Cybersecurity Webinar: ‘Hackers often just enter through the front door’

5 minutes reading time

Europa neemt steeds meer wetgevende maatregelen om de supply chains fysiek beter te beschermen en digitaal weerbaarder te maken tegen cyberaanvallen. De belangrijkste inspanningen om de cyberveiligheid van bedrijven te garanderen liggen echter bij de bedrijven zelf. Gunther Storme (VIL) en Gert-Jan Wille (Howest) gaven tijdens een recent Log!Ville webinar tips en tricks om dat te doen.

In een vorig artikel zagen we hoe toeleveringsketens fysiek en digitaal kwetsbaar zijn en hoe de Europese overheid maatregelen neemt om kritieke infrastructuren en grote bedrijven – onder meer in het transport en de logistiek – te behoeden voor cyberaanvallen. Zo is de Network and Information Security Directive 2, beter gekend als NIS2-richtlijn, in oktober jl. in werking getreden.

Inmiddels is ook de Cyber Resilience Act (CRA), aangenomen door de EU. Die zal van toepassing zijn vanaf oktober 2027. Deze stelt strenge beveiligingseisen aan producten met digitale elementen zoals IoT-apparaten, software en industriële systemen. Terwijl bij NIS2 de nadruk eerder lag op kritieke infrastructuren, introduceert de CRA een bredere, proactieve aanpak, waarbij alle met het internet verbonden producten (hard- en software) onderworpen zijn aan deze strengere normen. In de pers werden vooral voorbeelden gegeven van consumentenelektronica, maar ook in de logistiek zal de CRA een grote rol spelen. Steeds meer robots, handheld scanners, voice picking systemen en noem maar op zijn met de cloud verbonden en dus kwetsbaar voor cyberaanvallen.

Veel kmo’s zijn zich niet bewust van de risico’s.

Men verwacht dat deze wetgeving door een uitdeiningseffect niet alleen grotere organisaties en bedrijven zal impacteren, maar op vrij korte termijn ook de kmo’s. Dat zal hen voor grote uitdagingen plaatsen, omdat ze vaak cyberrisico's onderschatten. Ze denken immers te klein te zijn om doelwit te worden en vaak onvoldoende kennis of middelen hebben voor goede beveiliging. Daarnaast ligt hun focus op dagelijkse bedrijfsvoering, waardoor cybersecurity een lagere prioriteit krijgt en dreigingen worden genegeerd.

Deze combinatie van misvattingen, beperkte middelen en een gebrek aan bewustzijn maakt hen kwetsbaar voor cyberaanvallen. Daarom organiseerde Log!Ville in samenwerking met POM West-Vlaanderen onlangs het webinar “Zeg nooit nooit: Hoe voorbereid is jouw bedrijf op cyberaanvallen?”.

Bewust... en toch niet helemaal

“Hoewel het risico op cyberaanvallen wordt onderschat, hebben we te maken met een reëel probleem. Naar schatting is zo’n 40% van de Belgische bedrijven al slachtoffer geweest van een cyberaanval. Maar de bewustwording groeit: als ik bedrijfsleiders vraag of ze vrezen dat ze in 2025 slachtoffer zullen zijn van een cyberaanval, varieert het percentage tussen de 57% en 100%”, zegt Gunther Storme, digitaal expert bij VIL.

“Ondanks de grotere bewustwording geven veel mensen zich geen rekenschap van de risico’s. Zo heeft ongeveer twee derde van de Belgen geen virusscanner op hun smartphone geïnstalleerd en zijn ze dus onbeschermd tegen cyberdreigingen. En toch aarzelen ze niet om, bijvoorbeeld, een QR-code te scannen om toegang te krijgen tot een ‘guest wifi’. Niemand leest de gebruiksvoorwaarden. Niemand weet welke data de wifi uitstuurt of vergaart. Toch scannen ze een QR-code met een smartphone waarop veel company data staat. Hackers kunnen met andere woorden gemakkelijk via een smartphone bedrijfssystemen binnendringen”, zegt Gunther Storme.

Stappenplan en business modellen

“Hackers werken volgens een stappenplan. De eerste stap is de verkenning. De tweede is het binnendringen en de derde de ‘uitbating’. In tegenstelling tot wat men denkt zijn hackercollectieven niet bedreven in alle drie de stappen, maar leggen zich toe op één van de drie, telkens met een apart business model”, vertelt hij.

