Waarom je je bedrijf maar beter beschermt tegen cybercriminelen

Tekst Sam De Kegel en Laurens Fagard – foto Wim Kempenaers

Natuurlijk had hij nooit gedacht slachtoffer te worden van cybercriminelen. Tot het gebeurde. Emmanuel Buyck, CEO van The Rotating Company, gespecialiseerd in de verkoop en service van industriële elektrische aandrijvingen, wil graag zijn verhaal delen. Om anderen te behoeden voor onheil. Om tips te geven. Om het taboe te doorbreken dat bestaat bij ondernemers die ‘schaamte’ voelen om hun ervaring te delen nadat ze het slachtoffer werden van ernstige fraude. 

Emmanuel Buyck kreeg te maken met zogenaamde CEO-fraude. Bij CEO-fraude geven fraudeurs zich uit voor de CEO (of een andere vertrouwenspersoon) van een bedrijf en geven ze aan een medewerker van dat bedrijf de opdracht om grote sommen over te schrijven. Vaak vragen ze om dat vertrouwelijk te houden, zodat de medewerker de opdracht niet zou controleren bij zijn verantwoordelijken. Daarvoor creëren ze een vals adres dat bijna niet te onderscheiden is van het echte adres van de CEO, of nog geslepener: kraken ze de mailbox van de CEO.

In de naam van…

“Ik weet nog altijd niet hoe ze aan mijn wachtwoord gekomen zijn, maar eenmaal ze hadden ingebroken in mijn mailbox is het niet zo moeilijk om in kaart te brengen wie voor wat verantwoordelijk is. Ze houden je perfect in de gaten om te zien wat je doet, naar wie je betalingen doorstuurt, wie verantwoordelijk is voor betalingen,… Vervolgens slaan ze meedogenloos toe”, steekt Emmanuel Buyck van wal. “Dit is identiteitsfraude: ze nemen mijn identiteit aan en sturen naar mijn boekhouder een mail om een betaling te doen. Heel concreet kreeg ze de dringende vraag om een betaling uit te voeren voor een investering in Amerikaanse software in de ordegrootte van 200.000 euro. Dat klonk haar niet onrealistisch of ongeloofwaardig in de oren omdat ze wist dat ik bezig was met een softwareplatform te creëren met o.a. Amerikaanse collega-bedrijven. En dat soort investeringen hadden we al gedaan, het bedrag was dus niet onrealistisch hoog. Vervolgens zetten de fraudeurs druk om de betaling op een bepaalde dag goed te keuren. Mijn boekhouder voelde niettemin een beetje argwaan en mailde me terug of ik wel zeker van mijn stuk was. Maar de hackers hadden het slim aangepakt en lieten de binnenkomende mails van mijn boekhouder in een andere map terechtkomen. Ik kreeg geen mails meer van haar binnen. Ondertussen voerden de hackers de druk op om ‘vanuit mijn naam’ de investering goed te keuren. Zij ging er dus vanuit dat ik dit was. Ze probeerde me wel te bellen, maar ze kon me toen niet via mijn smartphone bereiken, want mijn zoontje had die in het toilet laten vallen waardoor ik die dag ook onbereikbaar was per gsm.”

Spannende dagen

Een ongeluk komt nooit alleen, zegt een spreekwoord. Uiteindelijk voerde de boekhouder de betaling uit. Emmanuel: “Een uur of twee nadat de betaling werd uitgevoerd, belde mijn interbancair betalingsplatform me op om te checken of het wel degelijk correct was, maar ook zij konden me niet bereiken. Uiteindelijk vond de betaling dus plaats.”

“De volgende dag bekeek ik, zoals elke dag, de standen van mijn rekeningen, mijn werkkapitaal zeg maar. Ik zag plotseling een grote val van 200.000 euro en belde naar mijn boekhouder, ondertussen was ik weer mobiel bereikbaar. Die werkte thuis, want we zaten in volle covid-tijd. Ze antwoordde me meteen dat dit ‘normaal’ was, want het ging om die zogenaamde Amerikaanse investering. Toen viel mijn euro en wist ik dat ik bedrogen was. Het eerste wat je dan moet doen, is contact opnemen met de lokale politie om een PV te laten opmaken, maar ik belde eerst naar mijn bank. Daar merkte ik dat ze niet meteen wisten wat ze moesten doen. Eerst wilde de bankier aan de lijn me geruststellen; hij dacht dat ik een betaling had uitgevoerd naar een verkeerd rekeningnummer, maar uiteindelijk werd ik doorverwezen naar de fraudedienst van mijn bank toen ik bleef beklemtonen dat ik echt bedrogen was. Mijn enige hoop was toen dat de betaling nog ergens zweefde tussen de banken en ze het bedrag konden onderscheppen.”

Diezelfde avond stelde een politieagent een PV op dat werd doorgestuurd naar de fraudedienst van zijn bank. Wat volgde waren vier dagen in totale onzekerheid. “Dat waren bijzonder spannende dagen, al had ik er na een paar dagen een beetje vrede mee in de overtuiging dat ik mijn geld kwijt was. Ik moest het loslaten, maar dat was verre van gemakkelijk. Uiteindelijk kreeg ik vier dagen later van mijn bank het bericht dat ze de frauduleuze transactie ongedaan konden maken en het geld hadden kunnen blokkeren. Eén uur later stond het weer op mijn rekening. Daarvoor ben ik mijn bankier heel dankbaar.” 

Corona als brandversneller

Verschillende bronnen bevestigen dat de coronapandemie CEO-fraude in de hand heeft gewerkt doordat er meer werd thuisgewerkt en bepaalde controlehandelingen soms moeilijker waren en wegvielen. In gewone werkomstandigheden zal een medewerker die een dergelijk mailtje ontvangt van zijn CEO en twijfels heeft over de vraag tot betaling wellicht snel even binnenstappen in het bureau van de CEO. Nu thuiswerk bij veel bedrijven (al dan niet tijdelijk) de norm is geworden, is deze controlestap een stuk groter. 

Emmanuel Buyck wil andere ondernemers waarschuwen en geeft drie concrete tips. 
“Eén: bescherm je e-mail account en implementeer altijd minstens tweefactorauthenticatie in je organisatie. Bouw dus voldoende controlestappen in, dat is de beste manier om CEO-fraude te voorkomen. Twee: implementeer een goed beleid – lees: strenge procedures – voor het veranderen van bankrekeningen van leveranciers, aanmaken van nieuwe leveranciers, uitvoeren van betalingen,… Je bent immers nooit 100 % zeker wie er achter een rekeningnummer schuilt. Drie: Neem een verzekering. De kans dat je in de toekomst slachtoffer wordt van cyberoplichting is veel groter dan dat je bedrijf afbrandt of dat ze inbreken in je huis. We zijn allemaal bang voor diefstal, we investeren in omheiningen en in een duur alarmsysteem, maar de ‘fysieke’ inbrekers behoren tot het laagste niveau. De échte criminaliteit vindt online plaats, het meest waardevolle zit ook steeds vaker online. En de verzekeringskosten voor cyberschade zijn veel lager dan die van je brandverzekering. Wij betalen zelf 1.500 à 2.000 euro per jaar, al weet je natuurlijk nooit in welke mate een verzekeraar je tegemoetkomt indien je echt het slachtoffer wordt.” 

Emmanuel beaamt dat voorkomen nog altijd beter is dan genezen. “Via een polis koop je wat gemoedsrust, maar het is nog altijd belangrijker om je bedrijf zo goed mogelijk te beveiligen.” 

Hij wil nog één ding kwijt. “Als je als ondernemer het slachtoffer wordt, heb geen schaamte. Zelf voelde ik ook eerst schaamte, maar nadien besefte ik dat dit niet nodig is. We zijn niet perfect, we maken allemaal fouten, als die er al zijn. Niet het slachtoffer moet de schuld krijgen, maar wel de oplichter. Maar zolang er gezwegen wordt uit schaamte, hebben deze cybercriminelen vrij spel. Ik wil niet weten hoeveel bedrijven jaarlijks verliezen aan online fraude. Dit moet zeker op Europees niveau aangepakt worden en ook alle betrokken spelers zoals banken en politie moeten nog alerter worden.” 

Cyberveiligheid als mindset

Dat cybercriminaliteit exponentieel toeneemt, is ook het Vlaams Agentschap voor Innoveren & Ondernemen (VLAIO) niet ontgaan. Bedrijven konden via de CS-verbetertrajecten sinds 1 januari al rekenen op een uitgebreid steunpakket om hun cyberveiligheid aan te pakken, maar onlangs werd ook beslist om het steunpercentage voor opleidingen en advies inzake cyberveiligheid op te trekken binnen de kmo-portefeuille. “Cyberveiligheid is immers van onmiskenbaar belang en daar blijven we op hameren”, aldus Patrick Hauspie, programma-adviseur cyberveiligheid bij VLAIO (Team Bedrijfstrajecten).

