Logo
Tijd Connect biedt organisaties toegang tot het netwerk van De Tijd. De partners zijn verantwoordelijk voor de inhoud.

‘Hackers mikken op de zwakste schakel in een bedrijf: de mens'

Chris Verdonck ©Deloitte

We worden steeds meer afhankelijk van internet. We kopen online, we lezen de krant online en bewaken onze gezondheid online. Die digitalisering brengt gigantische opportuniteiten mee, maar heeft ook een schaduwkant: het groeiende gevaar van cybercriminaliteit. ‘Hackers gaan steeds professioneler te werk, dus we moeten ze ook professioneler bestrijden’, zegt Chris Verdonck van Deloitte.

Met zijn bewustwordingscampagne Tomorrow is Today, wil Deloitte bedrijfsleiders en managers wijzen op de mogelijkheden van de exponentiële groei aan innovaties. Maar de consultant waarschuwt dat er ook risico’s verbonden zijn aan de groeiende hyper-geconnecteerde wereld. ‘We leven in een informatiemaatschappij’, zegt Chris Verdonck, Partner en Cyber leader bij Deloitte. ‘Cyber Security, de bescherming van die gegevens, maakt daar inherent deel van uit.’

Steeds meer bedrijven bouwen hun business rond data. Banken kunnen dankzij de gegevens van hun klanten een geïndividualiseerde en betere dienstverlening aanbieden. Socialemediabedrijven kunnen hun applicaties gratis aanbieden, omdat ze de informatie van hun gebruikers kunnen monetariseren. En uw dokter kan u beter helpen omdat de fichebakken zijn vervangen door geïntegreerde, digitale medische dossiers. ‘Data is waardevol en kan in de verkeerde handen terechtkomen. Daarom moeten bedrijven de gegevens als een goede huisvader beschermen’, zegt Verdonck.

Een van de bekendste incidenten rond privacy en cyberveiligheid in België is het datalek bij vervoersmaatschappij NMBS in 2012. Postadressen, e-mails en telefoonnummers van 700.000 klanten stonden maandenlang onbeveiligd op internet. Het voorval bracht een schokgolf aan reacties op gang in België. In de drie maanden na het incident liepen bij de Privacycommissie meer dan 2.600 vragen en klachten binnen, zowat evenveel als in het volledige jaar 2012. De spoorwegen ondernamen meteen actie. ‘Vandaag staan we al een hele stap verder’, zegt chief information security officer Tim Groenwals. ‘Er is een strategie en een besef tot op het hoogste niveau dat cyberveiligheid een prioriteit moet zijn.’

Hoe moeten we ons die bedreiging eigenlijk voorstellen? En wie zijn de hackers? ‘Cybercriminaliteit is de afgelopen jaren sterk geprofessionaliseerd’, aldus Verdonck. ‘Was de bedreiging vroeger nog een simpel virus, dan is die vandaag geëvolueerd naar een zogenoemde ‘advanced persistent threat’: hackers die lange tijd ongemerkt inbreken in een systeem. De cybercriminelen nemen zo de tijd om diep in het bedrijf door te dringen en daar in alle rust informatie te zoeken die hen iets kan opleveren.’

Phishing

Een andere veelvoorkomende bedreiging is phishing, een vorm van internetfraude waarbij mensen worden opgelicht door ze naar een valse website te lokken, waar ze nietsvermoedend persoonlijke gegevens invullen. Dat kan een kredietkaartnummer zijn, een loginnaam of wachtwoord. De cybercrimineel kan vervolgens met die gegevens geld of waardevolle informatie stelen. Ook identiteitsdiefstal, een vorm van fraude waarbij de hacker iemands persoonlijke gegevens gebruikt om bijvoorbeeld een lening af te sluiten, komt steeds meer voor.

‘Het is onmogelijk om een gezicht te kleven op de hackers, het gaat om een grote en diverse groep’, zegt Verdonck. ‘Huis-tuin-en-keukencriminelen, criminele organisaties, sociale of ecologische activisten, een misnoegde ex-werknemer of zelfs overheden. Allemaal hebben ze andere motieven om hun doel in de gedigitaliseerde wereld te bereiken.’