De eerste verkennen de netwerken en leggen de kwetsbaarheden vast. Zij verkopen die informatie door aan de tweede groep, die probeert binnen te dringen. Eens ze daarin zijn gelukt, plaatsen ze van alles op laptops, IoT-devices, netwerken enzovoort. Vaak zijn ze weken onopgemerkt aan de slag. Zij verkopen dan weer die informatie door aan de derde groep, die dan beslist wat ze ermee gaat doen. Data stelen en doorverkopen? Alle systemen paralyseren om af te persen? Of gewoon systemen vernietigen om het bedrijf of de organisatie te beschadigen?

Maak het de hackers zo moeilijk mogelijk

Het komt er dus op aan om het de verkenners het zo lastig mogelijk te maken, het indringen te vermijden en de gevolgen van een cyberaanval zo gering mogelijk te houden. Daarom geeft Gunther Storme een aantal tips:

Installeer een multifactor (tweestappen) authenticatie

Leg offline back-ups aan

Zet ‘disaster recovery’-plannen op; test ze en onderhoud ze regelmatig.

Segmenteer uw netwerk en plaats firewalls tussen elk van de segmenten

Werk gelaagd, met beschermingsmaatregelen op verschillende niveau’s

En last but not least: geef ‘awareness training’ aan uw personeel.

Hoe komen hackers binnen?

Dat dat laatste uitermate belangrijk is, bewees Geert-Jan Wille, Head of Security Cyber 3 Lab bij de Howest hogeschool in Kortrijk. Hij is een zogenaamde ‘ethical hacker’ (geworden) die door bedrijven en organisaties wordt ingehuurd om cyberkwetsbaarheden bloot te leggen. Volgens hem kan iedereen gehackt worden of is het al geweest: de kans is groot dat uw gegevens al eens gestolen zijn en (door)verkocht. “Gebruik daarom steeds andere wachtwoorden en vervang ze regelmatig. Je moet dus een strategie uitstippelen om het hacken te voorkomen en, als het gebeurt, zo weinig mogelijk data vrij te geven.”

“Hoe komt een hacker een bedrijf binnen? De gemakkelijkste manier is phishing. Niet met een mailtje ‘Proficiat u hebt 2 miljoen gewonnen’. Neen, als ethische hacker gebruik ik een geloofwaardig mailtje als eye-opener voor een bedrijf: ik stuur bijvoorbeeld een mail om 11 uur ’s middags, zogezegd vanuit een nieuwe broodjeszaak in de buurt, met een menu en een prijslijst. Eens een bediende hierop klikt, ben ik binnen. Zo gewiekst gaan de hackers aan de slag”, legt hij uit.

Ook hij wijst op het feit dat hackersorganisaties zich gespecialiseerd hebben en nu ‘Cybercrime-as-a-Service’ (CaaS) verkopen, waarbij ze phishing kits, malware, DDos-aanvallen, hacking-for-hire, gestolen data en logingegevens aanbieden. “Dat is allemaal te vinden op het darkweb aan betaalbare prijzen. Je kunt er zelfs recensies op vinden”.

Gewoon via de voordeur

Het is zelfs niet nodig om phishing te gebruiken. “Je kunt ook – letterlijk – via de voordeur binnenkomen. Je gaat naar de ontvangstbalie en zegt ‘Goeiemorgen, ik ben van EKaF en kom voor onderhoud van de servers. De kans is groot dat de deskbediende me binnenlaat en zegt waar ik de servers vind”, zegt Wille.

Ook bedrijven met poortjes met een ID of badge zijn niet veilig voor hackers. “Met een Flipper Zero, een apparaatje van geen 200 euro, kun je in een handomdraai een badge klonen. Of je komt binnen met een paar zware zakken en je kunt er zeker van zijn dat mensen voor je het poortje open houden. En eens je binnen bent, is het voor jou als hacker speeltijd…”, schertst hij.

Personeel bewust maken

Net als Gunther Storme benadrukt Gert-Jan Wille dus dat bedrijven een tweefactor authenticatie moeten gebruiken, maar ook en vooral dat alles begint met de bewustwording van het personeel. Hij geeft het volgende raadgevingen mee: