Cybercriminaliteit groeiend gevaar voor kmo’s

Stel u even voor, u bent eigenaar van een goed draaiende onderneming. U heeft trouwe medewerkers, tevreden klanten en een goede balans. Maar op een ochtend komt u op kantoor en niets lijkt nog te werken. U heeft geen toegang meer tot uw mails en uw klantendatabase is verdwenen. Wat klinkt als een nachtmerrie, is voor steeds meer kmo's de harde realiteit.

Meer dan 40 procent van de cyberaanvallen richt zich op kleinere bedrijven. Hackers beschouwen hen als makkelijke doelwitten omwille van de vaak gebrekkige bescherming. De gevolgen kunnen rampzalig zijn, van financiële schade tot reputatieverlies. Gelukkig zijn er manieren om uw onderneming te beschermen, vertelt Gert-Jan Wille, head of cybersecurity van Howest Cyber 3 Lab. ‘Mijn interesse voor cybersecurity begon op internaat, toen ik probeerde om examens van de schoolserver te halen. Inmiddels zet ik mijn kennis in om bedrijven weerbaarder te maken.’

Juridische kant van cybersecurity

Vandaag leidt Wille een team aan Howest dat onderzoek doet naar cyberveiligheid. ‘Dit zou bij alle bedrijven hoog op de agenda moeten staan, maar veel kmo’s focussen op hun corebusiness waardoor ze cyberveiligheid durven vergeten. Ze vinden het saaie materie die ze wat graag doorschuiven naar hun IT-partner. Die levert de computers, maakt accounts aan en zet een firewall op waardoor ze zich veilig wanen. Vaak hebben ze echter geen contract afgesloten om hen tegen cyberaanvallen te beschermen.’

Wille haalt een praktijkvoorbeeld aan van een bedrijf dat gehackt werd omdat een paswoord van tien jaar oud nog steeds actief was. ‘De hackers kregen toegang tot de systemen en lieten er ransomware op los waardoor zelfs de back-ups versleuteld werden. Het bedrijf kon kiezen: betalen of van nul herbeginnen. Men koos voor de eerste optie, iets dat wij doorgaans niet adviseren. Meestal kan je gelukkig wel op back-ups terugvallen. Het ergste is dat menselijke fouten – van medewerkers of de bedrijfsleider zelf die een phishingmail aanklikt – vaak aan de basis liggen van het probleem. Het is dan ook belangrijk om in te zetten op bewustwording.’

De wetgeving is de jongste jaren strenger geworden. ‘Eerst was er de GDPR en sinds oktober is er de NIS2-wetgeving waarmee de Europese Unie haar ondernemingen weerbaarder wil maken. Bedrijven moeten aan bepaalde regels voldoen, zeker als ze in kritische sectoren actief zijn. De bedrijfsleiders kunnen hoofdelijk aansprakelijk gesteld worden als ze fouten maken. Cybercriminaliteit is een miljardenindustrie waarin criminelen samenwerken en gegevens uitwisselen. Daarom is het essentieel om te starten met eenvoudige maatregelen zoals multifactorauthentificatie en segmentering van uw netwerk.’

Wille benadrukt het belang om ook met externe partners goede afspraken te maken. ‘Vraag naar hun veiligheidsbeleid en juridisch kader. Het is niet de vraag óf u gehackt wordt, maar wanneer. Dan moet u snel en efficiënt kunnen reageren. Cybersecurity hoeft geen ramp te zijn, zolang u voorbereid bent. Ik raad altijd aan om beveiligingsaudits te laten uitvoeren door ethische hackers. En zoals eerder gezegd: bewustwording is essentieel. Laat uw kinderen geen spelletjes downloaden op uw werkcomputer, want één virus kan uw hele productieomgeving platleggen.’

Verplicht programma

Orange Belgium biedt onder meer een programma voor security awareness aan. ‘Dit helpt bedrijven om hun personeel bewust te maken van de gevaren. Zulke programma's zouden eigenlijk verplicht moeten zijn’, zegt Wille. Hij wijst ook op de mogelijkheden van artificiële intelligentie om veiligheidsoplossingen te verbeteren. ‘Maar dit houdt eveneens risico’s in. Vergeet niet dat tools als ChatGPT draaien op de data die ze verzamelen. Plak er dus niet zomaar vertrouwelijke gegevens in om een rapport te maken. Hetzelfde geldt zelfs voor de hele cloud. Eigenlijk is en blijft dat de computer van iemand anders waar jij jouw gegevens aan toevertrouwt, al kan je grote spelers als Microsoft en Amazon natuurlijk wel vertrouwen.’

In samenwerking met: