Risicobeheer

31 maart 2016

Hoe kunt u zich beschermen tegen cybercriminaliteit?

Van Sony tot TV5: de massale cyberaanvallen zijn niet meer weg te slaan uit de actualiteit. Vandaag moeten alle ondernemingen – van klein tot groot – zich wapenen tegen aanvallen van doorgewinterde professionals. Een uitdaging voor de Belgische bedrijfswereld dus. Al kunnen enkele eenvoudige maatregelen volstaan om de dreiging af te wenden. Bewustmaking van medewerkers, staat zeker in het lijstje. Lees de basistips in dit artikel.

Samengevat

  • Cybercriminaliteit is voor alle ondernemingen een belangrijke uitdaging.
  • Informaticabeveiliging is gebaseerd op een aantal elementaire basismaatregelen.
  • Investeren in opleidingen voor werknemers is één van de sleutels tot succes als het om cyberveiligheid gaat.

Cybercriminelen, wie zijn ze?

Het gaat hier om zeer goed gestructureerde en gespecialiseerde organisaties met een uitgekiend businessmodel, aldus Alexandre Pluvinage, Cybercrime Coordination Manager bij ING België. In een meer en meer geconnecteerde wereld worden vertrouwelijke gegevens steeds belangrijker en willen steeds meer mensen er toegang toe krijgen. Cybercriminelen azen op winsten die hun investeringen ver overstijgen, en schakelen allerlei informaticatools in om hun slagkracht te verhogen. “De fraude zoals die vandaag voorkomt, is niet echt nieuw, maar dankzij de nieuwe technologieën wel steeds gemakkelijker te plegen.”

Phishing, malware, ransoming en CEO-fraude

Tot de meest voorkomende aanvallen behoren phishing en malware (het besmetten van pc’s met schadelijke software). In beide gevallen beogen de cybercriminelen hetzelfde doel: een frauduleuze online transactie sluiten of laten sluiten. "Elk abnormaal gedrag bij online betaalsystemen moet bij de gebruiker een alarmbelletje doen rinkelen", benadrukt Alexandre Pluvinage. “Hij moet de reflex aankweken om de lopende transactie onmiddellijk stop te zetten en contact op te nemen met zijn bank via het telefoonnummer op de rugzijde van zijn bankkaart.” Een andere variant is ransoming. Daarbij worden de bedrijfsactiviteiten geblokkeerd door ransomware te installeren. Ook het stelen van de identiteit van de CEO is een vorm van fraude die aan populariteit wint.

Elk abnormaal gedrag bij online betaalsystemen moet bij de gebruiker een alarmbelletje doen rinkelen.

Directe kosten van cybercrime

Uit de cijfers van CERT.be - het federale cyber emergency team - blijkt dat het aantal gevallen van computerpiraterij angstwekkend toeneemt. De Belgian Cyber Security Coalition, waarvan ING deel uitmaakt en die een aantal Belgische actoren groepeert uit de privésector, de overheidssector en de academische wereld, raamt de jaarlijkse kostprijs van cybercriminaliteit op 3,5 miljard euro.

Imagoschade en meer als indirecte kost

Bovendien hangen aan het aantonen van de kwetsbaarheid van bedrijven ook indirecte kosten vast: imago- en reputatieschade, rechtstreekse en onrechtstreekse financiële verliezen, operationele stoornissen (blokkering van de activiteit) … En dan hebben we het nog niet over de eventuele rechtszaken die benadeelde derden aanspannen.

Het kan echt iedereen overkomen

Volgens een enquête van het VBO zijn 66% van alle ondernemingen onvoldoende geïnformeerd om een doeltreffend cyberveiligheidsbeleid te ontwikkelen. “Steeds meer bedrijven zijn zich bewust van het gevaar”, stelt Alexandre Pluvinage vast. “Helaas gaan nog altijd te veel bedrijfsleiders ervan uit dat cybercriminelen geen interesse hebben voor hun onderneming. En toch overkomt het niet alleen de anderen: sommige aanvallen gebeuren blindweg en worden naar duizenden of zelfs miljoenen e-mailadressen tegelijk gestuurd. De naam of de grootte van het getroffen bedrijf doen er daarbij weinig toe.”

