Aanvallen tegen computers zijn niet nieuw en zullen nog frequenter worden door de alomtegenwoordigheid van IT in ons leven, de invasie van verbonden objecten, de steile groei van de hoeveelheid uitgewisselde en verzamelde gegevens, de digitale transformatie die steeds meer activiteiten dematerialiseert en, ten slotte, de “aantrekkingskracht” van een weinig riskante computercriminaliteit die zich in de transnationale cyberspace verdoezelt.
Iedereen weet – of vermoedt – dat een leger van cybercriminele huurlingen het web teistert. Het ziet er echter naar uit dat KMO-zaakvoerders dat soort bedreigingen nogal licht opvatten. Het gebrek aan computerkennis en aan tijd, de toekenning van een specifiek budget … Allemaal slechte redenen om je hoofd in het zand te steken. Angst is hier de meest verstandige houding tegen een heleboel gevaren: diefstal van gegevens, toegangsblokkering, misbruik van codes, wachtwoorden of identiteit, softwarebedrog … Allemaal dure of zelfs peperdure grappen als het aangevallen bedrijf ook wordt gebruikt tussenstap naar een ander doelwit, bijvoorbeeld onder zijn klanten of leveranciers. Dan zijn we vertrokken voor schadevergoeding aan derden, onderzoekskosten, winstderving door kennisdiefstal, of zelfs faillissement …
Te goeder trouw geloven sommige bedrijfsleiders dat ze niets interessants hebben voor hackers, en dus ook niets dat kan worden bedreigd. Ze verwaarlozen de eventuele gevolgen van een aanval die niet direct op hen gericht is – zoals de invasie van de Blaster-worm. Op die manier riskeren ze gegevensverlies, tijdelijke of permanente onbeschikbaarheid of corrupte bestanden.
Het Web, een Far-West zonder sheriff
De vraag is niet of u wordt aangevallen, maar wanneer. (Misschien is dit al gebeurd zonder dat u het beseft en zonder de statistieken te voeden waaruit nu al blijkt dat 53% van de KMO’s al werden aangevallen. Informatiediefstal is namelijk heel gemakkelijk te verbergen). Industriële of dienstenspionage zelf is niet voorbehouden aan grote groepen. Zodra er concurrentie bestaat, riskeert u spionage, mede door toedoen van de steeds vagere grens tussen beroeps- en privéleven, door het gebruik van niet door vertrouwelijkheidsclausules gebonden onderaanneming, door het verloop van managers en werknemers … Een stagiair die aan een klantproject werkt, een manager die een back-up maakt op een externe schijf, een werknemer die op zijn pc een cloud dossier installeert die uw gegevens online zet … Dat zijn allemaal in- en uitstappoorten en verklikkers van uw beveiligingsniveau.
Met digitale technologie reikt elk bedrijf verder dan zijn muren … Het piramidale en gesloten systeem van destijds is voorbijgestreefd ten gunste van transversaliteit en openheid. Precies daarom is het belangrijk dat elk bedrijf zijn kritische informatie stevig beschermt. De KMO-zaakvoerder die niet veel afweet van cyber security en zich plotseling bewust wordt van de vele gevaren, zou willen weten waar te beginnen. Georges Ataya, vicevoorzitter van de Belgische Cybersecurity Coalitie, en ook CEO van ICT Control, geeft advies.
Brussel Metropool: Hoe kan de KMO IT-beveiliging aanpakken, rekening houdend met het gebrek aan tijd en IT-kennis van managers?
Georges Ataya: De veiligheid is inderdaad een delicaat vraagstuk voor KMO’s: zij lopen dezelfde risico’s als de grootste bedrijven, omdat hackers gewoon alles aanvallen! Maar KMO’s hebben vaak geen security manager, IT manager of zelfs consultant om hen te helpen. Zij moeten eerst de omvang van het probleem proberen te bepalen, beslissingen nemen en ook beseffen dat ze niet volledig machteloos zijn. De safeonweb1-site die we creëerden, vervult deze taak: het is een waardevolle bron van informatie en advies van de Belgische Cybersecurity Coalitie in samenwerking met het kabinet van de Eerste Minister, het VBO en enkele grote bedrijven.
Begin uiteraard met de basisvoorzorgen die van toepassing zijn op elk computergebruik: uw gegevens globaal beschermen met een effectieve antivirussoftware, een goede firewall activeren en back-ups maken. Zorg vervolgens voor een gestructureerde aanpak zodat er doeltreffend kan worden opgetreden zonder verspilling van middelen en tijd. Probeer deze structuur volgens meerdere assen te structureren om de behoeften en benaderingen te verduidelijken. Maak vooraf een onderscheid tussen de informatie waarover u beschikt en de informatie die essentieel en kritisch is: de informatie die u in geen geval mag verliezen. Anders weet u niet wat u moet beschermen en hoe. En u riskeert uw organisatie onnodig te verstoren of gegevens niet op de correcte manier te beschermen.
