Bedrijven denken dat ze beveiligd zijn omdat ze een firewall hebben, maar dat is een schromelijke onderschatting, klinkt het bij security-expert Easi. ‘Een doorsnee ransomware-aanval legt een bedrijf 21 dagen stil. Beeld je de economische schade daarvan eens in.’
Een bedrijf dat het slachtoffer wordt van een cyberaanval schakelt over naar een crisismodus. ‘Er worden gespecialiseerde teams samengesteld, medewerkers kunnen hun job niet uitvoeren en er is hulp van buitenaf nodig’, zegt Mickey De Baets, cybersecurity consultant bij Easi. ‘De impact daarvan is enorm: de productie ligt stil, er is stress bij de bedrijfsleiding en er gaat uiteraard geld verloren.’ Samen met zijn collega’s Robin Bruynseels en Thomas Hayen gaat hij dagelijks op zoek naar lekken in de IT-beveiliging van bedrijven. Op vraag van die organisaties zelf, want het trio doet aan ethische hacking.
Deze ochtend hebben we een ziekenhuis gekraakt. We kregen toegang tot medische dossiers en konden, indien we dat wouden, facturen laten verdwijnen.
Geen prioriteit
Uit ervaring weten ze dat cybersecurity nog steeds niet bovenaan de agenda staat bij veel bedrijven. ‘De IT-managers hoeven we niet te overtuigen, maar het management heeft vaak andere prioriteiten om in te investeren. Nochtans is een goede cyberbeveiliging even normaal als een brandverzekering voor je huis’, zegt Robin Bruynseels.
Als ethische hackers gebruiken ze dezelfde technieken als malafide hackers om bedrijven binnen te dringen en systemen over te nemen. Tot wat dat kan leiden, laat weinig aan de verbeelding over. ‘Deze ochtend hebben we een ziekenhuis gekraakt. We kregen toegang tot medische dossiers en konden facturen laten verdwijnen indien we dat wilden’, vertelt Mickey De Baets.
Het management heeft vaak andere prioriteiten dan cybersecurity om in te investeren.
Politieserver
Onze klanten denken vaak dat hackers het alleen gemunt hebben op multinationals’, aldus Thomas Hayen. ‘Maar élk bedrijf, hoe groot of hoe klein ook, is een potentieel doelwit.’ Zelfs politieservers zijn te hacken. ‘We zijn er ooit in geslaagd om binnen te dringen in een applicatie die toegang gaf tot gevoelige data van een politiezone. Zo geraakten we vrij snel aan persoonlijke gegevens van honderden agenten: adressen, telefoonnummers, namen, rijksregisternummers.’
Goedkope scanner
Maar ethische hacking gebeurt niet alleen op afstand. Soms dringen de hackers van Easi fysiek binnen bij een klant. ‘We stelden ons voor als studenten die aan hun eindwerk bezig waren en vroegen medewerkers of we hun badge mochten controleren op veiligheid. Dat deden we met een goedkope RFID-scanner. Ze kopieerden we hun gegevens’, herinnert Mickey De Baets zich.
Daarna was het een koud kunstje om tot bij de server te geraken en de administrator account over te nemen. Via phishing ontfutselden de hackers de namen en wachtwoorden van tweehonderd medewerkers van hetzelfde bedrijf.
Nooit klaar
‘Het is een cliché, maar de mens is en blijft de zwakste schakel’, weet Robin Bruynseels. ‘Bedrijven moeten hun medewerkers blijven wijzen op gevaren, zoals frauduleuze links en valse e-mails.’
De drie experts benadrukken dat een solide cybersecurity nooit klaar is. Thomas Hayen: ‘Net zoals hackers nieuwe strategieën, technieken en technologieën gebruiken, moeten bedrijven hun cyberbeveiliging in vraag blijven stellen, testen en verbeteren.’ Cybersecurity is een lerend model, met verschillende lagen die je stuk voor stuk moet analyseren en beveiligen’, vult Mickey De Baets aan.
Een bedrijf moet elke laag die kwetsbaar kan zijn uitgebreid en frequent blijven testen. Vandaag gebeurt dat niet of amper.
Crashtest
‘Vergelijk het met een auto die honderden crashtests ondergaat om te ontdekken hoe veilig hij is en waar de kwetsbaarheden zitten. Daarbij wordt ook de volledige auto getest: carrosserie, kreukzones, gordels, airbags en noem maar op’, illustreert Thomas Hayen. ’Voor bedrijven geldt hetzelfde: ze moeten elke laag die kwetsbaar kan zijn uitgebreid en frequent blijven testen. Vandaag gebeurt dat niet of amper. Bedrijven moeten zich veel meer de vraag stellen bij hun systemen: is dit wel veilig?’