Zoals elk jaar is oktober de Europese cybersecuritymaand. Een maand waarin niet alleen ENISA, het Europees agentschap voor netwerk- en informatiebeveiliging, maar ook de Belgische Cyber Security Coalition en het Centrum voor Cybersecurity België de aandacht vestigen op het belang van beveiliging in de online wereld. En in 2020 is die boodschap nog relevanter dan anders, want door COVID-19 speelden onze levens (professioneel en privé) zich de voorbije maanden in belangrijke mate af in de digitale wereld. Een opportuniteit die cybercriminelen niet aan zich lieten voorbijgaan.
Op 13 maart gingen we allemaal massaal online. We deden onze aankopen vanop afstand, we werkten vanop afstand, zelfs aperitieven met vrienden deden we via een digitaal platform. De sanitaire crisis heeft e-commerce en thuiswerk een duwtje in de rug gegeven. En zoals zo vaak waren cybercriminelen er als de kippen bij om van dat nieuwe gegeven gebruik te maken. De cijfers liegen er niet om. Het meldpunt van de Federale Overheidsdienst Economie kreeg in de eerste 8 maanden van 2020 al 24.000 meldingen van online fraude. “Dat is evenveel als in heel 2019, toen er ook al een stijging met 50 procent plaatsvond ten opzichte van het jaar ervoor”, klinkt het. Cert.be, de operationele dienst van het Centrum voor Cybersecurity België (CCB), waarschuwde eerder ook al voor een stijging van het aantal pogingen tot factuurfraude. Uit de tussentijdse cijfers van een lopende studie van Agoria en Howest over cyberveiligheid in de productieomgeving, blijkt dan weer dat 65% van de geraadpleegde ondernemingen recent met een cyberaanval te maken kreeg. En dat is nog maar het topje van de ijsberg.
Een goede cybersecuritystrategie was altijd al belangrijk voor bedrijven. Maar de coronacrisis zette dat nog eens extra in de verf. We moeten ervan uitgaan dat elk bedrijf elke dag het doelwit is van een cyberaanval. De kunst bestaat erin om een doelwit te blijven en geen slachtoffer te worden. Preventie en voorbereiding zijn de sleutelwoorden. ‘Prepare for the worst, hope for the best’. De voorbereiding op een hack of een ander cyberincident is een kwestie van technologie, processen en mensen. Technologie om incidenten te vermijden, te detecteren en te beperken. Processen helpen om controle en overzicht te behouden, ook wanneer een cyberaanval paniek zaait. En mensen… Mensen worden vaak afgeschilderd als de zwakste schakel. Toegegeven, vaak ligt er een menselijke handeling aan de basis van een geslaagde hack. Maar een goed geïnformeerd persoon kan ook het verschil maken in de positieve zin. Bewustzijn creëren bij iedere persoon die voor of met uw bedrijf werkt (management, personeel, cliënteel, leveranciers …) is dus essentieel. De Cyber Security Coalition en het Centrum voor Cyberveiligheid België doen op dat vlak elk jaar hun duit in het zakje met een nationale sensibiliseringscampagne. Het thema van dit jaar is “wachtwoorden zijn niet meer van deze tijd” met als doelstelling de tweestapsverificatie of two factor authentication (2FA) aan te moedigen.
En als uw bedrijf toch het slachtoffer wordt van een cyberaanval, wat dan? Als uw bedrijf goed voorbereid is, dan hebt u een incidentresponsplan klaar en misschien zelfs een team van experts. Gaat het om een ernstig incident met beroepscybercriminelen, dan is het bovendien aangewezen dat u er zo snel mogelijk de autoriteiten (de politie en/of Cert.be) bij haalt. Net als ‘analoge misdadigers’ laten cybercriminelen immers een ‘crime scene’ achter vol waardevolle informatie voor de speurders. Maar die sporen kunnen verdwijnen (door een verkeerde manipulatie of door het verlopen van de tijd) en daar wint alleen de cybercrimineel in kwestie bij. Daar weten Jan Kerkhofs, federaal magistraat, en Philippe Van Linthout, onderzoeksrechter te Mechelen, alles van. Cybercriminaliteit in België is hun terrein. Daarom zijn zij de gastsprekers tijdens onze VVIP-Talk ‘Lamgelegd door een cyberaanval? Niet in mijn bedrijf!’, die op donderdag 8 oktober plaatsvindt op het VBO.
Elk bedrijf, elke dag, schreef ik hierboven. Maar uiteraard is de globale impact van een cyberaanval in bepaalde gevallen groter dan in andere. Daar is de wetgever zich ten zeerste van bewust. Daarom is cyberveiligheid voor sommige ondernemingen niet alleen een belangrijke strategische keuze, maar ook een wettelijke verplichting (de zogenaamde NIS-wetgeving). Het gaat om de operatoren van diensten die essentieel zijn voor de goede werking van ons land en onze economie (energie, vervoer, financiën, gezondheidszorg, drinkwater en digitale infrastructuren) en de digitale dienstverleners (onlinemarktplaatsen, onlinezoekmachines en cloudcomputerdiensten). Die bedrijven zijn o.a. wettelijk verplicht om een cyberbeveiligingsbeleid uit te werken en te documenteren, om de noodzakelijke beveiligingsmaatregelen te nemen en om significante cyberincidenten te melden via een online platform. Hoewel niet verplicht, is het ook voor andere bedrijven aangeraden om hun (ernstige) incidenten, op vrijwillige basis, te melden aan CERT.be. Als we het van cybercriminelen willen winnen, moeten we immers onze krachten bundelen, want deze strijd winnen we alleen als ieder zijn steentje bijdraagt.
Philippe Lambrecht, bestuurder-secretaris-generaal
0 reacties