Als het goed is, zeggen we het ook: België behoort tot de Europese top op het vlak van cybersecurity. Belgische bedrijven zien meer en meer in dat een goede IT-beveiliging geen rem op groei hoeft te zijn.
Trouwens, zeg niet cybersecurity, zeg cyber resilience. De term is al een tijdje in opmars en geeft goed het veranderende sentiment weer. Het gaat om meer dan beveiliging alleen, minstens even belangrijk is dat u na een incident zo snel mogelijk weer opveert. Met een programma rond cyber resilience lokten ADM en MIT Club ruim 150 CIO’s en CISO’s naar de Koninklijke Belgische Voetbalbond in Tubeke. Om maar te zeggen: het onderwerp blijft tot nader order hoog op de agenda.
Net als roken
Miguel De Bruycker, directeur-generaal van het Centre for Cybersecurity Belgium (CCB), bracht het goede nieuws. België behoort op het vlak van cybersecurity tot de beste leerlingen van de Europese klas. En ook op de internationale NCSI-rangschikking (National Cybersecurity Index) staat België wereldwijd in de top drie. Toch blijft er ruimte voor verbetering, want cybercriminaliteit blijft toenemen. Een eenvoudige oplossing kan nochtans veel miserie voorkomen: meerstapsverificatie (MFA).
‘Onveilig online gedrag is zoals roken’, zegt De Bruycker. ‘Mensen weten dat er risico’s aan verbonden zijn, maar blijven het doen.’ Uit een enquête van het CCB blijkt dat 80% van de Belgen weet wat MFA is en wat het doet. En toch: maar 53% past het toe. ‘Dat zien we ook in de bedrijfswereld. Er is altijd wel iemand die MFA niet nodig vindt.’ Maar net die ene persoon vormt zo de zwakke plek die hackers zoeken.
De VAR kijkt mee
‘Wij beheren heel wat gevoelige data, zoals videoanalyse van wedstrijden en gegevens over de individuele prestaties van de Rode Duivels’, zegt Arnaud Lieutenant, CIO bij de Koninklijke Belgische Voetbalbond. Ongeoorloofde toegang tot die data zou een grote impact kunnen hebben, bijvoorbeeld op de strategie van een tegenstander. Maar evengoed kan de Voetbalbond niet zonder technologie voor zijn dagelijkse werking. In zijn systemen beheert de bond de gegevens van 550.000 leden, aangesloten bij 3.600 clubs: goed voor een klein half miljoen wedstrijden per seizoen.
België behoort op het vlak van cybersecurity tot de beste leerlingen van de Europese klas
Vanuit het hoofdkwartier in Tubeke staat de bond bovendien in voor de VAR (Video Assistant Referee) tijdens wedstrijden in de hoogste klasse. ‘De VAR helpt de scheidsrechter de juiste beslissing te nemen’, zegt CISO Kurt Baetens. ‘De communicatie tussen de VAR en het veld moet perfect beveiligd zijn.’ Want stel je voor dat een hacker de verbinding overneemt en de scheidsrechter andere, deepfake beelden toont… Zelfs de illusie van manipulatie bij de VAR – ook al blijkt het niet zo – zou tot een vertrouwenscrisis leiden. Maar Baetens stelt gerust: ‘Er ligt een plan klaar voor wanneer het fout zou gaan.’
Inzetten op weerbaarheid
Veiligheid vraagt een continue inspanning, dat is intussen wel duidelijk. Maar cybersecurity alleen – de eigenlijke beveiliging – volstaat niet meer. ‘Bedrijven zetten al veel in op security, maar nog te weinig op resilience’, stelt Raf Peeters, VP Cybersecurity & Cloud bij Proximus NXT. ‘Terwijl net die weerbaarheid belangrijk is. Bij een incident wil je niet ten prooi vallen aan paniek, maar zo snel mogelijk weer opveren.’
Dat daar extra geld voor nodig is – en dat het op zich eigenlijk nooit genoeg is – blijft een moeilijke boodschap voor de raad van bestuur. ‘Dat is zo’, zegt Johan Guelluy, CIO bij Acerta. ‘Maar als je transparant bent over wat absoluut non-negotiable is, dan gaat de directie daar ook in mee.’ Voor het bedrijf gaat het er immers om een afweging te maken. ‘Veiligheid is de balans tussen risico en budget’, zegt Luc Verhelst, erevoorzitter bij MIT-Club. ‘De CEO beslist welke balans aanvaardbaar is.’
