De Europese wetgeving rond cybersecurity implementeren in België, daarvoor moet je bij Karl Dobbelaere zijn, policy advisor bij het Centrum voor Cybersecurity België. Het CCB is de nationale cyberautoriteit die initiatieven coördineert en bewustzijn vergroot bij burgers en bedrijven.
Hoe is het met ons bewustzijn over cybersecurity gesteld?
“Mensen weten dat de cyberdreiging steeds toeneemt.” Regelmatig verschijnen verhalen in de media van overheden en bedrijven die het slachtoffer werden van een cyberaanval, en daardoor een tijdje niet operationeel waren. Alleen, dat bewustzijn is een stap, geen doel op zich. Het helpt om de nodige middelen vrij te maken, maar dan moet je daarmee ook actie ondernemen om aanvallen te voorkomen.”
Dat wordt steeds moeilijker.
“Aanvallen worden almaar gesofisticeerder. Aan de hand van social engineering voeren cybercriminelen onderzoek naar wie ze kunnen aanvallen om bij een organisatie binnen te raken. Met informatie die niet altijd publiek is, stellen ze gepersonaliseerde e-mails op, die moeilijk als phishing te herkennen zijn. Zo kan iedereen het slachtoffer worden van een cyberaanval.”
Dankzij social engineering worden aanvallen steeds gesofisticeerder.
Een risico dat te dekken valt met een goede cyberverzekering?
“Je hoort vaker: ‘Er is een risico, daar moeten we ons voor verzekeren, en ons verder niet veel van aantrekken. Als er iets gebeurt, is er nog de compensatie.’ Maar als je bedrijf een tijdlang met pen en papier moet werken omdat de servers gehackt zijn, kom je met die vergoeding niet ver. De risico’s en kosten van cyberaanvallen zijn zo groot, dat je trouwens alleen een verzekering krijgt wanneer je de nodige maatregelen hebt genomen.”
Zijn accountants kwetsbaarder voor cyberaanvallen?
“Alle vertrouwelijke gegevens die geld waard zijn en die je kan gebruiken om een slachtoffer onder druk te zetten, zijn interessant voor cybercriminelen.”
Klantgegevens zijn typisch zaken die accountants liever niet op straat zien verschijnen.
“Daarnaast worden grote organisaties moeilijkere doelwitten, dus speuren cybercriminelen het netwerk af naar kleinere, kwetsbaardere organisaties zoals advocaten-, notaris- of accountancykantoren.”
Voor welke cyberaanvallen moeten accountants zich dan behoeden?
“Ik zie drie types aanvallen. Ten eerste is er de factuurfraude. De persoon die de betalingen doet, krijgt een e-mail in naam van de directeur met een dringend verzoek om een factuur te betalen, en schrijft het bedrag over naar een rekening die helemaal niet van een leverancier is. Zulke betalingen zijn in de praktijk heel moeilijk te recupereren. Daarnaast is er phishing. Ook dan krijg je een mail, maar klik je op een link naar een valse bankingwebsite waar je je geheime codes ingeeft. Zo krijgt de fraudeur toegang tot de betalingen, en schrijft die naar hartenlust zelf geld over.”
Dan was er nog een derde type.
“Da’s de ransomware, waarmee een hacker het systeem binnendringt. Die kan dat gegevens versleutelen of stelen, waarna je een gijzelbedrag of ransom, vaak in bitcoin, moet betalen om de gegevens te ontsleutelen of te voorkomen dat ze worden gelekt. Wanneer je een ransom moet betalen, is er eigenlijk geen goede oplossing, omdat je per definitie met onbetrouwbare partners werkt. Betaal je wel, sponsor je de criminaliteit. Betaal je niet, dan blijven je gegevens versleuteld of gestolen. In uitzonderlijke gevallen is er een sleutel gekend, maar de beste manier om uit de greep van cybercriminelen te blijven, is door de nodige voorzorgen te nemen en je systemen zelf weer op te bouwen vanaf je back-ups.”
Accountants gebruiken vaak verschillende softwarepakketten. Maakt dat hen kwetsbaarder, of kunnen ze op hun softwarepartners vertrouwen?