De eerste as die ik voorstel is die van de vertrouwelijkheid: selecteer uit de kritische informatie het gedeelte dat niet openbaar gemaakt mag worden. Contracten, productierecepten, diverse overeenkomsten… Dergelijke informatie wordt idealiter versleuteld (op voorwaarde dat u de encryptiesleutel niet vergeet!). De tweede as is continuïteit: u hebt gegevens die u moet kunnen raadplegen, die doorheen de tijd beschikbaar moeten zijn en die u altijd bij de hand moet hebben. In dit geval heeft encryptie geen zin. Integendeel, het verhoogt het risico van niet-continuïteit. U moet ervoor zorgen dat de informatie die u nodig hebt en zal hebben, er nog steeds is, hoewel u in de tussentijd wel tien keer van computer bent veranderd. De derde as is data-integriteit: belangrijke informatie zoals essentiële berekeningen, adresboeken, betalingsverklaringen, enz. In dit geval kan een corrupt bestand op een ramp uitdraaien.
Hoe gaan we om met de AVG inzake beveiliging, aangezien deze verordening een zware verantwoordelijkheid legt bij bedrijven?
G.A. : In het geval van de AVG moet u ergens anderen en hun gegevens op de een of andere manier tegen uzelf beschermen. Er bestaan principes, zoals het minimaliseren van data back-up, maar het is een vrij complexe en soms vage materie. Als een parkeerbedrijf bijvoorbeeld de kentekennummers van mijn klanten behoudt, dan moet deze onderneming het nut van de opslag ervan kunnen bewijzen. Bovendien moeten deze data volgens de AVG worden bijgewerkt: als een klant van kentekennummer verandert, moet u dat weten! Hier is er dus sprake van een dubbele verantwoordelijkheid: vraag u daarom af of het wel relevant is dergelijke gegevens te bewaren. Bij een overtreding riskeert u audits, justitie en boetes: wees dus voorzichtig. Beci organiseert trainingen over dit onderwerp: een aanrader.
Zou u KMO’s adviseren om een beroep te doen op een gecertificeerde consultant?
G.A. : Zeker bedrijven die geen IT-manager hebben of een tiental dagen per jaar op een externe raadgever vertrouwen. Als er geen IT-manager is, is zoiets vanzelfsprekend, maar een consultant zal u ook beschermen tegen mogelijk misbruik door de externe raadgever, die de neiging kan hebben om (te veel) onnodige diensten te verkopen of die u niet correct begeleidt in uw risicomanagement. Er is geen erkenning op dit gebied, maar wereldwijd worden IT-managementnormen gebruikt waaruit een KMO-standaard kan worden gecreëerd. Dit is mijn manier van werken. Er bestaan 37 IT-beroepen: projectmanagement, systeemverwerving, analyse, analyse, ontwikkeling … Een zeer uitgebreid domein, dus. Vraag u daarom eerst af welk(e) beroep(en) een typisch bedrijf nodig heeft. Op deze vraag kan alleen een onafhankelijke consultant onpartijdig antwoorden. Hij evalueert het aantal processen waaraan het bedrijf moet voldoen en het aantal dagen dat daaraan moet worden besteed. Zo is alles strategisch gepland en gebudgetteerd, met veel lagere kosten dan die van een specifieke manager.
“Een KMO-zaakvoerder mag niet langer oordelen dat hij niet kan investeren in zijn IT. Hij moet over een minimale digitale strategie beschikken. Het is gewoon een kwestie van overleven.”
Georges Ataya
Beveiliging moet worden gezien als een investering, als onderdeel van de IT-ontplooiing van een bedrijf. Zo wordt echter als een kost beschouwd.
G.A. : Inderdaad. Al bijna 30 jaar profiteert de bedrijfswereld van de computertechnologie, wat aanleiding gaf tot een ongekende productiviteitstoename. Maar op een dag moeten we de prijs betalen voor de geoptimaliseerde controle, het bestuur en het beheer waardoor een veilige IT mogelijk blijft. Niemand anders zal dat voor ons doen. Een KMO-zaakvoerder mag niet langer oordelen dat hij niet kan investeren in zijn IT. Hij moet over een minimale digitale strategie beschikken. Het is gewoon een kwestie van overleven.
Georges Ataya, Professor, Academic Director (Solvay.edu/it) and Managing Partner (ICTC.EU)