‘Cybersafe from Belgium’ kan kwaliteitsmerk voor technologische sector worden

Het duo dat het cybersecurityprogramma van Agoria en Sirris mee aanstuurt, vindt dat we de huidige beleving rond cybersecurity kunnen keren.

“Van een kost voor ondernemingen naar een opportuniteit”, betogen Yves Schellekens en Patrick Coomans.

De twee experten van Agoria en Sirris zoomen in dit interview voor digitaletoekomst.be in op de uitdagingen waar Vlaamse ondernemingen vandaag voor staan, hoe ze deze interpreteren… en hoe het anders zou kunnen.

Weinig cyberveiligheid vandaag

In veel bedrijven wordt cybersecurity als een kost gezien. Denk maar aan het beveiligen van servers, data en netwerken, het opleiden van medewerkers in cyberveiliger handelen en de inspanningen om nieuwe digitale producten veiliger te ontwikkelen.

De kost om een bedrijf goed te beveiligen loopt vaak op. Hackers dagen dan ook continu bedrijfssystemen uit. 

60 procent van de Belgische ondernemingen is ooit al gehackt, blijkt uit een enquête van Agoria.

“Bijna 30 procent verwacht dat ze gehackt gaan worden in de nabije toekomst”, zegt Yves Schellekens. ”De vraag is dan ook niet: Ga je gehackt worden? Wel: Wanneer?”

“Spijtig is dat niemand zich 100 procent kan beschermen. Uit ons onderzoek bij 77 Belgische productiebedrijven blijkt dat de uitdagingen rond cybersecurity in maakbedrijven groter zijn dan bij klassieke servicebedrijven.”

Is ‘één zwakke plek’ voldoende voor cybercriminelen?

Het is een mythe dat we maar één ding fout moeten doen om hackers binnen te laten. Dat ervaart Patrick Coomans bij gehackte bedrijven.

“Bij bedrijven die zijn aangevallen zien we meestal een cascade aan foute procedures. Alarmen gingen niet af, of ze werden niet opgemerkt of gehoord. Technologie bleek niet in staat om indringers te detecteren. Software was niet up-to-date, systemen niet goed ontworpen, enzovoort.”

“Vergelijk het met de serie Air Crash Investigation op National Geographic. Bij het ontleden van een vliegtuigcrash merken ze een opeenstapeling van fouten op. Nooit of zelden is het ongeluk toe te wijzen aan één oorzaak. Zo is het ook met hacking.”

“De fout ligt dus nooit bij één medewerker die op een link klikte. Nee, want waarom kon die op die link klikken? Als gehackte bedrijven terugkijken in hun logfiles merken ze altijd meerdere alarmen op.”

Bedrijven besmetten elkaar

Omdat bedrijven zich in hun supply chain aan elkaar koppelen, treft één cyberincident vaak een hele keten van bedrijven.

“Hackers komen via de zwakste schakel binnen en verspreiden hun ransomware bij klanten, toeleveranciers en medewerkers”, legt Patrick uit. “Denk maar aan de SolarWinds-hack die eind 2020, begin 2021 duizenden bedrijven en overheidsinstellingen in de Verenigde Staten trof. Maar we mogen er zeker van zijn dat er ook in België slachtoffers vielen. Hackers trekken zich niets aan van landsgrenzen.”

“Als we over één bedrijf in het nieuws horen, mag je er van op aan dat er honderden andere organisaties getroffen zijn.”

Bovendien worden bedrijven meerdere keren gehackt. “Vooral kmo’s investeren al weinig in cybersecurity ”, zegt Yves. “En lastig is wel dat ze ook na een hacking niet de nodige verbeteringen invoeren. Waardoor ze een aantal maanden later weer gehackt worden.”

Wapen je sterker én goedkoop tegen cybercriminelen

Toch is bescherming mogelijk. “Onze ondernemingen kunnen zich vandaag sterker wapenen met relatief weinig middelen”, ziet Yves. “Er is nog veel laaghangend fruit. Wanneer ze de basiszaken oplossen, staan ze al een heel eind verder.”

“Het gaat om mensen, processen en technologie. Bedrijven denken dat het een technologie gedreven investering moet zijn, maar processen zijn nog belangrijker… en relatief gemakkelijk in te voeren.”