“Ik snap de redenering: ‘Ik betaal hiervoor, dus moet ik me er geen zorgen over maken.’ We kunnen niet verwachten dat elke accountant ook een expert in cybersecurity is. Toch is het niet slecht om er aandacht voor te hebben, zowel binnen je kantoor als binnen een samenwerking met een leverancier. Al vallen sommige leveranciers wel binnen de scope van NIS2.”
Dat vraagt om een woordje uitleg.
“NIS2 staat voor ‘netwerk- en informatiesystemen’ en is het vervolg op NIS1, de allereerste Europese cyberwetgeving. Die werd uitgebreid van zes naar achttien sectoren die kritiek zijn voor onze Europese economie. Bedrijven uit die sectoren moeten voldoen aan drie verplichtingen: zich registreren bij het CCB, significante incidenten melden, en de nodige maatregelen nemen.”
Even eenvoudig als het klinkt?
“In België komen we graag onder verplichtingen uit, maar zelfs als je bedrijf niet binnen de scope van NIS2 valt, is het de praktijk van een goede huisvader om je organisatie te beschermen tegen cyberaanvallen.”
Per definitie vallen accountants er niet onder, maar soms werk je voor bedrijven die dat wel doen. Die willen natuurlijk kwetsbaarheden in hun supply chain vermijden, en kunnen dus vragen om te bewijzen dat je kantoor een zeker niveau van cybersecurity behaalt. Je kan dat bijvoorbeeld aantonen met ons CyFun Basic of Important label, of een CyFun Essential certificaat.”
Handig, zo’n framework.
“Het bestaat uit vier niveaus van beveiligingsmaatregelen. Die hangen af van hoe groot je kantoor is en hoe geavanceerd de maatregelen zijn, en kan je de maturiteit van je organisatie gradueel opbouwen. Als alle Belgische bedrijven de maatregelen uit het basisniveau zouden implementeren, zou dat al een grote stap vooruit zijn in de cyberweerbaarheid van ons land.”
Je kantoor weerbaarder maken tegen cyberaanvallen? Dat doe je zo!
- Multifactorauthenticatie: “Wanneer MFA is ingeschakeld, heb je naast een wachtwoord ook een tweede code nodig om in te loggen. Die vormt een dubbele beveiliging bij zogenoemde brute force aanvallen, waarbij wachtwoorden in een kwestie van seconden worden geraden door computers.”
- Patch management: “Installeer updates van software zo snel mogelijk. Wanneer er een update uitkomt, is dat vaak omdat er een kwetsbaarheid werd ontdekt en gedicht. Als je de updates niet installeert, blijven die kwetsbaarheden aanwezig.”
- Safeonweb: “Op de website van Safeonweb vind je naast materiaal van bewustwordingscampagnes ook heel wat informatie over cybersecurity. Bijvoorbeeld de webinar over ransomware op ons YouTubekanaal kan ik van harte aanraden.”
- Safeonweb@work: “Bedrijven met een Belgisch ondernemingsnummer kunnen hun domeinen en IP-adressen bij ons registreren. Wanneer wij daarin bepaalde kwetsbaarheden opmerken, krijg je daar als bedrijf een gerichte waarschuwing van.”
- Self-assessment: “In het CyFun Framework vind je een self-assessment waarmee je kan evalueren hoe het met de cybersecurity binnen je kantoor is gesteld. In één oogopslag krijg je te zien hoe sterk of zwak je op verschillende vlakken staat.”
- Policy templates: “Onze templates zijn niet bedoeld om te downloaden, te printen en in de kast te leggen. Wel als basis voor de discussie over het cyberbeleid dat jouw kantoor wil voeren. Zo kom je tot een beleid dat door het hele kantoor wordt gedragen.”
- Incident response plan: “Bij een incident response plan is het geen zaak van elk mogelijk scenario uit te schrijven, wel van de kritische vragen te stellen en de voor- en tegenargumenten af te wegen. Door op voorhand bepaalde beslissingen te nemen, moet je dat niet in paniek doen op het moment van een aanval.”
Foto Karl Dobbelaere: CCB
