Daags na de Data Privacy Date bracht Voka – Kamer van Koophandel Mechelen zeven ondernemers en specialisten uit de IT-wereld samen voor een gedachtewisseling over een hot topic in hun sector: cybercriminaliteit. Met directeur Baudouin Corlùy van de sectorfederatie Agoria ICT in de rol van moderator, gingen de deelnemers aan dit boeiende ontbijtgesprek de hete hangijzers niet uit de weg.

  • Verslaggeving: Jan Van de Poel
  • foto’s: Tim de Weerdt, Zidis
  • gespreksleiding: Baudouin Corlùy

Volgens cijfers van het federale cyber emergency team (CERT) is het aantal beveiligingsincidenten in 2014 meer dan verdubbeld ten opzichte van 2013. Omdat bedrijven nu eenmaal huiverachtig staan tegenover het delen van problemen, kan je je nog afvragen of dit niet het topje van een ijsberg is. In 2015 was er een verdere groei van het aantal incidenten met liefst 38 procent merkbaar. Vorig jaar heeft de overheid het Centrum voor Cybersecurity België ingehuldigd en hebben bedrijven 24 procent meer in oplossingen geïnvesteerd. Zijn bedrijven zich wel bewust genoeg van de gevaren?

Paul Van Coillie: Onze sector moet haar klanten bewust maken van het gevaar. Dagelijks merken we gemiddeld zo’n tienduizend inbraakpogingen op firewalls van onze klanten. Dat is heel veel, maar tegelijk ook weinig als je kijkt hoeveel klanten we hosten. Bedrijven zijn zich wel bewust van het gevaar. Alleen moeten ze soms een waarschuwing krijgen. Men werkt bijvoorbeeld niet met de nieuwste versie van Windows of men schenkt te weinig aandacht aan het maken van back-ups, waardoor er problemen rijzen. Op dat moment kan er schade ontstaan en dan is men wel bereid te betalen voor oplossingen. Maar zolang schade uitblijft, is dat minder belangrijk. Het is vergelijkbaar met verzekeringen. Bovendien verdwijnt het risico nooit, want de werkwijzen veranderen voortdurend. Vroeger volstond het om het gebruikte antivirusprogramma wekelijks te updaten. Vandaag is dat nagenoeg om de minuut noodzakelijk.

Bart Lambrecht: Volgens mij is de grootste frustratie in veel bedrijven vandaag dat er blijvend in ICT-beveiliging moet geïnvesteerd worden. Daar schuilt meteen ook de grootste tekortkoming bij velen. Nog al te vaak gelooft men na een bepaalde investering tegen cybercriminaliteit te hebben gedaan weer enkele jaren veilig te zullen zijn.

Lars Putteneers: Via onze wereldwijd verspreide onderzoekscentra weten we dat er dagelijks 300.000 unieke, nieuwe bedreigingen bij komen. Tachtig procent van de legitieme, veelvuldig bezochte websites zoals die van de New York Times is besmet met bedreigingen, via malware of pop-ups. Waar in het verleden virussen werden geschreven om op zoveel mogelijk pc’s terecht te komen en dus als vooral als machtsmiddelen golden, zien we vandaag dat aanvallen specifiek op maat van een bedrijf worden uitgevoerd. Iedereen weet dat heel wat cybercriminaliteit zijn oorsprong vindt in landen zoals Rusland en Oekraïne. In Rusland kan je voor tachtig euro in de maand met een gestolen VISA-kaart malware hosten op een server. Haalt de politie die server neer, krijg je zelfs je geld terug. Maar men moet er zich ook bewust van zijn dat vijftig procent van de bestaande malware uit Amerika komt.

Jo De Vylder: Ik merk dat grote bedrijven zich bewust zijn van de gevaren van cybercriminaliteit. In een op de drie bestuursvergaderingen staat het intussen toch al op de agenda en dit gaat nog in stijgende lijn. Het besef dat cybercriminaliteit een gigantische impact kan hebben, is er alsmaar meer. Deze impact gaat dan ook verder dan de direct aangerichte schade. Studies tonen aan dat bedrijven gemiddeld vijftien procent meer klanten overstappen naar een concurrent, wanneer bekend is geraakt dat ze met een hacking hebben moeten afrekenen. Uit eigen ervaring weten we dat het delen van geconfirmeerde informatie erg belangrijk is in de strijd voor het behoud van het vertrouwen van de klant en de markt. Cybersecurity is voor mij overigens geen louter ICT-gegeven meer, maar raakt alle divisies van een bedrijf. Net daarom moeten bedrijven op voorhand voor zichzelf een duidelijk actie- en communicatieplan opstellen en dit ook testen. Het in kaart brengen van hun sleutelapplicaties, kritische processen en vitale data is hierbij cruciaal.

