Volgens BDO is één op de zes bedrijfs- en overheidswebsites momenteel kwetsbaar. Sinds vorig jaar, toen het nog om een vijfde ging, was er dus maar een lichte verbetering. De onderzoekers zien echter geen enkele reden tot euforie. 'De studie toont aan dat onze bedrijven en overheden het afgelopen jaar ter plaatse zijn blijven trappelen op het vlak van beveiliging, terwijl cybercriminaliteit professioneler wordt en cyberaanvallen alleen maar toenemen', luidt het.

Naar recente Belgische voorbeelden hoeft niet ver te worden gezocht. Denk maar aan het leger dat plots geen e-mails meer kon versturen, het internetverkeer van de hogescholen en universiteiten dat plat lag en - amper tien dagen geleden nog - hackers die aan de haal gingen met gegevens van het Rode Kruis.

Omleiden naar valse sites

Zo heeft twee derde van de websites een slecht geconfigureerde beveiliging van de domeinnaam, tegenover een kwart in 2021. 'Wie zijn domeinnaam niet beveiligt, laat hackers toe om websitebezoekers om te leiden naar valse websites die mensen informatie of geld afhandig maken', duidt Nick Huysmans, cyberbeveiligingsexpert bij BDO.

Een op de zes websites heeft ook geen HTTPS-verbinding, waardoor informatie onbeveiligd wordt uitgewisseld. Bovendien gebruikt een derde van de beveiligde websites verouderde protocollen, zoals TLS en FTP, die kwetsbaarder zijn. Huysmans over die bevindingen: 'Wie vandaag nog TLS- en FTP-protocollen gebruikt op z'n website, zet eigenlijk gewoon de achterdeur van z'n huis open. En zonder veilige HTTPS-verbinding laat je hackers gewoon meelezen wat je op een website achterlaat: van je gsm-nummer tot je wachtwoord'.

Beangstigend

'We vinden het beangstigend om vast te stellen dat er geen positieve evolutie is van de veiligheid van de bedrijfs- en overheidswebsites in ons land. In veiligheidstermen is stilstaan hetzelfde als achteruitgaan', zegt Francis Oostvogels, die ook als cyberbeveiligingsexpert bij BDO aan de slag is. 'De frequentie van cyberaanvallen neemt toe en hackers misbruiken kwetsbaarheden in software sneller dan ooit.'

Het Verbond van Belgische Ondernemingen (VBO) erkent de problematiek. 'Te veel kleine en middelgrote ondernemingen investeren traag in hun IT-beveiliging en zijn zeer kwetsbaar voor cyberaanvallen. In slechts een kwart van deze bedrijven worden de data beschermd door een professional, IT-specialist of externe dienstverlener. Bijna drie op vier kmo's vertrouwt IT-beveiliging toe aan hun manager of... aan niemand', zegt Nathalie Ragheno, Bestuurder Cyber van VBO. Zij meent dan ook dat elk bedrijf een actieplan of procedure zou moeten hebben voor het geval zich een incident voordoet.

Volgens BDO is één op de zes bedrijfs- en overheidswebsites momenteel kwetsbaar. Sinds vorig jaar, toen het nog om een vijfde ging, was er dus maar een lichte verbetering. De onderzoekers zien echter geen enkele reden tot euforie. 'De studie toont aan dat onze bedrijven en overheden het afgelopen jaar ter plaatse zijn blijven trappelen op het vlak van beveiliging, terwijl cybercriminaliteit professioneler wordt en cyberaanvallen alleen maar toenemen', luidt het.Naar recente Belgische voorbeelden hoeft niet ver te worden gezocht. Denk maar aan het leger dat plots geen e-mails meer kon versturen, het internetverkeer van de hogescholen en universiteiten dat plat lag en - amper tien dagen geleden nog - hackers die aan de haal gingen met gegevens van het Rode Kruis.Zo heeft twee derde van de websites een slecht geconfigureerde beveiliging van de domeinnaam, tegenover een kwart in 2021. 'Wie zijn domeinnaam niet beveiligt, laat hackers toe om websitebezoekers om te leiden naar valse websites die mensen informatie of geld afhandig maken', duidt Nick Huysmans, cyberbeveiligingsexpert bij BDO.Een op de zes websites heeft ook geen HTTPS-verbinding, waardoor informatie onbeveiligd wordt uitgewisseld. Bovendien gebruikt een derde van de beveiligde websites verouderde protocollen, zoals TLS en FTP, die kwetsbaarder zijn. Huysmans over die bevindingen: 'Wie vandaag nog TLS- en FTP-protocollen gebruikt op z'n website, zet eigenlijk gewoon de achterdeur van z'n huis open. En zonder veilige HTTPS-verbinding laat je hackers gewoon meelezen wat je op een website achterlaat: van je gsm-nummer tot je wachtwoord'.'We vinden het beangstigend om vast te stellen dat er geen positieve evolutie is van de veiligheid van de bedrijfs- en overheidswebsites in ons land. In veiligheidstermen is stilstaan hetzelfde als achteruitgaan', zegt Francis Oostvogels, die ook als cyberbeveiligingsexpert bij BDO aan de slag is. 'De frequentie van cyberaanvallen neemt toe en hackers misbruiken kwetsbaarheden in software sneller dan ooit.'Het Verbond van Belgische Ondernemingen (VBO) erkent de problematiek. 'Te veel kleine en middelgrote ondernemingen investeren traag in hun IT-beveiliging en zijn zeer kwetsbaar voor cyberaanvallen. In slechts een kwart van deze bedrijven worden de data beschermd door een professional, IT-specialist of externe dienstverlener. Bijna drie op vier kmo's vertrouwt IT-beveiliging toe aan hun manager of... aan niemand', zegt Nathalie Ragheno, Bestuurder Cyber van VBO. Zij meent dan ook dat elk bedrijf een actieplan of procedure zou moeten hebben voor het geval zich een incident voordoet.