Bijna drie op de vijf organisaties in België is niet voorbereid op een cyberaanval. Dat blijkt uit een enquête van het securitybedrijf Sophos. Als er een incident plaatsvindt, kunnen deze bedrijven alleen reactief reageren. Vooral kleine ondernemingen denken dat extra investeringen in it niet altijd nodig zijn.
De meeste deelnemers aan het onderzoek begrijpen dat hun organisatie nu meer blootgesteld is aan phishingaanvallen (51 procent) en aanvallen met ransomware (52 procent), maar de helft van de managers zijn ook overtuigd dat hun organisatie kan blijven draaien zonder extra investeringen in it. Dat is zeker zo in kleinere bedrijven met 21 tot honderd medewerkers.
Niet alleen de investeringen blijven achter, ook in termen van voorbereidingen op digitale aanvallen zijn er nog grote stappen te zetten. ‘Als er zich een cyberaanval voordoet, moet iedereen weten wat zijn rol is om de onderneming draaiende te houden en welke stappen moeten worden genomen om de systemen te herstellen. Zonder een plan zal er een ernstigere verstoring zijn en het herstel langer duren’, zegt Chester Wisniewski, hoofd wetenschappelijk onderzoek bij Sophos. ‘Er moet een plan zijn dat niet alleen focust op de it-infrastructuur. Het moet ook de juridische afdeling, pr, het seniormanagement en de ordehandhaving bestrijken.’
In België zeggen organisaties dat ze wellicht zullen bellen naar de politie (26 procent), het Centrum voor Cybersecurity België (20 procent) of hun eigen beveiligingspartner (19 procent). 24 procent heeft er echter geen enkel idee van met wie hij contact moet opnemen als hij het slachtoffer wordt van een cyberaanval.
Wisniewski: ‘Meestal moet je in de eerste plaats je juridisch adviseur op de hoogte brengen. Die persoon zal wellicht het advies geven om contact op te nemen met de lokale politie en de functionaris voor gegevensbescherming. Daarna volgt een dienst die je organisatie kan helpen om criminelen uit je netwerk te weren en die kan evalueren welke schade is aangericht. De gepaste informatie moet dan worden doorgegeven aan de politie en de functionaris voor gegevensbescherming.’
Niet betalen
ls de expertise om een beveiligingsstrategie uit te werken niet beschikbaar is binnen de organisatie, is die taak best uit te besteden aan een partner die de risico’s begrijpt, zegt Wisniewski. Een managed security service provider biedt de nodige maatregelen om te zorgen dat de schade tot een minimum wordt beperkt. Een managed threat detection and response-dienst kan een organisatie zelfs 24/7 ondersteunen door op zoek te gaan naar bedreigingen, die te detecteren en er snel op te reageren.
Bij een ransomwareaanval zegt bijna twee op de vijf managers bereid te zijn te betalen als hun onderneming zou worden getroffen. ‘Betaal nooit’, zegt Wisniewski. ‘Als je dat doet, dan financier je de georganiseerde misdaad en je hebt geen enkele garantie dat de criminelen je je gegevens zullen teruggeven. Mogelijk vragen ze nog meer geld voor je al je encryptiesleutels terugkrijgt. Meestal kun je niet alle gegevens terugzetten en moeten de systemen opnieuw worden opgebouwd om de integriteit ervan te herstellen. Een reden te meer om een cyberveiligheidsplan op te stellen en de risico’s te beperken op een cyberaanval die je veel geld zou kosten en je veel schade zou berokkenen.’