“Veel van deze zaken kosten geen geld, wel moeite”, vult Patrick aan. “Je moet wekelijks iets doen, bijvoorbeeld: kijken of de back-ups gemaakt zijn, checken of de software up-to-date is.

In deze risicogebaseerde benadering kan je balanceren tussen de fundamentele zaken waar je sterk op inzet en de zaken waarmee je iets losser kan omgaan.”

Het verhogen van cybersecurity kan geen quick fix zijn, zegt Yves. “Bedrijven moeten inspanningen op lange termijn leveren, continu. Als we daarbij zien hoe de technologie gunstig evolueert, met de groeiende voordelen, kost het relatief weinig om te investeren in cybersecurity.”

“Bedrijven zien het als een kost”, betoogt Yves. “Maar dat is het niet. Het is een enabler. We spreken over kleine inspanningen die een grote return opleveren. Dat is de juiste perceptie.”

Cyberveiligheid in de bedrijfscultuur

De bedrijfscultuur is hierin essentieel. “Wanneer hierin aandacht wordt besteed aan ‘cyberveilig werken’, kan ook iedereen dit aankaarten wanneer het niet goed loopt”, zeggen Yves en Patrick. 

“Grote bedrijven die in het nieuws kwamen na een hack, hadden vaak alle certificaten”, betoogt Patrick. “Ze hadden enorm veel uitgegeven aan technologie. Maar het ontbrak aan processen, beleid en bedrijfscultuur. Deze zaten niet goed.”

“Veel ondernemingen berusten in het idee dat het hen niet zal overkomen. Maar door zo’n zelfgenoegzame houding wordt een jonge werknemer die een veiligheidsprobleem aankaart, weggelachen. En ja, door zulke houding word je vroeg of laat een slachtoffer.”

Patrick vergelijkt het met auto’s: “Vroeger kon je je rijbewijs zo afhalen. Vandaag vinden we het normaal dat je eerst slaagt voor een streng examen. Nog niet zo lang geleden moest je geen veiligheidsgordel dragen. Mensen vonden vervolgens de verplichte gordel een inbreuk op hun vrijheid. Vandaag voel je je onveilig als je op reis achterin een taxi geen gordels vindt.” 

“Het is veiligheidscultuur die ons collectief verwachtingspatroon betreffende cybersecurity steeds zal doen toenemen.”

Cybersafe from Belgium

Dankzij volgehouden inspanningen en focus kunnen Belgische bedrijven zich op termijn zelfs onderscheiden van hun internationale concurrenten, voorzien Yves en Patrick.

“We hebben de opportuniteit om onze cybersecurity meer in de etalage te zetten als een sales enabler. Als bedrijven zeggen dat ze cybersecurity hoog in het vaandel dragen, wordt dit een troef”, zeggen de twee.

“We hebben in Vlaanderen zeer veel start-ups en scale-ups die digitale producten maken”, zegt Patrick. “Deze worden door tientallen tot honderden grote ondernemingen ingezet. Als je met een cybersecurity zwakheid zit, heeft het een hefboom effect. Maar stel je het tegenovergestelde aanbiedt: dat we zoals ‘Made in Belgium’, ook ‘Cybersafe from Belgium’ kunnen zeggen.”

Leer van gehackte bedrijven

Het resultaat van de inspanningen, kan vergeleken worden met de steeds sterkere positie van de eigen productiebedrijven.

“We zijn er in geslaagd om onze Belgische productiebedrijven weer competitief te maken”, zegt Yves. “Het dichtbij kunnen produceren wordt steeds belangrijker. Met de erkenning Factory of the Future moedigen we bedrijven aan om volop in te zetten om een wendbaar en futureproof bedrijf te worden, dat producten met een hogere toegevoegde waarde oplevert. Datzelfde kan rond cybersecurity .”

De Lerende netwerken binnen Agoria zijn belangrijk in het behalen en bestendigen van dit resultaat. “We hebben lerende netwerken voor kmo’s, maakbedrijven, rond de circulaire economie…”, somt Yves op.

“In deze netwerken leren ondernemingen van elkaar en wisselen ze waardevolle informatie uit in kleine groepen. Ze delen bijvoorbeeld ervaringen rond hun problemen, de hacking die ze hebben meegemaakt. Dat doen ze onderling liever dan met hun verhaal naar de pers stappen omdat het vertrouwen binnen de lerende netwerken groot is.”

In april 2021 plant Agoria het volgende lerend netwerk voor kmo’s.