Door de enorme versnelling in de digitalisering van onze maatschappij is cybersecurity belangrijker dan ooit geworden. Maar hoe ga je hier als bedrijf best mee om, en waar moet je op letten? Onze vier experten geven hun visie tijdens een rondetafelgesprek.
Tekst: Joris Hendrickx – foto’s: Kris Van Exel
Wat zijn vandaag de grootste uitdagingen op het vlak van cybersecurity, en wat verwachten jullie van 2022?
De Blauwe: “Vanuit de Cyber Security Coalition identificeren we meerdere uitdagingen. Ten eerste is er de inbraak in netwerken door malafide partijen. Daarnaast kunnen data ook weglekken, waardoor hun integriteit is aangetast of ze zelfs niet meer beschikbaar zijn. Het is zelfs mogelijk dat een volledig netwerk niet meer beschikbaar is. Tot slot gebeurt er ook heel wat fraude.”
Nzabonimana: “Ransomware is volgens mij het allerbelangrijkste risico. Criminelen proberen daarbij in te breken in het netwerk van organisaties door in te spelen op zwakke plekken die openstaan of openbaar ter beschikking worden gesteld. Er zijn immers ook criminelen die informatie over zwakke plekken verkopen aan andere criminelen. Door de digitale transformatie wordt het risico op zulke openstaande deuren en misbruik daarvan helaas alsmaar groter. Het afgelopen jaar rapporteerde maar liefst 35% van de bedrijven een toename van het aantal aanvallen.”
Declerck: “De problematiek van de ransomware wordt alsmaar groter en gesofisticeerder. In de eerste zes maanden van 2021 waren er al meer aanvallen dan in gans 2020, en er wordt steeds meer losgeld gevraagd en betaald. Toch is het slechts een deel van het verhaal. Ook betalingsfraude waarbij simpelweg geld wordt onttrokken aan bedrijven en andere online fraude blijven een grote uitdaging. De techniek hoeft dus niet altijd even geavanceerd te zijn.”
De Blauwe: “Ransomware is vaak een combinatie van een intrusie in de systemen en datacorruptie. Door het versleutelen van de data zijn ze niet meer beschikbaar en liggen delen van je organisatie plat. Het motief daarvoor is doorgaans geldgewin. Het komt dus allemaal samen.”
Declerck: “Verschillende technieken worden inderdaad gecombineerd om het risico voor het slachtoffer zo groot mogelijk te maken. Criminelen vragen immers losgeld bij ransomware. Als je dat niet betaalt, dreigen ze om je data te lekken. Bovendien proberen ze je ook op andere manieren onder druk te zetten door te zeggen dat ze zelf naar de pers, jouw klanten of jouw businesspartners zullen stappen om zo jouw reputatie te beschadigen.”
Callewaert: “Ik zie twee grote uitdagingen. De producenten van software, hardware en IoT moeten zorgen dat de producten die ze op de markt brengen, ontwikkeld worden met het label ‘security by design’. Daarnaast moeten de bedrijven en zeker de kmo’s voor meer cybersecuritymaturiteit zorgen bij hun personeel en partners.”
In welke zin worden cybercriminelen alsmaar professioneler?
De Blauwe: “Binnenbreken vereist vaak gesofisticeerde technieken. Dan moet men vervolgens ook nog kunnen navigeren binnen dat netwerk en de juiste gevoelige data vinden, zonder daarbij ontdekt te worden. Daarna moet men via encryptie de data onbeschikbaar maken, onderhandelen met het slachtoffer én het geld kunnen ontvangen op een manier waarop er geen beslag meer op kan worden gelegd. Al deze stappen zijn vandaag behoorlijk geïndustrialiseerd. Criminelen werken samen met gespecialiseerde onderaannemers.”
Declerck: “Deze professionalisering is sinds corona enkel maar toegenomen. We zijn nu immers allemaal meer online dan ooit, waardoor de onderwereld mee opschuift.”
