Kmo’s krijgen steeds vaker te maken met cyberaanvallen. Nochtans is het, ook voor hen, niet zo moeilijk om hun systemen veilig te houden, zeggen de analisten van Fox&Fish.
Ondanks nieuwsberichten van de occasionele gigantische dataroof of aanval met ransomware bij een wereldwijd bedrijf, zijn de meeste slachtoffers van cybercrime over het algemeen de kleine bedrijven. Zij zijn dan ook degenen die meestal het ergst achterlopen met cybersecuritymaatregelen, zij het door een gebrek aan kennis of budget.
‘Kleinere bedrijven hebben vaak niet eens door dat ze slachtoffer zijn’, zegt Mathias Vissers, CEO van securitybedrijf Fox&Fish. De start-up specialiseert zich in (cybersecurity)-audits en training voor kleine (en grotere) bedrijven. ‘Te veel kmo’s hebben een vals gevoel van veiligheid. Ze nemen een IT-leverancier onder de arm en vertrouwen erop dat die het nodige doet, maar security is wel een complex vak. De kous is niet af met het installeren van een firewall; die moet ook geconfigureerd worden en regelmatig een update krijgen, bijvoorbeeld, en dat wordt niet altijd voorzien.’
U kan zich misschien afvragen wie de lokale kruidenier gaat aanvallen als, pakweg, Sony bestaat, maar klein zijn betekent spijtig genoeg niet dat u geen doelwit bent. ‘Je hoeft geen interessant doelwit te zijn, je moet alleen kwetsbaar zijn’, zegt Reinaert Van de Cruys, security-analyst en medeoprichter van Fox&Fish daarover. ‘Hackers zijn lui, zij automatiseren alles. Steeds vaker gaan ze een groot visnet uitgooien en bijvoorbeeld een hele reeks wachtwoorden via AI proberen tot ze ergens binnenkomen. Wie achter dat domein zit, doet er niet toe.’
‘Je hebt 2FA nodig omdat je medewerkers niet kunt dwingen om een goed wachtwoord te kiezen’
Admin123
De eerste stappen tot een veiliger bedrijf zijn nochtans niet zo ingewikkeld. Van de Cruys merkt op dat nogal wat bedrijven laaghangend fruit hebben, beveiligingsrisico’s die vrij makkelijk kunnen worden weggewerkt. Bijvoorbeeld die standaard wachtwoorden. ‘Bij een audit gaan we scannen op gekende wachtwoorden, en die werken vaak. Denk aan printers die standaard het wachtwoord ‘admin123’ gebruiken. Van daar uit kan een aanvaller dan naar de rest van het netwerk doorschuiven. Maar je kan ook naar lijsten met gelekte of de meest gebruikte wachtwoorden gaan kijken. Heel standaard dingen die je kan aanpassen.’
Nog eentje? Meerstapsverificatie. ‘Die heb je nodig omdat je medewerkers niet kunt dwingen om een goed wachtwoord te kiezen’, zegt Van de Cruys. Hij wijst op een reeks aanbevelingen, van het Europese niveau tot de Belgische overheid, voor bedrijven die al dan niet onder de NIS2-regelgeving voor security vallen. ‘Het kortste document van het Belgische Centre for Cybersecurity bevat maar zeven stappen, en dat begint met meerstapsverificatie. Voor alles wat aan het internet hangt’, zegt Van de Cruys.
Wat staat daar verder op? Zorg dat al uw security-updates zo snel mogelijk geïnstalleerd geraken, installeer antivirussoftware, beveilig uw netwerk, voorzie back-ups, segmenteer uw systemen en zorg ervoor dat niet iedereen zomaar administratorrechten krijgt. De ‘basics’, quoi.
‘Je merkt dat veel kmo’s met het beheer van hun software-updates wat achterlopen, waardoor hun software kwetsbaar is. Ze doen ook geen awareness training, waardoor de medewerkers makkelijker om de tuin te leiden zijn. Geen awareness, geen software updates, en geen tweestapsverificatie. Dat kom ik dagelijks tegen in mijn pentests, zo kom ik bijna altijd binnen’, aldus Reinaert Van de Cruys.
Vraag is dan wel of u met die basics ver komt in een steeds veranderend securitylandschap. ‘Je hoeft je niet tegen elke nieuwe ransomwaregroep te verdedigen,’ zegt Vissers, ‘zolang je maar beschermd bent tegen dat grote geautomatiseerde visnet.’
‘99% van de hackers wil winst maken, dus het moet niet onmogelijk zijn om te hacken, maar het moet oneconomisch zijn’, voegt Van de Cruys toe. ‘Natuurlijk, als de Chinese overheid komt met tien miljard budget, dan gaat die wel binnen geraken, maar dat doet die waarschijnlijk niet. Je moet je vooral proportioneel beveiligen. Met goeie training, met meerstapsverificatie en die basisstappen kom je al een heel eind als kmo.’
Hoe staat het met de beveiliging van kmo’s in ons land?
Er is alvast een zekere verbetering tegenover de voorbije jaren, zo moet blijken uit metingen van de CyberSecurity barometer. Het aantal (Vlaamse) bedrijven dat in 2023 verschillende maatregelen trof om hun cybersecurity te verbeteren, is namelijk sterk gestegen tegenover een jaar eerder.
In totaal past 94,8% van de Vlaamse onderzochte bedrijven een of meer beveiligingsmaatregelen toe. Een kleine minderheid (5,2%) heeft er helemaal geen. Tools als ICT-veiligheidsanalyse (49,7%), ICT-veiligheidstesten (43,7%), encryptietechnieken (33,3%) en biometrische authenticatietechnieken (28,0%), beginnen ingang te krijgen, maar zijn vooralsnog in minder dan de helft van de bedrijven aanwezig, zo schrijft het Vlaamse departement Economie, Wetenschap en Innovatie in haar jaarlijkse rapport.
Fout opgemerkt of meer nieuws? Meld het hier