “Tot voor enkele jaren was preventie het antwoord. Uiteraard is dat belangrijk. Maar ondertussen weten we dat geen enkele beveiliging volstaat om een digitale roofoverval af te weren. Daarom is een Managed Detection and Response-systeem even belangrijk als de beveiliging. Door de snelle detectie van een probleem met de veiligheid moet een bedrijf zo vroeg mogelijk kunnen vaststellen dat er een digitale overval bezig is. In dat geval kan snel ingrijpen de schade beperken. Die boodschap is nog niet helemaal doorgedrongen in het bedrijfsleven. Om problemen te vermijden moet dus niet alleen de preventie, maar ook de detectie op orde zijn. Laat me duidelijk zijn: elk antivirussysteem zal ooit falen.”