Nzabonimana: “Enerzijds is er een professionalisering waarbij criminelen alle nieuwe technologieën proberen te misbruiken voor hun doeleinden. Steeds meer specialiseren ze zich in één deelaspect van dat proces. Anderzijds zorgt de gemakkelijke beschikbaarheid van bepaalde online tools ervoor dat zelfs minderjarigen in een bedrijf kunnen inbreken. De plotse opkomst van het thuiswerken door corona geeft hen meer opportuniteiten om hun slag te slaan.”
Callewaert: “Ik ben van oordeel dat de georganiseerde misdaad zich nu meer op het digitale pad waagt en samenwerkt met hackersgroepen die heel wat kennis hebben. Alles valt of staat met financiële slagkracht. We moeten onze politiediensten trainen en helpen bij de bestrijding van cybercriminaliteit. Ik ben medestichter van ECTEG vzw (European Cybercrime Training and Education Group). De politiediensten moeten meer middelen krijgen.”
In welke zin vergt dit een shift in hoe cyberprofessionals hun organisaties moeten beveiligen?
Nzabonimana: “We zullen creatiever moeten zijn en zowel technisch als procesmatig moeten meedenken met het management en bedrijfsleiders. Daarnaast moeten we ook aandacht hebben voor het menselijke aspect van beveiliging. Dat kan door werknemers bewust te maken van de gevaren in hun thuiswerkomgeving en hen te leren hoe ze deze kunnen vermijden.”
De Blauwe: “Het is belangrijk om bij de digitale transformatie de juiste prioriteiten te behouden. De kost van cybersecurity stijgt sterk, maar het zou fout zijn om door die reden de digitale transformatie tegen te houden. Dat brengt immers op termijn een veel grotere kost met zich mee dan de kost van eventuele cyberincidenten. Een goede cybersecurity begeleidt dat proces vanaf een vroeg stadium om zo tot een robuust geheel te komen.”
Nzabonimana: “We dienen de risico’s goed in kaart te brengen en vervolgens te helpen in het maken van keuzes. Daarbij moeten we goed beseffen dan 100% cyberveiligheid niet bestaat. De makers van technologische innovaties zouden echter ook meer moeten meedenken over de veiligheid daarvan en hiervoor oplossingen moeten aanreiken. Een goed risicomanagement is bovendien ook belangrijk. Daarbij moet het strategisch belang van innovaties worden afgewogen tegen de risico’s en de kosten daarvan.”
Declerck: “Door de digitale transformatie worden de kwetsbaarheden groter. In dat kader moeten bedrijven inderdaad leren om cyberrisico’s te benaderen als één van de bedrijfsrisico’s. Je moet uiteraard je technische voorzorgen nemen, maar wanneer er dan toch een incident is, moet je vooral juist omgaan met die crisissituatie. In dat kader moet je goed begrijpen wat je assets en je kwetsbaarheden zijn, welke zaken je echt wil beschermen en hoe je snel kan reageren bij een probleem. Gelukkig brengt de toegenomen professionalisering van cybercriminelen ook een zekere voorspelbaarheid met zich mee.”
Callewaert: “De digitale transformatie wordt de motor van onze economie. Dat brengt ook veel risico’s met zich mee. Elk bedrijf moet durven te investeren in cybersecurity en ook binnen het bedrijf kennis opbouwen. Neem nu de OT/ICS industriële netwerken van een bedrijf: die zijn gekoppeld aan het IT-netwerk en komen nu in de scope van de hacker. Een IT-cybersecurityexpert moet dus ook dergelijke netwerken kunnen beschermen, wat dan weer nieuwe training en opleiding vereist.”
Hoe zien jullie de verhouding tussen de verantwoordelijkheid van bedrijven en de regelgeving?
