Size does not matter: niet alleen grote bedrijven worden slachtoffer van cyberaanvallen

Het aantal cyberaanvallen blijft toenemen. Diverse rapporten melden een jaarlijkse stijging met 20% van het aantal incidenten. Hoewel hacks en ransomware aanvallen bij grote bedrijven de meeste aandacht trekken, blijven ook kleine en middelgrote ondernemingen niet buiten schot. “Does size matter?” Met die – en vele andere – vragen trokken we naar Fons Quidousse, technical cybersecurity & network consultant bij Simac.

In een onderzoek van Accenture lezen we dat 43% van de cyberaanvallen gericht is tegen kleine en middelgrote ondernemingen. Is dat een cijfer dat je verwondert? 
Fons: Op zich verbaast het me niet. Niet alle hackers hebben dezelfde manier van werken. Sommigen voeren precisieaanvallen uit op één doelwit, anderen schieten lukraak naar een groot aantal doelwitten in de hoop een aantal keer raak te treffen. Uiteindelijk boeken ze wellicht allebei hetzelfde resultaat, financieel gezien. Als we op Belgisch niveau kijken, vallen wellicht alle bedrijven onder de noemer van klein en middelgroot. En effectief, de Belgische bedrijven blijven ook niet gespaard van cyberterreur. 

Betere beveiliging bij grote bedrijven

Denk je dat grotere bedrijven beter beschermd zijn tegen aanvallen?
Fons: Ze hebben niet veel keuze, denk ik. Hoewel iedereen een target kan zijn, zijn grote bedrijven er zich meer van bewust dat ze een in het oog springend doelwit zijn. Dus zullen ze zich beter indekken tegen aanvallen. Zij zijn ook eerder geneigd om bijvoorbeeld een verzekering aan te gaan tegen cyberaanvallen. Dat heeft een versterkend effect, want verzekeringsmaatschappijen sluiten niet zomaar een polis af. Ze zullen garanties eisen dat de beveiliging helemaal op orde is en het risico minimaal. Verder werken grote ondernemingen vaker samen met andere bedrijven die vanuit het oogpunt van ISO-certificering bepaalde eisen stellen. En ook overheden scherpen de beveiliging aan. Zo breidt de NIS 2 directieve van de Europese Gemeenschap het aantal sectoren uit die moeten voldoen aan een aantal minimum vereisten inzake cybersecurity. Nieuw op die lijst zijn onder meer overheidsadministraties, post- en pakjesdiensten, manufacturing…. 

Kleinere ondernemingen voelen die verplichtingen minder, op welk vlak zijn ze minder beschermd
Fons: Een organisatie is maar zo sterk als zijn IT-afdeling als het op beveiliging aankomt. Kleinere ondernemingen hebben minder IT’ers in dienst die zich kunnen specialiseren. Als zij er te weinig aandacht aan besteden, dan zal ook de rest van de organisatie zich geen zorgen maken. Volgens mij is onwetendheid de grootste vijand van een afdoende beveiliging. Vaak komt het bewustzijn pas eens er een inbraak geweest is, als het zweet over ieders rug rolt omdat de boel platligt. Je wenst het niemand toe, maar iedere aanval is een goede promotie om iets aan de beveiliging te doen.

In de praktijk merk ik dat bedrijven vaak denken “het werkt allemaal, dus we blijven er af”. Maar dat het werkt, betekent niet dat het op een veilige manier gebeurt. Zijn de laatste patches geïnstalleerd? Is alles up-to-date? 

Voor wie zijn de gevolgen van een cyberaanval het grootste? Voor grote bedrijven of voor kleine
Fons: Grote bedrijven zullen wel beter bestand zijn tegen een aanval en de gevolgen daarvan. Zij kunnen eerder tegen een stoot dan een kleinere onderneming. Stel je voor dat een startup vijf jaar aan ontwikkelingsdata gewist ziet worden. Dan is het boeken toe, vrees ik. 

Vergeet ook niet dat kleine bedrijven soms aangevallen worden om een hacker toegang te verschaffen tot een grotere onderneming. Dat soort ‘supply chain attacks’ komt steeds vaker voor. Vandaar dat bedrijven van hun toeleveranciers eisen dat ze een compliancy check uitvoeren. 

Hoe haalt een bedrijf het Olympisch minimum aan beveiliging?

Waar moet je beginnen met de beveiliging?
Fons: Dat is inderdaad meestal de eerste vraag die ik stel aan prospecten: wat wil je precies beveiligen? Weet je wat je allemaal staan hebt in je bedrijf? Daar gebruiken we tools voor die ontdekken welke endpoints er zoal in gebruik zijn bij een bedrijf. Cisco Identity Service Engine (ISE) of FortiNAC bezorgen je een overzicht van de geconnecteerde devices op je netwerk, waarna je met de tools van Tenable, Rapd7, Outpost24 of anderen een vulnerability scan kan uitvoeren. Dan merken we snel welke onderdelen van de infrastructuur kwetsbaar zijn, welke het meeste kritisch zijn en we dus het snelste moeten aanpakken… Dan kan je snel grote stappen zetten. 

Wat zijn de minimale stappen die een KMO moet zetten om toch een beetje beschermd te zijn?
Fons: Ik denk daarbij meteen aan drie zaken waar een KMO baat bij zal hebben. User awareness is een hele belangrijke. Bedrijven moeten hun medewerkers echt opleiden en bewust maken van de gevaren. Dat kan bijvoorbeeld door regelmatig een test uit te voeren met phishing mails zodat gebruikers merken hoe makkelijk het is om in die val te trappen. Na een paar waarschuwingen gaan ze wel beter opletten. Ten tweede is ook mail security een must. Zelfs als iedereen op zijn hoede is, zal er toch wel nog iemand op een verkeerde link klikken. Met goede mail security kan je al heel wat kwaadwillende mails uitfilteren. En ten derde is er de web security, zodat er een vorm van web filtering en DNS security is. Zo kunnen ‘malicious’ sites meteen geblokkeerd worden. Dat zijn voor veel organisaties al drie belangrijke stappen die onheil kunnen voorkomen.

Kunnen kleine organisaties dat zelf doen?
Fons: Ook dat hangt weer af van de omvang en het specialisatieniveau van hun IT-afdeling. Natuurlijk speelt daarin mee dat securityspecialisten zeldzaam en dus ook duur zijn. Niet iedereen slaagt erin deze profielen aan te trekken. In dat opzicht is het absoluut de overweging waard om een externe specialist in te huren die voor managed securityservices zorgt. Simac biedt heel wat dergelijke diensten aan, uitgevoerd door specialisten die terug kunnen vallen op hun eigen kennis, de best practices van de markt en producten van A-merken zoals Cisco en Fortinet. 

Wil u zich goed beveiligen? Contacteer dan Fons Quidousse.