Belgische kmo’s maken te weinig werk van cyberbeveiliging: “Multifactorauthenticatie is een morele plicht”

Uit onderzoek van cyberverzekeraar CyberContract blijkt dat 43 procent van de Belgische kmo’s zich in de ‘rode zone’ voor cyberaanvallen bevindt. Managing director van CyberContract Stef Vermeulen legt aan BusinessAM uit wat bedrijven moeten doen aan hun cyberbeveiliging.

Key takeaways Veel Belgische kmo’s onderschatten de risico’s op cyberbeveiliging. Daarbij blijven veel ramen en deuren openstaan, waardoor bijvoorbeeld identiteitsfraude makkelijker wordt. Een grotere bewustwording van het probleem en een eventuele wijziging van de bedrijfscultuur is nodig. Cyberbeveiliging in Belgische kmo’s laat te wensen over

In het nieuws: Risico’s rond cyberbeveiliging worden vaak onderschat door Belgische kleine en middelgrote ondernemingen (kmo’s). Dat blijkt uit het onderzoek van CyberContract.

CyberContract focust zich verzekeringstechnisch op kmo’s met een omzet tot 100 miljoen euro. Die weten veelal eigenlijk niet goed waar ze moeten starten. Stef Vermeulen, managing director van CyberContract, merkt op dat die bedrijven niet genoeg stilstaan bij de risico’s: “Ze redeneren: ‘We hebben een IT-partner, dus we zijn veilig’ of ‘Onze data staat in de cloud, we moeten niets doen'”. De bedoeling van CyberContract is om de bedrijven bij de hand te nemen en na te gaan welke ramen en deuren er nog open staan. Vermeulen noemt dat “eye opening” voor de bedrijven. En de coaching is nodig, zo blijkt uit het onderzoek: terwijl een fysieke inbraak om de 250 pogingen voorkomt, gebeurt een cyberaanval om de vijf pogingen. Zwakheden in het systeem kunnen grote financiële gevolgen hebben: gemiddeld is er voor 145.000 euro aan schade bij kleine bedrijven, 500.000 euro bij middelgrote bedrijven en zelfs meer dan 1,5 miljoen euro voor grotere bedrijven. Vermeulen zegt dat er frequent “drama’s” gebeuren. Hij is duidelijk: “Ofwel heb je de financiële slagkracht om daar door te raken. Ofwel heeft dat incident je zo hard getroffen dat je failliet gaat. Zo ernstig kan dat zijn.” De kosten lopen dan ook snel op, haalt hij aan: “Je hebt het incident an sich. Je hebt de onderzoeken en de begeleiding die moeten gebeuren om dat incident uit te zoeken, te isoleren en te remediëren. De herstelkosten van zo’n incident is de grootste hap uit heel dat budget. De kosten worden echt onderschat: mensen die overuren moeten draaien, interims moeten inhuren om data manueel over te zetten, nieuwe toestellen aankopen en van scratch installeren, reputatieschade die je moet herstellen bij klanten en leveranciers, orders die je misgelopen bent…” Beoordeling en aanbevelingen

Gevolgd: CyberContract heeft aan de hand van het platform van zijn partner Ceeyu de cyberbeveiligingshouding van 309 Belgische kmo’s beoordeeld.

