More than IT damage

More than IT damage

Back to overview

Cyber Security More than IT damage

‘Cyberaanvallen kosten bedrijven veel meer aan reputatieschade dan aan IT-schade'

Lang niet alle bedrijven beseffen de risico’s van hacking of weten hoe ze die maximaal kunnen beperken. Tijdens een onderzoek van KPMG bleek 80 procent van de systemen geïnfecteerd met malware en 60 procent zelfs met crimeware. Volgens professor Öykü Isik (Vlerick) zet een loutere IT-aanpak geen zoden aan de dijk. ‘Je hebt een bedrijfsstrategie nodig. Want je klant en je reputatie lopen gevaar.’

KPMG heeft onlangs in België een bijzondere studie uitgevoerd. Het ging in een twintigtal organisaties na of er malware verdoken zat in de systemen. ‘Unknown threats in Belgium’ heet de studie. De conclusies zijn verbijsterend, vertelt Benny Bogaerts, KPMG’s director cyber security & privacy. '80 procent van de systemen was geïnfecteerd met malware en 60 procent zelfs met crimeware. De organisaties dachten dat ze het onder controle hadden? Niet dus.'
Zwak België

‘De grootste uitdaging rond cyber security is zonder twijfel de “ransom ware” of losgeldsoftware’, meent professor Öykü Isik van de Vlerick Management School, autoriteit in cyber security. Losgeldsoftware blokkeert een computer en eist dan van de gebruiker ‘losgeld’ om die computer weer vrij te maken. ‘Het fenomeen is internationaal wijdverspreid en rukt ook in België op’, stelt professor Öykü Isik vast.

In een internationale studie van 2014 scoort de Belgische cyber security middelmatig, terwijl onze buurlanden aan de top staan. ‘De wetgeving, de technische kennis en de organisaties zijn er, maar België scoort zwak qua beveiligingscapaciteiten en samenwerking’, legt Öykü Isik uit. ‘Als je kennis niet deelt in je organisatie, ben je niet mee. Het helpt zelfs al als veiligheidsverantwoordelijken informeel informatie en kennis delen.’

Want cyberincidenten nemen hand over hand toe, ook via phishing. ‘Op de zwarte markt malware aankopen, dat is bijzonder gemakkelijk geworden. Maar pure IT-oplossingen brengen geen soelaas. Hackers raken ook steeds vaker in systemen via sociale media, door bijvoorbeeld de identiteit van een medewerker na te bootsen. Daarom mag je cyber security niet alleen aan IT-specialisten overlaten. Je moet iedereen in je bedrijf trainen in veilig gedrag. Het moet levende materie in de organisatie zijn, waarvoor iedereen aandacht heeft. Op die manier opent niemand nog zomaar een wat ongewoon bericht, ook al lijkt de afzender bekend.’

Moordend voor uw reputatie

IT moet een businesspartner worden in de digitale transformatie en dus onderdeel van de bedrijfsstrategie, geen deel van het probleem of een kostenpost. Bekijk en behandel cyber security strategisch, raadt professor Isik aan. ‘Bedrijven willen meer dan ooit een sterke reputatie. Maar als ze worden gehackt, keldert die snel. Cyberaanvallen kosten bedrijven veel meer aan reputatieschade dan aan IT-schade. Een ernstig incident kost al gauw 5 miljoen euro. En boven op die rechtstreekse kosten komt de diefstal van intellectuele eigendom, de reputatieschade, de commerciële schade en mogelijke rechtszaken.’

Behalve de negatieve reputatie- en kosteneffecten die professor Öykü Isik schetst, wijst Benny Bogaerts ook op de verborgen kosten bij een datalek. ‘De infectie kan zo ernstig zijn dat je een nieuwe server moet installeren en configureren.De kans is groot dat je een (extern) responsteam moet inschakelen om exact uit te zoeken wat er is gebeurd, wat de gevolgen zijn, en hoe de situatie kan worden opgelost. Veel beschadigde of onstabiele software moet bovendien worden vervangen. Daar voorzien organisaties vaak geen middelen voor. Zo kan een datalek zelfs impact hebben op de financiële gezondheid van een onderneming.’