Lars Putteneers: Een IT-manager kan wel vragende partij voor een betere beveiliging zijn. Pas als de raad van bestuur overtuigd is, zal daarin ook worden geïnvesteerd. In dat beslissingsproces helpt het dan alleszins dat de voorzitter of de CEO op technisch vlak enige affiniteit met ICT hebben.

Bart Lambrecht: Bedrijven gaan vandaag ook heel anders om met IT dan pakweg tien jaar geleden. Toen kon je een IT-infrastructuur beschouwen als een huis, dat je alleen langs de voordeur binnen kon. Een USB-stick was vrijwel het enige extern apparaat dat ermee verbinding kon maken. Door de filosofie van ‘bring your own device’ en de komst van tal van mobiele toestellen zien we een heel andere realiteit. Een IT-omgeving kan niet langer een winkel met een bewaker bij de voordeur zijn. Beveiliging is een noodzaak, maar gebruikers moeten wel binnen en buiten kunnen zonder daarvan hinder te ondervinden.

Roel Van Looy: Waar je tien jaar geleden met bedrijven maar moeilijk een gesprek over ICT-beveiliging kon aangaan, staan ze daar nu wel voor open. Anderzijds zie je bedrijven fors investeren in bijvoorbeeld firewalls en sandbox-technologieën, maar gebruiken hun werknemers allerlei cloudtoepassingen, applicaties zoals Dropbox en synchroniseren ze hun data via end points op toestellen waarmee ook hun kinderen spelen. Men verlangt ook dat toepassingen eenvoudig te bedienen zijn. Dat leidt wel mee tot bressen in de beveiliging, ook al investeren bedrijven daar dan zwaar in.

Paul Van Coillie: In een gesprek met klanten verwijs ik vaak naar de Verenigde Oost-Indische Compagnie, dat vroeger met beschermde konvooien producten overbracht. Ook al wordt alsmaar meer digitaal afgehandeld, beveiliging blijft hoogstnodig. Want al die data die op bijvoorbeeld bestellingen, offertes en technische specificaties betrekking hebben, maken wel de kern van een bedrijf uit.

In de strijd tegen cybercriminaliteit gaan bedrijven volgens een Europese verplichting werk moeten maken van de aanstelling van een data protection officer. Wat kan die in dit verhaal bijdragen?

Lars Putteneers: De data protection officer moet niet alleen over de bescherming van gegevens waken, maar ook over het gebruik ervan. Duikt er dan toch een gegevenslek op, dan zal het bedrijf zijn onschuld moeten kunnen bewijzen. In het andere geval riskeren ze boetes van 2 tot 5 procent van de jaaromzet.

Jo De Vylder: Dit zal het bewustwordingsproces zeker ten goede komen. Voor bedrijven is ICT-beveiliging dan geen zaak meer van louter kosten, maar wel van de bescherming van hun waarde. Bart Lambrecht: Bewustwording hangt ook samen met de klanten van een bedrijf. Wie levert aan een multinational, weet dat die ook zaken opleggen. Naar aandacht voor cyberbeveiliging kan dit een versneller zijn.

Roel Van Looy: Minstens een paar maal per maand vragen bedrijven waarom bepaalde maatregelen nodig zijn. ‘We zijn toch geen bank’ of ‘Hier valt toch niets te rapen’, klinkt het dan. Wie dat zegt, staat niet stil bij het gewicht van die zin. Men wil antivirussoftware en een firewall kopen om gerust te kunnen zijn. Alleen volstaat dat gewoonweg niet meer. Grote bedrijven krijgen voortdurend aanvallen te verwerken. Die zijn daar ook op ingesteld. Terwijl je vaak met minimale inspanningen heel wat gegevens kan buitmaken bij een kmo. Gekeken naar het rendement op de investering, zijn die voor een hacker een interessant doelwit. Als specialisten moeten wij onze klanten doen stilstaan bij de impact van de veronderstelling dat op een dag hun hele hebben en houden op straat belandt.