Hoe kan een bedrijf zich wapenen tegen deze nieuwe bedreigingen? ‘Eerst en vooral is het belangrijk om professionele hulp in te schakelen’, zegt Verdonck. ‘Voor een hartprobleem stap je toch ook naar een hartchirurg? En informatie is echt wel het hart van een bedrijf.’ Samen met de consultant wordt onderzocht welke informatie de waarde draagt van het bedrijf. Dat kunnen strategische en financiële gegevens zijn, maar ook intellectuele eigendom of klanteninformatie. ‘Vervolgens gaan we kijken hoe en voor wie die informatie toegankelijk wordt gemaakt om de risico’s in te schatten.’

Relevante cyberdreiging

De aard van het risico verschilt al naargelang het bedrijf. Neem bijvoorbeeld BNP Paribas Fortis, de grootste Belgische bank. BNP is volop bezig met mobiel bankieren. ‘De beveiliging van transacties wordt complexer’, zegt Jan De Blauwe, Chief Information Security Officer bij BNP Paribas Fortis . ‘Je bankrekening mobiel consulteren vraagt niet dezelfde veiligheidsvereisten als geld overschrijven naar een nieuwe begunstigde in het buitenland. Daardoor ontstaan er steeds meer diverse methodes voor authenticatie.’ Een klant wil geen kaartlezer gebruiken telkens hij met zijn smartphone een aankoop doet. Gelukkig opent de technologie daar nieuwe mogelijkheden. ‘Kijk naar de nieuwste iPhone, die werkt met een sensor die je vingerafdruk gebruikt. Waarom zouden we die ook niet inzetten voor de beveiliging van mobiel bankieren?’

‘Het is onmogelijk om een gezicht te kleven op hackers, soms is de cybercrimineel een misnoegde ex-werknemer, soms hoort hij bij een criminele organisatie.’
Chris Verdonck
partner bij Deloitte

Voor een bedrijf als Agfa klinkt de risicoanalyse en de bijhorende aanpak helemaal anders. Agfa Healthcare levert elektronica en software aan ziekenhuizen en artsen, onder meer voor medische beeldvorming en elektronische patiëntendossiers. Digitale criminelen zijn vaak uit op patiëntengegevens, om die bijvoorbeeld te gebruiken voor fraude in de ziekteverzekering. ‘Om een idee te geven: op de internationale zwarte markt zijn de gegevens van een kredietkaart 1 dollar waard. Een patiëntendossier is 50 dollar waard’, vertelt Geert Claeys, technology manager bij Agfa Healthcare. Daarom ontwikkelde Agfa een reeks beveiligingsmechanismes voor zijn producten, processen en IT-infrastructuur. Maar het grootste risico zit bij de klanten, de hele keten van gebruikers. ‘Het systeem van Agfa draait op de netwerken en computers van ziekenhuizen en dokters.  Het komt er op aan iedereen in de keten te sensibiliseren, zodat hun infrastructuur ook veilig is’, aldus Claeys.

‘De hacker gaat steeds op zoek naar de zwakste schakel in een systeem. Meestal is dat de mens’, zegt Verdonck. ‘Werknemers die hun pc in de auto laten liggen, klanten die ingaan op phishingberichten of werknemers met een te gemakkelijk wachtwoord.’ Precies daarom is een algemene sensibilisering zo belangrijk. Een van de technieken om sensibilisering te creëren die Deloitte bij zijn klanten gebruikt, is een valse e-mail sturen naar de werknemers van een bedrijf. Enkele schoonheidsfoutjes moeten weggeven dat het om een mogelijk geval van phishing gaat. De werknemers die toch op de link klikken, belanden op een website met een training in cyberveiligheid. ‘Een structuur kun je beschermen met technologie, maar bij een mens ligt dat moeilijker. Campagnes als deze helpen bedrijven en hun werknemers om bewuster om te gaan met digitale gegevens’, besluit Verdonck.

Is uw bedrijf klaar voor de toekomst? Lees meer.

Logo
Tijd Connect biedt organisaties toegang tot het netwerk van De Tijd. De partners zijn verantwoordelijk voor de inhoud.