‘Een aanpak die preventie, detectie en reactie evenwichtig combineert, biedt de beste bescherming’, meent Benny Bogaerts. ‘Er wordt nog te weinig gemonitord om malware efficiënt op te sporen. Het responsteam ontbreekt ook vaak in Belgische organisaties. Of er bestaan wel responsplannen, maar die worden niet of te weinig getest. Bedrijven onderschatten hoe gemakkelijk malware via gewone e-mails en sociale media binnensluipt. In feite zijn de malwaretechnieken al decennialang dezelfde. Het eerste ransomware-infectiescherm uit 1989 ziet er even analoog uit als bijvoorbeeld een ransomeware uit 2016. Maar het digitale platform van organisaties is zo breed geworden dat aanvallers langs allerlei kieren en gaten binnen raken.’

Volgens professor Öykü Isik mogen we ook de ethische dimensie tegenover de consument niet vergeten. ‘Bedrijven zijn nog sterk geneigd om cyber security louter intern te behandelen. Maar het moet vooral over je klanten gaan en voor hen bedoeld zijn. Bedrijven die het grootste gevoel van veiligheid geven, hebben de beste reputatie. Voor millennials is het ethisch gehalte van een bedrijf belangrijk. Het moet tonen dat het betrouwbaar is en iedereen met respect behandelt. En dus zullen de jonge volwassenen het opmerken, als je voorop blijft in veiligheidskwesties.’ 

Stop het in elk design

Maak van de strategie voor cyber security een onderdeel van uw innovatiebeleid, schetst professor Isik. ‘Je stelt een Cyber Response Plan op, wat preventief werkt. Hanteer daarbij een beleid van ‘privacy by design’ of ‘privacy by default’. Dat betekent dat je al bij de ontwikkeling van informatiesystemen rekening houdt met maatregelen die privacy beschermen. Ontwerpers maken eerst een analyse van de kwetsbaarheden, die CIO’s opstellen. Daaruit vloeit een strategie voort. Privacy by design bouwt alle denkbare beveiliging in het concept van informatiesystemen in.’

De Europese privacyverordening GDPR zal organisaties een duwtje in de juiste richting geven, verwacht Öykü Isik. GDPR staat voor General Data Protection Regulation en dient ter bescherming van de persoonsgegevens. De regelgeving is sinds mei 2016 van kracht, maar organisaties krijgen tot 25 mei 2018 om ze in hun systemen in te passen. ‘Eigenlijk is niemand er echt klaar voor en ze zullen het tegen die datum ook niet zijn’, voorspelt de hoogleraar. ‘De regels zijn streng en complex. Organisaties hebben vaak het akkoord van hun klanten nodig en elk land zal er nog een eigen invulling aan geven. Maar de invoering van GDPR zal wel leading practices opleveren en de cybersecurity verhogen.’

Benny Bogaerts geeft professor Isik groot gelijk dat cyberveiligheid een bekommernis van iedereen in de organisatie moet zijn. ‘De komst van de Europese privacyverordening GDPR heeft een goede impuls gegeven om de kwestie op alle niveaus aan te pakken, ze in de businessstrategie in te passen en ze al in het design van systemen mee te nemen. Zo raken de IT- en de businessstrategie met elkaar verzoend. Daar moet de raad van bestuur als één man achter staan.’

Ecosystemen en netwerken

De geesten rijpen voor deze nieuwe aanpak. ‘Volgens een studie in het tijdschrift Forbes denken topmanagers niet meer in termen van domeinen die ze moeten afschermen. Het gaat over ecosystemen en netwerken die we moeten beschermen. Uiteraard moet het bestuur mee zijn in dit verhaal. De bestuursraad moet zijn schouders zetten onder een beleid dat gericht is op preventie en een efficiënte aanpak bij incidenten. Een Incident Response Plan brengt alle risico’s en de gepaste reacties op problemen in kaart’, besluit Öykü Isik. ‘Want zoals de gewezen FBI-baas Robert Mueller ooit zei: uiteindelijk zijn er maar twee soorten bedrijven, bedrijven die gehackt zijn en bedrijven die zullen worden gehackt.’

Contact us

02 708 41 04