"Bedrijven betalen de oplopende factuur van cybercriminaliteit"

“Of het interview via ZOOM kan? Natuurlijk.” Het Centrum voor Cybersecurity in België vond de tool om online te vergaderen veilig in het begin van de coronacrisis (mits je geen linken deelt via Facebook, en de wachtkamer en paswoorden gebruikt). Ook vandaag is het een prima tool om coronaveilig directeur Miguel De Bruycker te interviewen over de katten die het centrum en Vlaamse ondernemingen te geselen hebben.

Wat doet het CCB?

Miguel De Bruycker: “Het Centrum voor Cybersecurity België (CCB) zorgt sinds 2015 als centrale autoriteit voor de cyberveiligheid in België. De organisatie die rechtstreeks onder het gezag van de Eerste Minister valt, werkt aan een nationaal Cyber Security beleid met alle betrokken diensten in België. Het beheert de dienst Computer Emergency Response Team (CERT) voor het opsporen, het observeren en het analyseren van online veiligheidsproblemen. Hierover informeren we ook permanent naar de bevolking, bedrijven, overheidsdiensten en organisaties van vitaal belang zoals kritieke infrastructuur en nucleaire installaties. Voor elk van deze klanten hebben we een pakketten aan diensten. 

In het coördinatiecomité Inlichting en Veiligheid zit ik mee om de paar maanden samen om het cyberveiligheidsbeleid van ons land te sturen. Het CCB organiseert de denktank met de internet service providers die de infrastructuur beheren en is stichtende partner in de Cyber Security Coalition. Internationaal zetelt het in de management board van ENISA, het EU agentschap voor cyber security.

Ons team is gegroeid tot vijftig gemotiveerde en goed georganiseerde mensen. In de toekomst willen we via een app gericht bedrijven en particulieren waarschuwen wanneer hun type van toestellen aangevallen wordt.”

We kennen jullie waarschuwingen voor phishing , hacking van thuiswerkers, factuurfraude... Hebben deze effect?

Miguel: “Het effect van onze waarschuwingen in kaart brengen, is een moeilijke oefening. Wel weten we dat het bewustzijn bij mensen en bedrijven voor cyberveiligheid stijgt met 10 tot 15 procent na elke campagne.

Maar de dreiging is groot. Tien jaar geleden stelde deze digitale misdaadtak niets voor. Vandaag is de schade enorm groot in vergelijking met andere criminaliteit.”

Wie betaalt de oplopende factuur van cybercriminaliteit?

Miguel: “Dat zijn de bedrijven die aangevallen worden. Zij verliezen op vier terreinen:

1. Het kost geld om hun systemen opnieuw te laten werken.
2. Ze betalen soms losgeld om hun gegevens en toegang tot hun netwerk terug te krijgen.
3. Ze verliezen dure productiedagen.
4. Ze lijden reputatieschade.”

Waarom onthullen bedrijven liever niet dat ze gehackt zijn?

Miguel: “Het klopt dat Belgische bedrijven beducht zijn voor hun reputatie, en daarom zo’n aanval niet graag aan de grote klok hangen. Ik weet ook dat duizenden Belgen al duizenden euro’s aan cybercriminelen verloren. Maar ze stappen ermee niet naar de politie of naar het CCB. Dat is ook lastig voor ons, want hierdoor krijgen wij geen zicht op de totale omvang van het probleem. Als je een verdachte mail of dreiging krijgt, is het nochtans eenvoudig. Stuur deze alstublieft door naar ons.”

“Elke dag ontvangen wij ongeveer 8.000 verdachte e-mails. In 2019 konden we meer dan 4.000 verdachte websites blokkeren. Ook zien we onmiddellijk gevaarlijke tendensen, bijvoorbeeld bij de lockdown. We zagen een snelle stijging van phishing mails tot 5000, zelfs 8000 per dag. Dan rinkelen meteen alle alarmbellen, en communiceren we dit zo ruim mogelijk naar de buitenwereld.”

Hackers zijn uiterst gestructureerde criminele organisaties. Hoe werken ze?