Declerck: “Deze hangen goed samen. Er is het afgelopen decennium veel regulering bijgekomen. In feite bestaat deze uit twee grote componenten: er is enerzijds de GDPR voor alles wat persoonsgegevens betreft en anderzijds zijn er de vele sectorspecifieke regelgevingen. Al die reguleringen hebben eenvoudig gesteld drie algemene delers die in belang toenemen. Voor ondernemingen geldt de open norm dat ze zich op een redelijke manier moeten beschermen. Als er iets gebeurt, moeten ze dat bovendien vaak rapporteren aan de overheid en getroffen stakeholders, zoals klanten, businesspartners en verzekeraars. Tot slot moeten ze om de voorgaande twee zaken te kunnen implementeren ook het seniormanagement meehebben. Het is dus niet enkel de verantwoordelijkheid van de IT-afdeling. Achter deze drie aspecten zit een ontluikende algemene zorgplicht voor elke economische actor om zich op een redelijke manier te beschermen tegen cyberrisico’s. Doe je dat niet of onvoldoende, dan kan je aansprakelijk worden gehouden door anderen die zo schade oplopen, ook al ben je zelf ook een slachtoffer.”
De Blauwe: “Wetgeving kan ook een accelererend effect hebben. De Europese Unie was met haar GDPR-regulering een wereldwijde voorloper om duidelijk te specifiëren wat de verantwoordelijkheden en plichten zijn van organisaties op het vlak van databescherming. Zo zorgde ze ervoor dat iedereen mee was. Sindsdien is de bewustwording hierrond sterk toegenomen. Het open karakter van deze wetgeving zorgt er bovendien voor dat ze niet snel achterhaald zal zijn door snel evoluerende technologieën. Het is dan ook aan de cybersecurityspecialisten om concreet invulling te geven aan de wetgeving.”
Nzabonimana: “De toegenomen regulering is een opportuniteit voor bedrijven én voor de maatschappij. Het duwt iedereen omhoog richting een bepaalde maatstaf. Net zoals dat enkele jaren geleden op het vlak van persoonsgegevens gebeurde met de GDPR zullen binnenkort de cybersecurity act, de NIS2-richtlijn en andere regels dé nieuwe referentie worden op het vlak van cyberveiligheid. Door bedrijven op hetzelfde niveau te brengen, zullen ze meteen ook gemakkelijk met elkaar kunnen communiceren en samenwerken.”
De Blauwe: “Het gevaar van al die wetgeving is dan weer dat de administratieve kost om zich in regel te stellen met de diverse wetgevingen in een versnipperd landschap van verschillende niveaus enorm kan oplopen. Bovendien moet cybersecurity steeds vooruitkijken. Een te eng juridisch kader zou kunnen leiden tot het afwerken van een checklist die binnen de kortste keren achterhaald zou zijn. Je kan bijvoorbeeld telewerk vanuit securityperspectief zeer robuust inrichten, maar dat vereist wel wat voorbereiding en planning. Bedrijven die al langer bezig waren met flexibel werken, hadden weinig problemen door de plotse verplichting om thuis te werken door corona. Andere bedrijven zijn toen pas op snelheid gekomen en hebben daardoor op korte tijd heel wat moeilijke beslissingen moeten nemen. Sommige spelers hebben gedurende een bepaalde tussenperiode moeten accepteren dat ze een groter risico liepen dan wenselijk was. Iedere actor moet uitmaken of hij met zijn cyberveiligheid reactief en ‘compliance driven’ wil zijn, of ervoor kiest eerder proactief te handelen en dicht bij de transformatieprocessen binnen het bedrijf te blijven. Dat laatste laat meteen ook toe om vanuit het veiligheidsoogpunt het design van nieuwe processen mee te bepalen.”
Callewaert: “Europa moet ons helpen om het probleem wereldwijd op de agenda te plaatsen. We weten allemaal dat veel bedrijven pas investeren in iets als het verplicht wordt. Veel bedrijven zien cybersecurity als een pure kost. Dat klopt echter niet, het is een vorm van kwaliteit van uw processen en producten.”
Hoe kunnen organisaties best practices verwerven?
De Blauwe: “Ten eerste dienen bedrijven te investeren in eigen gespecialiseerde medewerkers en hun continue opleiding, of in partners die die kennis kunnen aanleveren. Daarnaast zijn er de netwerken zoals ISACA en de Cyber Security Coalition waar cyberprofessionals met elkaar in contact komen en informatie kunnen uitwisselen. Er is enorm veel bereidheid om samen te werken op dit domein omdat we uiteindelijk allemaal met dezelfde problematiek worstelen.”
