Zo kunnen kmo’s zich beter beschermen tegen cybercriminelen: ‘De tijd van hackers die vanop hun studentenkamers werken, is voorbij’

Wanneer cybercriminelen binnendringen bij kmo’s, kunnen ze tienduizenden euro’s ontfutselen. Pieter van der Hulst, partner bij i-Force, legt uit wat de oorzaken zijn en hoe bedrijven zich beter kunnen beschermen.

Daar waar criminelen vroeger met een geweer naar het lokale bankkantoor trokken om geld te verdienen, gaan ze nu vrijwel uitsluitend online te werk. De markt van de cybercriminaliteit zou de maatschappij tegen eind volgend jaar meer dan 10 biljoen dollar kosten, en doordat nog steeds te veel bedrijven hun beveiliging overschatten, zal dat alleen maar toenemen.

Een van de Belgische ondernemingen die daar veranderen in wil brengen, is i-Force. Twintig jaar geleden begon het met privéonderzoek naar bedrijfsfraude, maar sinds lange tijd helpt het bedrijven ook met hun cybersecurity. “Iedereen denkt bij cyberaanvallen meteen aan phishing of social engineering, waarbij men op sluwe wijze medewerkers in de val lokt om gegevens te ontfutselen, maar dat is zelden de eerste stap”, zegt Pieter van der Hulst, partner bij i-Force.

“Eigenlijk start alles bij slechte paswoorden, waardoor men de medewerker niet eens nodig heeft om binnen te breken in een systeem’, zegt van der Hulst. En als men tegenwoordig nog phishingmails gebruikt, zijn die een pak gesofisticeerder dan vroeger. “Een paar jaar geleden herkende je ze van ver aan hun spelfouten en onscherpe afbeeldingen. Met AI kunnen criminelen er nu maken die niet meer van gewone mails te onderscheiden zijn.”

Beluister de podcast of lees hieronder verder

Onverwachte risico’s

Wanneer criminelen eenmaal binnen zijn in een systeem, is de opstap naar ransomware en malware klein. “In zo’n scenario gaat men alle data in bijvoorbeeld ERP-systemen versleutelen en onleesbaar maken. Wanneer bedrijven die terug willen, moeten ze geld betalen. Naast slechte paswoorden of social engineering komt dat ook vaak doordat men systemen niet goed up-to-date houdt, waardoor kwetsbaarheden ontstaan.”

Dat hoeven geen complexe zaken te zijn, zegt van der Hulst, maar het kan ook aan zeer eenvoudige programma’s liggen. “Adobe Reader is een mooi voorbeeld. Iedereen denkt dat dat maar een eenvoudige PDF-lezer is, maar als jij een verouderde versie gebruikt, kan dat een ingang worden om andere systemen over te nemen.”

Ook risico’s van binnenin kunnen een gevaar vormen, klinkt het. Vaak gaat het om werknemers of onderaannemers die systemen moeten onderhouden, die al dan niet bewust systemen misbruiken.

Gemiddeld 100.000 euro buit

Tussen de daders onderscheidt van der Hulst verschillende categorieën, maar de cybercriminelen zijn alleszins lang niet meer zo amateuristisch als vroeger. “Daar hebben we het echt over georganiseerde misdaad. Als onderneming zijn we vaak niet zo goed georganiseerd als hen. Zeker tussen bedrijven onderling is er geen coördinatie om ons te beveiligen, terwijl we meer als één front weerwerk zouden moeten bieden. Het doel van die criminelen is financieel gewin, en mensen onderschatten dat. Klanten zeggen ons soms dat de daders ‘maar in hun inbox hebben gezeten’, maar dat is nog maar de eerste stap. De tijd van hackers die vanop hun studentenkamers werken, is voorbij.”

“Minstens de helft van de doelwitten van cybercriminelen zijn kmo’s. Net zoals bij het plukken van kersen begint men onderaan. Andere studies zeggen dan weer dat minstens 40 procent van onze kmo’s slachtoffers is geweest het voorbije jaar. Dat had niet altijd een financiële impact, maar er waren misschien andere neveneffecten. Wat ransomware betreft, gaat het over een vraagprijs van gemiddeld 100.000 euro. Onlangs hadden we een kmo waar het om 1 miljoen ging. Voor zo’n bedrijf is dat het verschil tussen leven en dood”, zegt van der Hulst.

Onvoldoende kennis, onvoldoende tijd

Volgens Van der Hulst zijn er twee types ondernemingen: zij die hun IT uitbesteden en zij die alles intern opvolgen. “Die eerste heeft vaak een blind vertrouwen in een partner, die vooral focust op het operationele luik, zodat alles de klok rond kan blijven draaien. Daarbij vergeet men de security soms, omdat men er bijvoorbeeld onvoldoende kaas van heeft gegeten. Onze zaakvoerders in kmo’s zijn geen IT’ers en hebben de kennis niet om in te kunnen schatten hoe veilig alles is. Ook wie alles intern opvolgt, loopt vaak een risico. Men is vooral bezig met het blussen van brandjes en heeft onvoldoende tijd of kennis om dat degelijk op te volgen.”

Een belangrijke eerste stap is het in kaart brengen van alle toestellen binnen een onderneming. “Als je niet weet wat je hebt, kun je het ook niet beschermen. Je zal dingen vergeten, en net dat stuk zal aangevallen worden. Vroeger was het heel eenvoudig: iedereen kwam binnen op kantoor en daar stonden alle werkposten en servers. Nu is het veel ingewikkelder, want we werken in de cloud en mensen mogen toestellen van thuis meebrengen. Het volume en de complexiteit van onze bedreigingen neemt toe.”

Ook de manier waarop we naar software kijken, is veranderd, vertelt van der Hulst. “Wat we vroeger als een schoonheidsfoutje in software zagen, is nu een groot risico. We zitten met een kloof in vaardigheden wat cybersecurity betreft. In kmo’s leeft soms het gevoel dat men alles moet patchen, omdat ze niet kunnen inschatten wat wel of niet kritisch is.”

Kijk van binnenuit

Wie wil weten welke schade cybercriminelen kunnen aanrichten, moet af en toe doen alsof hij zo’n dader is. Dat kan bijvoorbeeld via een pentest, waarbij je probeert binnen te dringen in je eigen bedrijf om zwakke plekken te ontdekken. “Dat kan een hulpmiddel zijn, maar je moet er het juiste budget voor vrijmaken. Vaak zien we te kleine budgetten. Het is zoals het schietkraam op de kermis: als je 5 euro hebt, zal je met een luchtkarabijn mogen schieten en veel missen. Je denkt dat het er oké uitziet, terwijl je een foutief beeld hebt omdat je misschien niet de juiste focus hebt gelegd. De criminelen komen niet met een luchtkarabijn, maar met een bazooka die los door je beveiliging schiet.”

Beter is het om van binnenuit te kijken, zegt van der Hulst. “Stel dat je eenmaal binnen zou zijn: waar kan je allemaal aan? Kijk naar processen en procedures, en niet alleen naar producten. Het Center for Internet Security heeft een interessant framework dat kmo’s toont wat praktisch haalbaar is om zich te beveiligen. Door de eerste stappen van dat framework te implementeren, kun je al het merendeel van de aanvallen afslaan. Hun framework focust enerzijds op de procedures die je nodig hebt, en anderzijds op de geautomatiseerde manieren om ze te controleren en erover te rapporteren.”

Beluister de podcastreeks Business Intelligence op Trends.be, Spotify of uw favoriete podcastapp.