Belgische bedrijven hebben cyberkopzorgen

Je zult maar CIO, of Chief Information Officer, zijn in 2017. Terwijl de roep om digitalisering steeds groeit, komen er steeds meer ICT-toepassingen bij die ook allemaal bestand moeten zijn tegen hackings en cyberaanvallen. Geen wonder dat bedrijven steeds meer op zoek gaan naar architecten die datastromen in goede banen leiden en nog eens extra goed beveiligen ook. 

Koterij

"In vele gevallen is de opbouw van het IT-landschap te vergelijken met de Vlaamse manier van bouwen: kotje per kotje", zegt Paul Olieman van KPMG. Dat leidt tot meer complexiteit en maakt het niet gemakkelijker om zulke systemen te beveiligen. Daar worden ondernemingen vandaag steeds meer mee geconfronteerd.

"Cybersecurity staat boven aan de agenda van Belgische CIO's", weet Olieman. "De afgelopen twee jaar hebben 42 procent van 70 ondervraagde bedrijven in België te maken gekregen met ernstige cyberaanvallen." Bovendien zouden die Belgische CIO's minder vertrouwen hebben en minder goed voorbereid zijn om huidige en toekomstige aanvallen het hoofd te bieden. Dat blijkt uit een wereldwijde enquête die het adviesbureau KPMG samen met HarveyNash publiceerde.

Of die cijfers met de waarheid stroken, is moeilijk te achterhalen. Zo krijgt het federale Cyber Emergency Team (CERT) enkel meldingen binnen van bedrijven die een cyberaanval ervaren en in de problemen zitten. "Absolute cijfers zijn er dus niet, het kan ook zijn dat je gehackt wordt zonder dat je het zelf beseft", zegt woordvoerder van CERT Katrien Eggers.

Bovendien wil Olieman die bezorgdheid ook kaderen. "Bedrijfsleiders zijn zich gelukkig steeds meer bewust dat digitale gegevens en databanken van kapitaal belang zijn voor hun zaak." Hij verwijst naar de twee ransomware-aanvallen WannaCry en NotPetya, die ook Belgische firma's troffen. "Verschillende bedrijven zijn nog steeds niet bekomen van die aanval. Er kunnen data beschadigd of gestolen zijn, er moet uit worden gezocht welke transacties verwerkt zijn en welke niet. IT-systemen die helemaal plat hebben gelegen, start je niet zomaar opnieuw op."

Bedrijven zijn niet echt happig om te antwoorden op vragen over hun cyberbeleid. "Wij hechten daar veel belang aan, maar als we alles publiek maken, worden we misschien een target", zegt Baptiste van Outryve van winkelketen Carrefour.

Kat-en-muisspelletje

Bij Febelfin, de Belgische federatie van de financiële sector, zijn ze zich ook maar al te bewust van het kat-en-muisspelletje tussen criminelen en bedrijven. "De Centrale Bank legt hele strikte richtlijnen op aan alle Belgische banken om continuïteit te verzekeren en betalingssystemen te beveiligen", klinkt het daar. Naast het inzetten van interne cybersecurity-experts worden ervaringen ook gedeeld met andere sectoren in de Cyber Security Coalition. Ook ethische hackers worden ingezet om mogelijke achterpoortjes snel te achterhalen.

Stijn Jans runt met Intigriti zo'n ethisch hackerplatform. "De standaard-penetratietests die bedrijven nu al door derden laten doen zijn heel nuttig. Alleen zit je met een probleem: het is een momentopname." Op dat moment kan de aanvaller onoplettend zijn of kan je software up-to-date zijn, maar in een wereld waar software constant bijgewerkt wordt, is zo'n momentopname niet voldoende.

"Wie samenwerkt met ethische hackers weet dat zijn systeem, onder de afgesproken voorwaarden, constant getest wordt", legt Jans uit. 

Bij de UZ Leuven zijn ze heel erg te spreken over deze manier van werken. "Een ziekenhuis wordt steeds meer datagedreven", zegt Bart Van den Bosch, CIO van het ziekenhuis. "Ethische hackers specialiseren zich meestal in bepaalde toepassingen net zoals echte hackers dat doen, zo ben je op de hoogte van de laatste aanvalstechnieken." Bovendien is zo'n platform ook interessant voor het budget. "Je betaalt de ethische hackers alleen als ze een probleem hebben gevonden."