Dinsdagnamiddag. Ik zit in de wagen en krijg telefoon op mijn gsm. Gelukkig weigert de bluetooth deze keer geen dienst. Een pr-verantwoordelijke van een it-leverancier suggereert een interview naar aanleiding van de ransomware-aanval bij Picanol.
Ervoor had al een ander bedrijf gebeld met een app die snel en eenvoudig berekent hoeveel een cyberaanval kan kosten. Ook in mijn mailbox is Picanol goed vertegenwoordigd. De persberichten en interviewsuggesties rond security en cyberverzekeringen stapelen zich op.
Persbericht? Onmogelijk
Ook al hebben al deze aanvragen iets opportunistisch, de impact van de ransomware bij Picanol is gigantisch. De productie ligt de hele week stil en het aandeel werd geschorst. Door de it-perikelen kon het bedrijf aanvankelijk zelfs niet eens een persbericht mailen.
Het bedrijf wordt mogelijk het grootste slachtoffer van ransomware in ons land, en dan zijn we de problemen bij vliegtuigbouwer Asco nog niet vergeten. Dat bedrijf moest voor weken technische werkloosheid inroepen.
Kostprijs: 136.000 euro
De situatie bij Picanol moet bij menig ceo vragen oproepen over hun eigen aanpak van it en beveiliging. Als ik cyberverzekeraar Hiscox mag geloven, loopt de gemiddelde schade van een hacking of een ransomware aanval al vlug op tot 136.000 euro. Terwijl de meeste bedrijfsleiders geloven dat het hen zo’n 9.000 euro zal kosten.
Voor de branche van de cyberverzekeringen leveren de problemen bij Picanol natuurlijk extra aandacht op. En ook onze eigen InfoSecurity expo van 18 en 19 maart komt in de kijker te staan. Al mag security niet drijven op incidenten en moet het nut van goede oplossingen, procedures en bewustwording op zichzelf staan, los van het zoveelste incident.
Wonderoplossing? Onbestaande
Natuurlijk zijn de echte aasgieren de hackers die bij Picanol lelijk huishouden. Maar de it-leveranciers en verzekeraars leggen dezer dagen ook best de nodige bescheidenheid aan de dag. Ondanks hun (zo goed en zo kwaad mogelijke) open communicatie weten we onvoldoende wat er echt aan de hand is bij Picanol.
Elk bedrijf kan vandaag gehackt worden, en als dat bij die it-leveranciers en verzekeraars het geval is, denk ik niet dat wij meteen gecontacteerd zullen worden.
15 procent klikt op phishing
Bovendien is er in security geen wonderoplossing. Je mag nog de beste oplossingen en procedures hebben, één foute klik kan voldoende zijn.
Ik herinner me de aanpak bij een middelgroot Belgisch bedrijf dat regelmatig een fake phishing mail stuurt naar zijn personeel: van een zogezegde link naar een Dropbox tot een valse factuur. Bij de eerste testmail trapte vijftien procent van de medewerkers in de val en klikten ze op de vermeende phishing-link. Een ontmoedigend resultaat. Daar sta je dan met je degelijke firewall, antivirus en back-up policy.
Maar na enkele opeenvolgende en gelijkaardige sensibiliserings-mails gaat het beter bij dat bedrijf en de medewerkers.
Security is een werk van lange adem en vele handen. Handen die allemaal fout kunnen klikken.