Nzabonimana: “Enerzijds moet aan de niet-IT’ers binnen de organisatie aangeleerd worden hoe zij moeten omgaan met technologie, wat de risico’s zijn en wat ze moeten doen wanneer het fout loopt. Anderzijds is het belangrijk dat de IT’ers van de organisatie kunnen samenkomen met professionals van andere bedrijven om samen te reflecteren over bepaalde thema’s en hoe ze daar mee om moeten gaan. Dat is wat we met ISACA doen. Het is nu eenmaal een wereldwijd probleem dat op een hoger niveau moet worden aangepakt. Daarnaast creëren we bij ISACA ook wereldwijde referentiesystemen waardoor bedrijven niet telkens opnieuw het warm water moeten heruitvinden. We gebruiken nu eenmaal vaak dezelfde technologieën, waardoor we voor heel wat risico’s en problemen de beste methodieken kunnen delen. Tot slot geven we IT-professionals die volgens een bepaalde ethische code werken een certificaat dat wereldwijd wordt erkend.”
De plotse opkomst van het thuiswerken door corona geeft cybercriminelen meer opportuniteiten om hun slag te slaan.
Egide Nzabonimana
Declerck: “Wanneer het op cyberveiligheid aankomt, wonen we allemaal in een probleemwijk. Het is voor niemand een ver-van-mijn-bed-show. De Belgische overheid voert daarom heel wat succesvolle campagnes waarmee ze het brede publiek bewust wil maken van de risico’s. Ook de applicatie van Safe On Web is een positief initiatief. Mensen moeten beseffen dat zij niet enkel vaak de zwakke schakel zijn in cyberveiligheid, maar dat zij ook zelf het verschil kunnen maken.”
Callewaert: “Er is een mooie samenwerking ontstaan tussen heel wat actoren: bedrijven, de academische wereld en de overheid. Mooie voorbeelden zijn de Cyber Security Coalition vzw en het Vlaamse beleidsplan Cyber Security dat uitgerold wordt. Er zijn heel wat initiatieven van intermediaire organisaties zoals Voka, Agoria en Unizo, maar we moeten wel zorgen dat ze elkaar versterken en dat de organisaties op de hoogte blijven van de mogelijkheden. Ikzelf probeer alle initiatieven bekend te maken en er een structuur in te brengen. Bedrijfsleiders moeten een krachtige en duidelijke boodschap krijgen. Ik ben ervan overtuigd dat we vanuit de hogescholen nog meer kunnen doen. We staan immers heel dicht bij de kmo’s.”
We zouden heel graag een meer diverse pool van talenten kunnen aanspreken. Cybersecurity is een bijzonder breed domein waar diverse niet-technische skills nodig zijn, zoals kennis van design, ergonomie, psychologie en wetgeving.
Jan De Blauwe
Hoe kan de opleiding van cybersecurityexperten nog beter inspelen op de toenemende bedreigingen?
De Blauwe: “Meerdere Belgische universiteiten en hogescholen voelen de nood aan en zijn daarom bezig met het opzetten van gespecialiseerde opleidingen rond cybersecurity. Daarnaast bestaan er ook heel wat omscholingstrajecten voor de reeds actieve IT-professionals. Zij hebben immers al de basis die nodig is om relatief snel de omschakeling te kunnen maken naar een specialisatie in cyberveiligheid. Er bestaan zelfs specifieke initiatieven om meer vrouwen warm te maken voor een job in cybersecurity en de drempel voor hen te verlagen. We zouden heel graag een meer diverse pool van talenten kunnen aanspreken. Als professionals moeten we onze sector bovendien ook wat demystifiëren. Naast het meer complexe technische aspect gaat het immers ook vaak gewoon over het gebruiken van je gezond verstand. Cybersecurity is een bijzonder breed domein waar diverse niet-technische skills nodig zijn, zoals kennis van design, ergonomie, psychologie en wetgeving.”