Erwin Roels: De bewustwording bij kmo’s groeit, maar is nog steeds laag. De gemiddelde kmo is zich nog altijd niet bewust van zowel het risico als de impact van een diefstal van hun data, zij het deels of volledig. Nochtans kan dit in slechts enkele seconden gebeuren. Uit studies weten we dat drieëntwintig procent van de phishing mails wordt geopend en zelfs in elf procent ook de bijlage wordt bekeken. Dat is zorgwekkend, zeker in een regio met een sterke vertegenwoordiging aan dienstenbedrijven. De waarde van onze regio wordt bepaald door onze kennis, wat onze data erg cruciaal maakt. Een firewall kan een vals gevoel van bescherming geven, wanneer die niet door specialisten op de juiste manier is geconfigureerd en niet met de juiste tools wordt opgevolgd.

Als we praten over cybercriminelen: waar komen deze vijanden dan vandaan?

Erwin Roels: Men wijst vaak naar landen als Rusland, China en de Filippijnen. Omdat in die landen een lage policy naar onder meer het openstellen van IP-adressen geldt, is dat niet zonder reden. Maar de aanvallen komen van overal.

Lars Putteneers: Dat maakt onderzoek in onze onderzoekscentra ook duidelijk. Groot probleem is dat elk land met een eigen wetgeving werkt en er wereldwijd dus geen sluitende regels bestaan voor het delen van informatie wat cybercriminaliteit betreft. Zo mag je bijvoorbeeld in Oekraïne probleemloos een server opstarten om malware te hosten. Bevindt een cybercrimineel zich in een ander land, dan kan die handelen naar de wetgeving die daar geldt.

Elk systeem is maar zo performant als zijn gebruikers het toelaten. Om een bedrijf te behoeden voor cybercriminaliteit, is het dus belangrijk dat elke medewerker zich bewust is van de risico’s. Is er op dit niveau al voldoende bewustzijn aanwezig?

Jo De Vylder: Veel gevaar aan blootstelling begint bij menselijke handelingen. Medewerkers moeten dus opgeleid worden om gevaren te detecteren, zoals phishing mails. Een vreemde extensie zou bij hen al een belletje moeten doen rinkelen. Herhaaldelijke training is hierin noodzakelijk.

De 7 specialisten ter zake met VanRoey.be Technical Business Manager Roel Van Looy (rechtsonder).

Security Logo

Roel Van Looy: Binnen bedrijven is het vaak de HR-afdeling die het meeste mails van ongekende personen binnenkrijgt. Aan veel van die mails zitten bijlagen, zoals PDF’s en foto’s. Bij incidenten zien we dan dat er in zulke PDF’s codes waren verwerkt.

Erwin Roels: Cyberaanvallen bestaan al sinds de jaren negentig. In 2008 was er een piek in het aantal gestolen documenten. Al is dat aantal nadien weer afgenomen, de impact van een diefstal is alleen maar groter geworden. De gebruikte methodes zijn ook sterk geëvolueerd: van de eenvoudige uitnodigingen tot het klikken op links tot gesofisticeerde aanvallen die zeer specifiek gericht zijn. Zulke aanvallen maken gebruik van kwetsbaarheden in de bestaande systemen. Uit cijfers van vorig jaar is gebleken dat er liefst zeven miljoen kwetsbaarheden zijn in de systemen die wereldwijd worden gebruikt. Daarvan is de eindgebruiker slechts één.

Jo De Vylder: De eindgebruiker is een van de grootste verantwoordelijken naar kwetsbaarheid van de bedrijfsomgeving. Deze krijgt dan ook af te rekenen met verschillende vormen van cybercriminaliteit. De eerste en ‘minst gevaarlijke’ categorie vormen de scriptschrijvers, die het vooral leuk vinden om te zien tot waar hun actie reikt. Daarna komen de cybercriminelen, die veel gerichter toeslaan. Zij zijn uit op datarecords zoals bijvoorbeeld bestanden met financiële of HR-gerelateerde data. De laatste categorie omvat spionage gesponsord door een staat. Hierbij wordt er doelgericht gewerkt en is er sprake van gigantische budgetten en mogelijkheden. Welke vorm ook: cyberterrorisme is uitgegroeid tot iets belangrijk. Met een geschatte waarde van 170 miljard euro per jaar overtreft het de waarde van de drugsmaffia.