De grens tussen privé en professioneel vervaagt gevaarlijk

Wie heeft nog nooit een persoonlijke e-mail of een privé Facebook-bericht geopend op zijn professionele computer? Bij kmo’s is die scheidingslijn tussen het digitale privé- en beroepsleven nog dunner. De trend om al zijn elektronische eieren onder te brengen in dezelfde korf neemt toe. Dat blijkt onder meer duidelijk bij één van de sleutelelementen ervan: e-mail. E-mail is immers de belangrijkste link tussen alle andere digitale diensten (sociale netwerken, online aankopen, contact met de belastingadministratie …).

Sterke wachtwoorden kiezen

“Bijkomend probleem is dat wachtwoorden nog altijd onvoldoende beveiligd zijn. Klassiekers als ’12345’ of ‘password’ zijn nog steeds schering en inslag. Het lijkt vanzelfsprekend, maar een 100% veilig wachtwoord aanmaken, is een absolute must. Er bestaan daarvoor geen mirakeloplossingen, wel enkele handige trucs: een lange zin die ook hoofdletters, symbolen en cijfers bevat bijvoorbeeld. Een wachtwoord kan ook aangepast worden afhankelijk van de dienst waarmee de gebruiker verbinding maakt.”

Iets doen aan de informatica kan snel, eenvoudig en goedkoper dan u denkt

Veiligheid mag dan al een kostprijs hebben, zijn informaticasysteem correct beveiligen, hoeft niet per se een gigantische investering te zijn. Elke onderneming moet haar beveiligingsniveau aanpassen aan haar grootte en haar beschikbare middelen. “Concentreer u in de eerste plaats op de ‘basics’ en hou u daar strikt aan. Concreet: rust alle toestellen uit met een firewall en een doeltreffend en regelmatig bijgewerkt antivirusprogramma, maak regelmatig externe back-ups en stel het besturingssysteem zo in dat het automatisch en onmiddellijk geüpdatet wordt.” Die basisregels kunnen heel wat willekeurige aanvallen verhinderen, want nalatigheid en menselijke fouten blijven de belangrijkste ‘besmettingshaard’.

Investeren in een human firewall: de medewerkers

“Ook de veiligheid van alle bedrijfsmedewerkers, van de CEO tot de werknemers, is een belangrijk punt”, beklemtoont Alexandre Pluvinage. Een maatregel die onvermijdelijk begint bij een goede communicatie en een dito training. “Alle personeelsleden moeten weten hoe ze abnormale activiteiten kunnen opsporen en hoe ze snel en gepast kunnen reageren.”

Procedures voor noodsituaties

De onderneming van haar kant moet adequate procedures invoeren, bijvoorbeeld een noodnummer of e-mailadres ter beschikking stellen voor dringende meldingen. “Het is essentieel om te weten wie men moet waarschuwen als men een verdachte e-mail krijgt. En zelfs als de betrokkene de geïnfecteerde link al heeft aangeklikt, is het belangrijk om te beseffen dat niets doen nog veel erger is. De boodschap luidt dus: onmiddellijk contact opnemen met specialisten die de risico’s kunnen beperken.”

Bewustmaking en gezond verstand

Net het feit dat de nieuwe technologieën zo vlot toegankelijk zijn, maakt ze extra gevaarlijk. Een document dat u ontvangt automatisch openen of een USB-stick aansluiten zonder die vooraf te beveiligen bijvoorbeeld. “Waakzaamheid is niet voldoende om alle bedreigingen af te wenden, maar als ik één goede raad mag geven aan ondernemingen, is het wel de volgende: gebruik uw gezond verstand en maak uw werknemers bewust van hun werkomgeving en van de mogelijke gevaren”, adviseert Alexandre Pluvinage.