‘Dat vraagstuk start trouwens niet vanuit de technologie’, stelt Bart Asnot, National Security Officer bij Microsoft België. ‘Het gaat erom welk risico acceptabel is voor je innovatie.’ Een belangrijke kanttekening daarbij is dat de cultuur op het vlak van security niet even snel mee evolueert met die innovatie. ‘Het misbruik blijft toenemen’, vervolgt hij. ‘En de gebruiker blijft voor de hacker de beste optie om iets te proberen. Want bij innovatie is er nog altijd te weinig aandacht voor de user experience.’
Geen paniek
Loopt het fout, dan komt het erop aan zo snel mogelijk in actie te treden. ‘Een cybercrisis is een leiderschapscrisis’, zegt Marc Vael, Chief Digital Trust Officer bij Esko. ‘Het gaat niet om een event of een incident, maar om iets dat IT ver overstijgt.’ Toch kijkt het hele bedrijf al snel naar de CIO. Die kan dus maar beter voorbereid zijn. ‘Een goede CIO panikeert niet. De CIO is bij een cybercrisis de dirigent die aangeeft wat er moet gebeuren.’ De eerste 24 uur zijn daarbij cruciaal, om te achterhalen waar de problemen begonnen, wie ze opmerkte, enzovoort.
De dirigent zet een war room op en activeert het crisismanagementplan. ‘Maar dan moet zo’n plan natuurlijk wel klaar liggen’, merkt Vael op, ‘met workflows voor verschillende scenario’s. Zo beperk je de improvisatie.’ Met name communicatie blijkt keer op keer heel belangrijk. ‘Zorg voor een interne hotline, waar medewerkers terecht kunnen met hun vragen. Maar voorzie evengoed een extern aanspreekpunt voor klanten, leveranciers en overheidsdiensten. Ook dat bereid je best voor, zodat je op het moment zelf niet moet uitzoeken hoe je zo’n lijn opzet.’
Lessen trekken
Belangrijk is uiteraard om de schade te stoppen en tegelijk bewijsmateriaal te verzamelen. ‘Meld de crisis bij het CCB en activeer je cyberverzekering’, adviseert Marc Vael. En nogmaals: blijf koelbloedig. ‘Alle kabels uittrekken en servers uitzetten? Dat is niet altijd de beste oplossing.’ Snel een back-up terugzetten, dan maar? ‘Ben je wel zeker dat het een correcte back-up is? Wil je die wel neerzetten op dezelfde servers?’ En zo zijn er nog vraagstukken waarover bij voorkeur vooraf al is beslist. ‘Meer tools leiden niet noodzakelijk tot een snellere oplossing. Meer loggen? Mogelijk maak je zo alleen de hooiberg groter, zonder garantie dat je meer naalden vindt.’
Een cybercrisis is een leiderschapscrisis, iets dat de IT-afdeling ver overstijgt
Minstens even belangrijk is om, eenmaal de crisis voorbij, er lessen uit te trekken. ‘Lees de auditrapporten en pas de verbeterpunten doe’, zegt Vael. ‘Niet alleen de passages die in het rood staan aangeduid, maar ook die in het paars: die waar je als bedrijf echt het zwakst scoort.’ Een deel van de oplossing bestaat er ook in de risico’s te spreiden. Dat toonde de crisis met CrowdStrike in juli 2024 aan. Bedrijven die ook een andere securitytechnologie gebruikten, bleven in de lucht. Wie alles op die ene oplossing had geconsolideerd, ging onherroepelijk volledig onderuit.
En wat bij een aanval met ransomware? Betaalt u het losgeld of niet? ‘Betalen is geen goede optie’, stelt Marc Vael. ‘Amper 20% van de bedrijven die betaalden, kregen hun data volledig terug. Betalen is ook helemaal niet nodig, zo lang je goed voorbereid bent.’ Dat doe je bijvoorbeeld met de 3-2-1-regel: drie back-ups, op twee verschillende technologieën, waarvan één kopie off-site, die je alle drie regelmatig test.
Meer dan wafels en chocolade
Kan AI helpen om het niveau van security en resilience te verhogen? Toch wel, aangezien AI helpt om incidenten sneller op te sporen en aan te pakken. En ook de wetgever draagt bij, met regels die aanzetten tot meer inspanningen rond cybersecurity. ‘Die wetgeving is echt wel nodig’, zegt Raf Peeters. ‘Er komt inderdaad wel veel werk bij kijken, maar dat moet nu eenmaal gebeuren.’ Dat België als eerste EU-land NIS2 doorvoerde, is daarbij een opsteker. ‘We zouden België nog meer moeten positioneren als een land dat inzet op veiligheid’, besluit Raf Peeters, ‘zodat de wereld ons niet alleen associeert met wafels en chocolade, maar ook met cybersecurity.’