Bart Lambrecht: Directies en medewerkers van bedrijven moeten zich bewust zijn van het risico op cybercriminaliteit. Als zij mee zijn in dat verhaal, moet ervoor worden gezorgd dat zij over de juiste tools beschikken en die ook op de goede manier gebruiken. Pas in dat geval kan beveiliging maximale ondersteuning bieden.

Nieuwe tools zoals de smartphone en de tabletcomputer hebben de uitwisseling van gegevens over de wereld de voorbije jaren heel wat gemakkelijker maakt. In de toekomst zullen nog allerlei andere tools dat proces nog uitbouwen, denk maar aan ‘Internet of Things’. Welke gevolgen heeft dit naar beveiliging?

Erwin Roels: Slechts drie op tienduizend mobiele toestellen is tot nu toe gecompromitteerd geweest, wat enorm weinig is. Mogelijk schuilt de verklaring hiervoor in het feit dat cybercriminelen vooral op zoek zijn naar data die veel geld waard is en mobiele toestellen daarom tot nu toe minder interessant waren.

Roel Van Looy: Al zou dit wel eens kunnen veranderen, nu er toch alsmaar meer applicaties opduiken waarbij financiële transacties via een smartphone verlopen.

Jo De Vylder: Er zijn al meldingen bekend van ransom-software bij smart-tv’s, waarbij aan eigenaars een betaling wordt geëist om het zwarte beeld van hun scherm te verwijderen.

Lars Putteneers: Bij mobiele toestellen schuilt het gevaar niet zozeer in malware, maar wel in het verlies van zo’n drager van allerlei bedrijfsdata. Vandaag kan nagenoeg iedereen zijn e-mail checken op zijn smartphone. Maar niet zoveel gebruikers hebben dat toestel beveiligd met een wachtwoord of cijfercode, die in het laatste geval overigens in nauwelijks enkele seconden te kraken is.

Erwin Roels: Vanuit dat oogpunt ware het misschien beter dat onze sector zich vooral concentreert op beveiliging van data in transit, naast de aandacht voor kwetsbaarheden in mobiele toestellen, desktops en servers. Data in transit kan je monitoren. Wanneer anomalieën naar boven komen, is het dan zaak om die meteen een halt te kunnen toeroepen. Een bestand dat zich goed afgeschermd op mijn computer bevindt, kan pas een potentieel beveiligingsrisico inhouden wanneer het naar een andere locatie wordt verstuurd.

Bart Lambrecht: In realiteit weet je nooit via welke weg data over het internet stroomt. Zolang die over een server in een of andere uithoek kan gaan, is zo’n aanpak niet haalbaar.

Lars Putteneers: Eerder dan het monitoren van data, geloof ik zelf sterk in het encrypteren van eigen data. Door het versleutelen van informatie zorg je er zelf voor dat niemand zomaar jouw informatie kan meelezen. Dat is ook een van de aangewezen methodes om gebruikers met hun eigen toestel op het bedrijfsnetwerk te laten connecteren. Koppel daaraan goede antivirussoftware en een mailbescherming, zodat de eindgebruiker zich volledig omarmd voelt.

Jo De Vylder: Bescherming van databases is een van de grote uitdagingen. De marketinghype van enkele jaren geleden was ‘interconnected world’. Zo heb je de slimme toestellen, waarbij bijvoorbeeld de ijskast zelf aangeeft wanneer de eieren niet langer vers zijn. Dergelijke residentiële toepassingen staan nog voor hun algemene doorbraak. In de bedrijfswereld is die al dichterbij. De koppeling van objecten via bijvoorbeeld het LORA-netwerk maakt dat er met het ‘Internet of Things’ nieuwe business modellen ontstaan, die heel wat inkomsten kunnen genereren. Waar de klassieke ICT vooral geld kost, kunnen er via het ‘Internet of Things’ nieuwe inkomsten worden aangeboord. Waar geld is, is een verhoogde noodzaak om de beveiligingsrisico’ goed te beheren.