Miguel: “Hacking as a service is een pijnlijke realiteit. De cybercrime community is zich steeds beter aan het organiseren en het specialiseren. Zo heb je criminelen die bedreven zijn in het zoeken van kwetsbare bedrijven. Anderen hebben frameworks om aanvallen mee uit te voeren, weer anderen zijn gespecialiseerd in het aanvallen, nog anderen in het ontcijferen van gestolen data, enzovoort.

Deze criminelen werken samen. Ze kopen oplossingen bij elkaar, net zoals een marketingdienst een kant-en-klare CRM-tool inkoopt. Ze kopen lijsten met mogelijke slachtoffers. Ze kopen tools om aan te vallen. Ze hebben hun eigen muntsysteem…
Het is een commercieel model met concurrenten en competitie waardoor er een enorme stijging is van criminele oplossingen en diensten.”

Mag je losgeld betalen na een ransomware -aanval?

Miguel: “Wekelijks is een Belgisch bedrijf slachtoffer van ransomware. Tot vorig jaar vroegen criminelen enkel losgeld. Nu merken we dat ze gestolen data lekken. Criminelen zullen eerst zoveel mogelijk informatie stelen. Daarna communiceren ze dat ze de meest gevoelige en geheime informatie kennen en zullen publiceren als het bedrijf niet betaalt. Om dit te bewijzen, publiceren ze een heel klein beetje. Vervolgens dreigen ze de bedrijfsgeheimen online te zetten.

Of ze geen andere keuze hebben dan het betalen van losgeld? Ze hebben minder keuze, dat klopt. Het is niet evident voor bedrijven om hiermee om te gaan. Ik begrijp dan ook volledig dat bedrijven betalen, maar wij kunnen niet anders dan te adviseren om het niet te doen. Betalen is de beste manier om ervoor te zorgen dat criminelen verder doen. Enkel wanneer niemand nog betaalt, stopt deze criminaliteit.”

Hoe kiezen criminelen hun slachtoffers? 

Miguel: “Cybercriminelen kopen vandaag lijsten met kwetsbare bedrijven. Als je ervoor zorgt dat je organisatie hier niet op staat, loop je minder risico. Het is zoals je een huis beveiligt. Staat je raam open? Dan trek je criminelen aan. Heb je een camera aan de voordeur hangen? Dan is de kans op inbraak veel kleiner dan bij je buren die dit niet hebben.”

Beveiliging is dus cruciaal. Zijn bedrijven er zich voldoende van bewust?

Miguel: “Ik zie het zwarte zwaan-syndroom nog steeds overheersen. Wie niet aangevallen wordt, gelooft moeilijk dat er een echte dreiging is. ‘Dit overkomt anderen, niet ons’, is de gedachte.

Ik schrik bijvoorbeeld over hoe bedrijven omspringen met de beheerrechten op hun netwerk. Netwerken zijn vaak beveiligd met een eenvoudig wachtwoord dat al vijf jaar hetzelfde is. De beheerder heeft soms al een multifactorbeveiliging ingesteld voor bepaalde afdelingen, maar niet voor zichzelf.

De meeste bedrijven hebben nog een heel arsenaal aan mogelijkheden. Maar ze grijpen die vaak niet. 

Zo gaf een gereputeerde beveiligingsfirma duizend bedrijven gratis toegang tot zijn platform omwille van de coronacrisis. Bedrijven zouden hun voornaamste kwestbaarheden zien, met een beoordeling op 23 criteria én vergelijking met hun sector. Dit was een interessant aanbod dat wij en enkele sectororganisaties ondersteunden. Wel, het was een hele uitdaging om bedrijven hiervoor warm te maken.”

Jouw advies voor bedrijven?

Miguel: “Duid een verantwoordelijke aan voor de cyberveiligheid van je onderneming. Dan heb je iemand aan het stuur, en we weten allemaal dat dit dé voorwaarde is om een wagen te doen rijden.

Dit betekent niet dat hij of zij verantwoordelijk is wanneer het fout loopt. Wel zorgt deze persoon voor de netwerken, voor het in kaart brengen van het veiligheidsniveau, het detecteren van de zwakke plekken, het uitdokteren van de oplossingen, het opvolgen van de tendensen, het rapporteren aan het hoogste niveau van de werkelijkheid en de incidenten.”