De bevindingen waren alarmerend: geen enkel bedrijf behaalde de hoogste beveiligingsclassificatie van ‘A’, en slechts 15 procent behaalde een ‘B’. Maar liefst 41 procent scoorde gemiddeld een ‘C’, wat wijst op aanzienlijke digitale kwetsbaarheden die dringend moeten worden aangepakt. Bovendien bevond meer dan 43 procent zich in de ‘rode zone’ met scores van ‘D’ of ‘F’, wat hen bijzonder kwetsbaar maakt voor cyberaanvallen. Vermeulen wil inzetten op preventie en bewustwording. Het sluiten van digitale ramen en deuren is de grootste tip die hij kan meegeven om cyberbeveiligingsrisico’s te verminderen. Hij geeft een aantal voorbeelden: “De mogelijkheid tot het overnemen van een identiteit van een bedrijf komt het meeste voor. Een cybercrimineel kan, als de e-mailinstellingen niet goed staan, een mailtje sturen naar de boekhouder in naam van de CEO om dringend een factuur te betalen. We hebben al ettelijke schadegevallen gezien waarbij geld gewoon klakkeloos wordt overgeschreven”. “Gelekte persoonsgegevens zetten de poort wagenwijd open, legt Vermeulen uit. “Mensen onderschatten echt het belang van regelmatig een controle te doen of je ergens in een gelekte database voorkomt. Cybercriminelen kunnen op die manier inloggen op een mailbox. Ze hebben tijd, zij wachten en volgen de conversaties. Als ze een conversatie zien voorbijkomen over een interessante openstaande factuur, gaan ze alle mailconversaties omleiden. De rechtmatige eigenaar ontvangt daar niets niet meer van. En uiteindelijk is die klant of leverancier tegen de crimineel aan het praten.” “SafeOnWeb heeft campagnes lopen rond het belang van het activeren van multifactorauthenticatie (MFA). Je zou het een schande kunnen noemen als bedrijven dat vandaag niet doen. Elk bedrijf heeft echt de morele plicht om MFA op te zetten, omdat veel aanvallen zo vermeden kunnen worden”. Kant-en-klare phishing

Het probleem: Cyberbeveiliging wordt nog te veel gezien als een uitdaging voor de IT-specialist.

“Je kunt je voordeur met 36 sloten op slot doen, maar als de achterdeur en de ramen blijven openstaan, dan heeft het weinig of geen zin”, aldus Vermeulen. “Het bewustzijn daarvan, ook persoonlijk, moet in de mindset van de mensen raken”. Door automatisering en artificiële intelligentie kunnen cybercriminelen veel makkelijker te werk gaan: er zijn kant-en-klare pakketten beschikbaar. “Die alomtegenwoordigheid maakt dat iedereen op de werkvloer daarmee bezig moet zijn”, benadrukt hij. Vermeulen raadt kmo’s aan om voldoende (online) trainingen te geven over bijvoorbeeld phishing. CyberContract biedt dat ook aan, zegt hij. “Als we klanten recurrent die openstaande digitale ramen en deuren laten zien, en men neemt maatregelen, dan stijgt de score”. Chinese airfryers

Om te volgen: Vermeulen ziet een extra rol weggelegd voor de overheid.

 Vermeulen benadrukt nogmaals dat bedrijven die geen MFA hebben, niet slim bezig zijn. “In andere landen ben je hoofdelijk aansprakelijk als bestuurder als je nalaat iets aan cybersecurity te doen”. Die regel klinkt misschien streng, maar Vermeulen zou zoiets een stap in de goede richting vinden. Een initiatief zoals SafeOnWeb juicht hij toe: “Dat is er voor een breed publiek. Je kunt een browser add on installeren om te zien laten zien of een website legitiem is of niet”. Ook van de verschillende sensibiliseringscampagnes is Vermeulen voorstander. Artificiële intelligentie heeft het werk van cybercriminelen makkelijker gemaakt. Vermeulen pleit voor meer regelgeving rond cyberbeveiliging, bijvoorbeeld vanuit de Europese Unie. “Fabrikanten mogen aangesproken worden op de veiligheid van de toestellen die zij op de markt brengen. De Chinese airfryers die meeluisteren, dat mogen we echt wel tegenhouden”. Tegelijk denkt Vermeulen niet dat meer regels innovatie per definitie in de weg staan. “Innovatie moet volgens mij hand in hand gaan met cyberveiligheid”. Hij zegt ook verbeteringen te zien als het gaat over huishoudelijke apparaten. “De eerste versies van slimme stopcontacten waren gewoon open voordeuren voor cybercriminelen om binnen te komen”.