Paul Van Coillie: De introductie van ‘Internet of Things’ zal beveiliging nog moeilijker maken. Voor uiteenlopende doeleinden wordt gewerkt met sensoren, die data naar een centraal gestuurd systeem zenden om zaken te kunnen opvolgen. Maar wat als het dataverkeer van die sensoren kan worden onderschept? Dan is het niet louter een zaak van databeveiliging meer, maar wel van operationele beveiliging. Dat moet toch tot nadenken stemmen.

Lars Putteneers: Gebruikers moeten zich daarom nogmaals bewust zijn van hun eigen verantwoordelijkheid. Die kunnen ze opnemen door alleen al het standaard wachtwoord op hun toestellen aanpassen. Je zou versteld staan hoe weinig dit gebeurt en hoeveel keer hiervan misbruik wordt gemaakt.

Voor bedrijven is het niet langer meer de vraag of ze nog moeten beveiligen, maar wel hoe dat moet gebeuren. Hoe betaalbaar is cyberbeveiliging voor hen vandaag?

Erwin Roels: Hackers zoeken en vinden kwetsbaarheden in systemen. Er zijn er nog zoveel die niet meer up to date zijn. In die gevallen zien we dat hackers in 28 procent van de pogingen die kwetsbaarheden in luttele seconden weten uit te buiten. Reken je in enkele minuten, loopt dat aandeel op tot zelfs 38 procent. Daarom is het zo belangrijk dat IT-managers in kmo’s al eens beginnen met voldoende aandacht te schenken aan de basisvereisten, zoals beschikken over de juiste updates en patches. Dat vraagt geen grote investeringen. Kmo’s mogen zich niet spiegelen aan de grote investeringen die grote bedrijven en multinationals moeten doen voor oplossingen op hun maat.

Bart Lambrecht: Bij kmo’s komt het er vooral op aan om beveiliging op de agenda te krijgen, zodat ze de ruimte voor nodige investeringen vervolgens kunnen inplannen in hun budget. Vandaag zijn er heel wat betaalbare oplossingen op de markt, omdat ze bijvoorbeeld aan een maandelijks tarief kunnen worden aangeboden. Dat geeft ook de kmo’s de mogelijkheid om zaken goed op orde te krijgen.

Jo De Vylder: De verplichting voor een data protection officer die op de bedrijven afkomt, vraagt een investering. Eenmaal een directie inziet dat ze zonder voldoende aandacht voor cyberbeveiliging heel wat te verliezen, worden er wel budgetten vrijgemaakt.

Roel Van Looy: Bepaalde complexe technologieën raken alsmaar beter ingebed. Daardoor worden die ook betaalbaar voor meer geïnteresseerde gebruikers.

Paul Van Coillie: Voor welke technologie ook wordt gekozen, voor de gebruiker moet cyberveiligheid vooral eenvoudig blijven en tegelijk ook in het hele bedrijf ingebed kunnen worden.

Jo De Vylder: In de huidige economische context zoeken bedrijven meer dan vroeger naar samenwerkingen. Dat impliceert evenwel dat men andere partijen al eens toegang tot het kritische DNA van het bedrijf moet geven. Op die manier krijgen bedrijven meteen een beter beeld van de mogelijke, ontwrichtende impact op de eigen waarde, mocht het hierbij misgaan. Werk maken van cyberbeveiliging heeft een prijs. Maar men moet zich vooral ook afvragen wat het zal kosten wanneer men er geen aandacht voor heeft. Want vergis je niet: niemand is er immuun voor.

Bron: Ondernemers Voka Mechelen | Maart 2016

VanRoey.be Technical Business Manager Roel Van Looy.

VanRoey.be adviseert en begeleidt u bij de implementatie van de juiste oplossingen en maatregelen.

Cybersecurity: bent u goed voorbereid?

Geloof ons, u wil echt weten hoe u correct moet omgaan met klanten-, patiënten- of andere gebruikersgegevens. Negatieve media-aandacht of monsterboetes wil u liever vermijden. Europa zal ook niet aarzelen in 2016 vastgestelde inbreuken in de media te brengen om de nieuwe GDPR wetgeving de nodige aandacht te geven…

Wenst u vrijblijvend meer informatie van onze experts?

Bel ons op 014 470 605 of contacteer ons via business@vanroey.be

Security Logo