Nzabonimana: “We moeten de perceptie rond onze sector inderdaad veranderen. Naast technische profielen kunnen ook mensen met een achtergrond in governance, risk management en compliance een grote meerwaarde zijn. Dat zijn dus algemene skills die een link hebben met cybersecurity. Met ISACA werken we daarom samen met academici om de certificering niet enkel te laten doen door IT-specialisten, maar ook door professionals met andere bedrijfsrelevante ervaringen. Daarnaast zorgen we voor meer diversiteit in cybersecurity met ‘One in Tech’. Dat is een ISACA-stichting die streeft naar een gezonde digitale wereld door ondervertegenwoordigde groepen te helpen om toegang te krijgen tot het beroep en daarin te slagen. Zo bouwen we beroepen uit die een afspiegeling vormen van de wereld die zij dienen. Ook plaatsen we bijvoorbeeld vrouwen zoveel mogelijk in de spotlights. Tot slot promoten we omscholing in samenwerking met de overheid.”
Bedrijven moeten leren om cyberrisico’s te benaderen als één van de bedrijfsrisico’s. Mensen moeten beseffen dat zij niet enkel vaak de zwakke schakel zijn, maar dat zij ook zelf het verschil kunnen maken.
Thomas Declerck
De Blauwe: “Vanuit de overheid zijn er al heel wat goede initiatieven, maar deze kunnen zeker nog verder versterkt worden. Dat gaat dan zowel over wetgeving en de controle op de naleving daarvan als over opleidingen, het verhogen van het bewustzijn en het ondersteunen van burgers in het gebruik van technologie. Zo subsidieert de Vlaamse Overheid bedrijven om de eerste stappen te zetten in cyberveiligheid.”
Callewaert: “We zijn vanuit Howest al elf jaar bezig met cybersecurityopleidingen en navormingen. De Howest Academy organiseert postgraduaten Data Privacy Officer, Advanced Cybersecurity en Industriële Security. We starten binnenkort met een CS Academy met alle mogelijke workshops en trainingen. Meestal doen we dat ook digitaal, zodat we iedereen kunnen bereiken. Dit jaar hebben we de eerste veertig buitenlandse studenten cybersecurity aangetrokken.”
De digitalisering van de samenleving zet zich alsmaar verder door. Welke impact zal dat hebben in de toekomst?
De Blauwe: “Zowat alle bedrijfsprocessen zullen digitaal transformeren. Ook industriële processen in de maakindustrie, bijvoorbeeld door slimme sensoren in te zetten en te koppelen aan de IT-netwerken van het bedrijf. Dat houdt echter in dat deze maakbedrijven het slachtoffer kunnen worden van cybercriminelen. En het gaat verder dan dat: ook auto’s zijn rijdende computers geworden, ziekenhuizen en de energiebevoorrading zijn grotendeels gedigitaliseerd, enz. Wanneer criminelen zich een toegang zouden kunnen forceren tot die systemen zitten we met een enorm probleem. Ze mogen dus absoluut niet onbesuisd worden gekoppeld aan het internet.”
Declerck: “Dat risico is er nu al, maar het zal zeker nog sterk groeien naarmate de digitalisering zich verderzet en alles met alles geconnecteerd is.”
Nzabonimana: “Nieuwe, snel opkomende technologieën zoals cloudcomputing, big data, internet of things, blockchain en artificiële intelligentie zullen zeker een grote impact hebben. Bedrijven moeten er via bijscholing voor zorgen dat hun mensen mee zijn met die evoluties. Enkel zo kunnen zij de eventuele risico’s en zwakheden identificeren en vervolgens tijdig voorzorgsmaatregelen nemen. Maar liefst 78% van de bedrijven die hun werknemers opleiden en bewustmaken over cyberveiligheid zagen nadien een positieve impact, maar zij moeten hun ervaringen ook delen met andere professionals zodat deze in hun bedrijven eveneens de nodige stappen kunnen ondernemen.”
Callewaert: “De wereld gaat zich aanpassen en we zullen nieuwe oplossingen zoals AI gebruiken om onze netwerken te beschermen tegen cyberaanvallen. De jonge onderzoekers en start-ups zijn heel creatief, er is veel geld beschikbaar voor R&D en de maatschappij wil zijn digitale wereld beschermen en verder ontwikkelen (zie de Metaverse). Het komt goed.”