Ondanks alle wake-up calls denken nog altijd veel ondernemingen dat ze immuun zijn voor cybercriminelen. Nochtans bedraagt de kostprijs van sterke cybersecurity maar een fractie van de schade die een cyberaanval kan aanrichten, benadrukt expert Koen Lepez van Direct. “Als je geen behandelplan klaar hebt, kan één welgemikte aanval het einde van je business betekenen door de opgelopen schade. Onmiddellijk of met vertraging.”
‘Het is alsof we ziek zijn en er geen geneesmiddel bestaat.’ Zo omschreef Asco, producent van vliegtuigonderdelen, de impact van een grootschalige cyberaanval begin deze zomer. De 1.000 werknemers van het Zaventemse bedrijf waren dagenlang technisch werkloos, het kostte de onderneming weken om opnieuw volledig operationeel te zijn.
Als je nog een medicijn moet beginnen ontwikkelen op het moment dat je aangevallen wordt, dan ben je hopeloos te laat
Koen Lepez, founder en CEO bij cloud service provider Direct, vond de omschrijving van Asco bijzonder treffend. “We merken elke dag dat nog altijd veel ondernemingen denken dat ze immuun zijn voor cyberaanvallen. En wie denkt immuun te zijn voor een ziekte, die haalt ook geen geneesmiddel in huis. Maar niémand is vandaag nog immuun. Ondernemingen kunnen niet meer zonder behandelplan. Als je nog een medicijn moet beginnen ontwikkelen op het moment dat je aangevallen wordt, ben je hopeloos te laat. Dan is de schade niet meer te overzien.”
‘Kathy, schrijf je even 10.000 euro over?’
De impact van een cyberaanval zal verschillen van onderneming tot onderneming. Maar één ding weet Lepez zeker: “De schade zal groter zijn, veel groter, dan het prijskaartje van de cybersecurity. Soms investeren ondernemingen niet in cyberveiligheid omdat ze het te duur vinden. Maar als ze dan toch getroffen worden door cybercriminelen loopt de prijs véél hoger op.”
“Soms resulteert een cyberaanval rechtstreeks in financieel verlies. CEO-fraude is aan een opmars bezig. Dan krijgt de assistente van de CEO bijvoorbeeld een mail die ook écht van haar baas lijkt te komen: ‘Kathy, schrijf je even 10.000 euro over naar rekening X?’ Zonder bij de authenticiteit stil te staan, doet ze meteen wat de CEO vraagt. Vijf seconden later is dat geld onherroepelijk weg.”
“Bij andere cyberaanvallen loopt de schade uur na uur, dag na dag, verder op. Een cryptolocker, zoals bij Asco, vergrendelt al je data en je tools. Dan is het echt een race tegen de klok om die blokkering ongedaan te maken. Want elk uur dat je mensen niet kunnen werken, je leveranciers niet betaald kunnen worden en je klanten niets kunnen kopen, loopt de financiële schade op. Grote bedrijven hebben vaak een oorlogskas waarmee ze nog een tijdje kunnen overleven. Bij kmo’s is die buffer meestal veel kleiner, en kan een cyberaanval zomaar het einde van hun business betekenen. Dan wordt die race tegen de klok een pure overlevingsstrijd.”
Beschadigde reputatie, gedeukt vertrouwen
Op langere termijn kunnen cybercriminelen ook ernstige reputatieschade aanrichten. “Een cyberaanval zorgt voor een vertrouwensbreuk. Klanten vragen zich af of hun gegevens nog wel veilig zijn. Leveranciers twijfelen of de goederen die ze leveren wel betaald zullen worden. Medewerkers zijn bezorgd over de continuïteit van hun werkgever. Het is moeilijk te becijferen wat de impact is van dat beschadigde vertrouwen en die beschadigde relaties. Maar op langere termijn zijn ze een minstens even groot risico voor het voortbestaan van de onderneming dan de rechtstreekse financiële schade.”
Cybersecurity is geen optie die te nemen of te laten is. Het is een minimale vereiste
“Consumenten, maar ook leveranciers, verwachten vandaag dat ondernemingen digitaal matuur zijn. Een zwakke reactie op een cyberaanval doet vragen rijzen over die digitale maturiteit. Dat is een groot risico voor ondernemingen, want hun imago en hun reputatie hangen in dit digitale tijdperk rechtstreeks samen met hun digitale maturiteit.”
De fundering van je IT-omgeving, niet het sluitstuk
Het verbaast Lepez hoeveel ondernemingen cybersecurity nog altijd onderschatten. Of het gevaar minimaliseren. “Ze beschouwen cyberveiligheid als het laatste onderdeel van hun IT-omgeving, als de laatste bouwsteen. Of, erger nog, als een bouwsteen die optioneel is. Die redenering moeten ze absoluut omdraaien. Cybersecurity is geen optie die te nemen of te laten is. Het is een minimale vereiste. Geen sluitstuk, maar de fundering van je IT-omgeving.”
“In kmo’s is het vaak de ene IT’er die verantwoordelijk is voor cybersecurity. Maar die kan onmogelijk op z’n eentje de complexiteit van die uitdaging aan. Cybercrime is een extreem lucratieve business en cybercriminelen worden steeds agressiever en inventiever. Daar komt nog eens bij dat bedrijven steeds meer tools gebruiken en medewerkers op verschillende devices werken. Elke ketting is maar zo sterk als de zwakste schakel, en de mens is altijd de zwakste schakel. Het aanvalsoppervlak wordt steeds groter. Een medewerker die niet goed oplet en niet opmerkt dat een domeinnaam één letter verschilt, kan via zijn privémail een virus binnenhalen dat het hele bedrijf lamlegt. Die complexiteit overstijgt de eenzame IT’er, en zelfs veel CIO’s van grotere bedrijven.”
Noodscenario’s uitwerken én testen
Voorkomen is altijd beter dan genezen, benadrukt Lepez. “Je moet het de cybercriminelen natuurlijk zo moeilijk mogelijk maken. Dat gaat van voor de hand liggende zaken, zoals two factor authentification, tot meer complexe afweersystemen. Maar 100 procent cyberveiligheid is een illusie. Daarom moet je ook back-ups – op verschillende locaties, online én offline – en behandelplannen achter de hand hebben om data zo snel mogelijk te recupereren. Nog voor je medewerkers, je klanten of leveranciers een aanval opmerken. Je moet die noodscenario’s ook regelmatig testen, medicijnen hebben ook een vervaldatum en blijven ook niet eeuwig doeltreffend.”
“Gelukkig helpt technologie om niet alleen de cybercriminelen, maar ook ondernemingen zoals de onze om bedrijven te verdedigen tegen die cybercriminelen. Artificiële intelligentie zal bijvoorbeeld steeds doeltreffender aanvallen detecteren, en automatisch de gepaste maatregelen nemen om te anticiperen. Dat zouden ondernemingen ook meer moeten doen: anticiperen. Niet wachten tot ze het slachtoffer zijn van een cyberaanval om de gepaste maatregelen te nemen.”
Wil jij weten de security van jouw bedrijf evalueren? Doe dan gratis de securityscan via deze link.