Spammails over je bankaccount die zogezegd niet meer werkt tot je je rekeningnummer doorgeeft. Wie kent ze niet? Daar niet op antwoorden lukt best, maar wat als je die mails niet meer kunt onderscheiden van andere?

Horrorverhalen over cyberaanvallen zijn onuitputtelijk. De Belgacom Hack in 2013 bijvoorbeeld, die uiteindelijk werd toegeschreven aan de Britse geheime dienst GCHQ. Of meer recent de lek van gehackte bankgegevens uit de Zwitserse bank HSBC. “Die spectaculaire verhalen zijn nog maar het topje van de ijsberg”, zegt Christian Van Heurck, coördinator van het federale cyber emergency team, CERT.be. “Niet alle gevallen worden gemeld, waardoor er weinig objectieve cijfers bestaan van zulke incidenten, maar we merken wel een continue stijging. We zitten nu aan ongeveer 822 meldingen over cyberincidenten per maand.”

Return of investment
En die incidenten variëren van amateuristische inbraakpogingen tot professionele cyber attacks door criminele bendes. Die bendes worden helaas steeds professioneler en kijken ook naar hun return of investment. “Waar vroeger het Engels bijvoorbeeld de taal van phishingmails was, zijn ze nu in perfect Nederlands opgesteld”, aldus Van Heurck. Op basis van online beschikbare informatie, worden aanvallen veel sterker gepersonaliseerd. En bij zulke bendes gaat het om puur geldgewin, direct of indirect.

 

Security is niet enkel een verhaal van technologie maar ook van mensen en processen – Ben Van Erck

 

Data = geld
“Vaak passen ze rekeningnummers aan van leveranciers zodat het geld rechtstreeks naar hen wordt overgeschreven”, legt Ben Van Erck uit, IT security professional voor de financiële sector bij EY. Maar gestolen gegevens brengen ook geld op op online fora. “De prijzen schommelen van 10 cent voor creditcard gegevens tot 50 euro als de persoonlijke gegevens erbij zitten. En als je 30.000 records hebt, heb je al gauw een mooi spaarpotje.”

Vertrouwen vs. reputatie
Data is dus gegeerd op de markt. En met de mogelijkheid om bestanden in de cloud op te slaan, geef je de opslag van die data uit handen. De beveiliging is bovendien meestal wel in orde. “Puur qua security kunnen sommige leveranciers betere bescherming bieden dan jezelf”, meent Van Heurck. “En voor hen is het belangrijk om het goed te doen voor een goede prijs, want een fout is een enorme deuk in hun reputatie.” Vertrouwen tussen leverancier en klant is key om voor een bepaalde leverancier te kiezen.

 

Je moet je altijd eerst afvragen: hoe interessant ben ik voor criminelen? – Wouter Slotboom

 

Controle onder werknemers
Maar dat vertrouwen is van even groot belang tussen werknemers. Van Erck: “Security is niet enkel een verhaal van technologie maar ook van mensen en processen. Een brandoefening dient ook om mensen niet te laten panikeren, mocht er brand uitbreken. Een oefening voor mocht er een cyberaanval gebeuren is hetzelfde. Je controleert tegelijkertijd wie je werknemers spontaan contacteren en waar nog werk nodig is.”

Iedereen krijgt bezoek
Beter voorkomen dan genezen is hier ook het devies. “Bedrijven moeten zich ervan bewust worden dat ze allemaal wel een keer bezoek krijgen van een kwaadwillende”, meent Wouter Slotboom, ethisch hacker. “Dat is geen paniekzaaierij, maar een aanmoediging om hun beveiliging te laten nakijken.” En dat is zeker nodig als je interessante data in huis hebt. “Je moet je altijd eerst afvragen: ‘hoe interessant ben ik voor criminelen?’”

 

Updates moeten gemakkelijk en snel kunnen worden geïnstalleerd – Christian Van Heurck

 

Phishing = maatwerk
Dan kan het systeem eventueel getest worden door zogenaamde pentesters of penetration testers. Zij kijken waar de gaten zich bevinden. Slotboom geeft ook workshops om onder andere bedrijfsleiders te tonen wat er kan gebeuren als je op een bepaalde link of mail klinkt. “Als ze het zien wordt het duidelijk. Tegenwoordig zijn phishing mails praktisch maatwerk, dus je moet ze heel kritisch bekijken. Zijn er spelfouten? Is het e-mailadres geloofwaardig?”

Beveiliging = investering
Bedrijven beseffen gelukkig wel meer dan vroeger de risico’s van een slecht beveiligd systeem. Slotboom: “Vroeger werd security beschouwd als een noodzakelijk kwaad, nu beseffen ondernemingen dat ze veel meer geld kwijt zijn als het te laat zou zijn.” Bedrijven zouden volgens hem onderling gedragscodes en afspraken moeten maken om samen een gezamenlijke monitordienst op te zetten.

Cruciale updates
Van Heurck ziet daarnaast veel potentieel in software die cruciale updates eenvoudiger aanneemt. “Een programma kan misschien niet van in het begin alle toekomstige cyberaanvallen tegenhouden, maar moet wel innovatief en functioneel blijven, zodat updates gemakkelijk en snel worden geïnstalleerd.” De digitalisering staat in ieder geval niet stil en vraagt dus ook voorzichtigheid. Van Erck: “Online ben je altijd geviseerd. Criminelen scannen continu webshops en zoeken er fouten in. Je moet vooral begrijpen wat je in handen hebt en waartegen je je beschermt.”