Gebruik uw gezond verstand en maak uw werknemers bewust van hun werkomgeving en de mogelijke gevaren

Medewerkers moeten de juiste reflexen kweken

“Ze moeten zich op het juiste moment de juiste vragen stellen. Bijvoorbeeld telkens als ze een e-mail binnenkrijgen: ken ik de verzender? Zo niet is er een hoog risico en is voorzichtigheid aan te raden. Zo ja, dan moet ik me afvragen of ik het bericht in kwestie wel verwachtte en of er een verband is met mijn activiteit. Het risico daalt telkens als ik die vraag positief kan beantwoorden, zo niet moet ik de reflex hebben om meteen te checken. Eén simpel telefoontje kan een gevaarlijke besmetting voorkomen.” Ook de ‘herkomst’ van de e-mail is belangrijk. Zo moet een factuur die per e-mail verstuurd werd en zogezegd afkomstig is van Deutsche Telekom, meer argwaan opwekken dan een bericht van Proximus.

De risico’s van het mobiele kantoor

En last but not least is ook het ‘mobiele kantoor’ in opmars, wat vaak impliceert dat de gebruiker rechtstreekse en externe toegang heeft tot het bedrijfsnetwerk. Dat vereist een doeltreffende bescherming van het informaticasysteem, kwestie van de veiligheid van de gegevens niet in het gedrang te brengen.

Publieke wifi-netwerken, een no go?

Ander gevaar: de toegang tot publieke wifi-netwerken. Voorzichtigheid aan te raden, ook al gaat het om een bekend netwerk op een bekende plaats! De risico’s kunnen immers groot zijn. Zo is het een makkie om een publiek wifinetwerk te kopiëren en op die manier toegang te krijgen tot de aangesloten toestellen. “Een goede raad: verwerk nooit vertrouwelijke professionele gegevens als u verbonden bent met zo’n netwerk en voer geen online betalingen uit of andere gevoelige operaties.”

Smartphones, tablets en laptops

Smartphones, tablets en laptops houden een gevaar in als ze gestolen worden of gebruikt worden buiten medeweten van de eigenaar. “Het probleem is dat niet alle werknemers de elementaire beveiligingsmethoden hanteren waarover ze beschikken: een toegangscode gebruiken om het apparaat te ontgrendelen, het aantal mislukte pogingen beperken, tools inzetten om gegevens op afstand te lokaliseren of te blokkeren en zo nodig te verwijderen. Opnieuw: sensibilisering (‘awareness’) van alle medewerkers is essentieel voor een goede beveiliging.”

Gegevensbeveiliging bij ING

“Bij ING staat cyberveiligheid voorop, zowel intern als voor onze cliënten”, benadrukt Alexandre Pluvinage. “We doen voortdurend investeringen om onze informaticasystemen nog beter te beveiligen en onze werknemers en cliënten extra te sensibiliseren.” Want als het om veiligheid gaat, is iedereen verantwoordelijk voor zijn eigen beveiligingsstrategie, zowel de bank als haar cliënten.

Een checklist voor een minicyberveiligheidsaudit

Als het om cybercriminaliteit gaat, is voorkomen beter dan genezen. Maar welke vragen moet u zich stellen om de veiligheid van uw onderneming te evalueren? De ‘Belgische Gids voor Cyberveiligheid’, een publicatie van het VBO (Verbond van Belgische Ondernemingen), biedt daartoe een volledige checklist. 5 basisvragen:

  1. Welke plaats bekleedt veiligheid binnen de onderneming?
  2. Is er een beleid inzake internet- en wachtwoordgebruik?
  3. Zijn de interne gegevens geclassificeerd op basis van hun gevoeligheidsgraad?
  4. Beschikt het bedrijf over een duidelijke en door iedereen gekende procedure in geval van incidenten?
  5. Is er een risico-evaluatie uitgevoerd?

Daarnaast bestaan er nog andere nuttige tools om zich te wapenen tegen cyberbedreigingen. Zo lanceerde Febelfin onder meer een sensibiliseringscampagne rond veilig online bankieren. Meer info vindt u op www.safeinternetbanking.be.