De laatste jaren werd rond cyberveiligheid al behoorlijk gesensibiliseerd, maar het aantal bedrijven dat sindsdien al een concreet plan van aanpak heeft om cyberaanvallen te vermijden, is nog verwaarloosbaar. “Het is meer dan louter een firewall installeren en technisch een en ander aanpassen”, aldus Patrick. “Cyberveiligheid is een mindset en een combinatie van allerlei factoren. We proberen bedrijven aan te moedigen om te investeren vooraleer het kwaad is geschied. Want eenmaal je in de problemen zit, kan de impact immens groot zijn. Bij een cyberaanval is er niet alleen risico op reputatieschade, maar kan de productie soms enkele dagen stil liggen en dat zorgt wellicht voor nog grotere financiële katers.”

Cybercriminaliteit sponsoren

In de wereld van cybercriminelen is ransomware wellicht een van de meer populaire technieken. Het is een manier om bestanden te versleutelen en pas vrij te geven voor losgeld. “Als je een systeem hebt dat regelmatig back-ups maakt, ben je op zich al relatief goed af. Bedrijven waar dat niet het geval is, zien zich genoodzaakt om het gevraagde losgeld te betalen en financieren zo onbedoeld criminaliteit. In de toekomst zal dat wellicht strafbaar worden waardoor je geen andere keuze meer hebt dan je goed te beveiligen”, zegt Patrick. “Ook hier is het belangrijk om je te laten adviseren door specialisten wanneer een dergelijk scenario zich stelt.”

Uit een recent onderzoek van verzekeringsmakelaar en risicoadviseur Marsh blijkt dat kwaadaardige cyberaanvallen verantwoordelijk zijn voor 80 % van de cyberclaims op het Europese vasteland. Bedrijven laten zich dus almaar meer verzekeren tegen de opkomende cybercriminaliteit. “Een polis afsluiten kan dan wel gemoedsrust geven, maar het mag niet leiden tot een vals gevoel van veiligheid”, waarschuwt Patrick. “Als je jouw systemen enkel verzekert en niet verder beveiligt, is het een doekje voor het bloeden. Je kan het vergelijken met de voordeur van je huis op slot doen, maar de ramen aan de achterkant laten openstaan.”

Minimumeisen

De toenemende complexiteit van IT houdt kmo’s vaak nog tegen om over te gaan tot concrete stappen in hun cyberveiligheid. “Het is perfect mogelijk om als bedrijf zelf al enkele verbeteringen door te voeren”, stelt Patrick. “Maar extern advies inroepen is in de praktijk echter geen overbodige luxe. De CS-verbetertrajecten die we vanuit VLAIO aanbieden, kunnen daarbij een eerste vertrekpunt zijn om met ondersteuning van een CS-dienstverlener tot een concreet actieplan te komen. Echter ook als je een IT-partner hebt, mag je er als bedrijf niet van uitgaan dat jouw cyberveiligheid verzekerd is. Het is daarom zeker aangewezen deze partner aan te spreken over hoe zij jouw cyberveiligheid garanderen. Want niet alle IT-partners beschikken over een uitgebreide expertise inzake cyberveiligheid. Bovendien gaat cyberveiligheid in de realiteit verder dan enkel de technologische component. Zo zijn opleidingen en procedures minstens even belangrijk. Een tweede partner inroepen die wel die specifieke knowhow rond cyberveiligheid heeft, kan dus een heilzame beslissing zijn.”

“Alle mogelijke verbeteringen inzake cyberveiligheid dragen stuk voor stuk bij tot hoe je je wapent voor de toekomst”, merkt Patrick nog op. “Bedrijven moeten zich hierbij van bewust worden dat het bewaken van de cyberveiligheid geen eenmalige actie is maar ook in de toekomst verder aandacht vergt. In contracten met klanten of leveranciers komt het steeds meer voor dat er minimumeisen worden gesteld. Ook financiële instellingen zullen in de toekomst steeds meer aandacht vestigen op hoe het is gesteld met jouw cyberveiligheid bij de analyse van kredietverstrekking. Hetzelfde geldt voor verzekeringsinstanties die niet langer blindelings ‘cyberpolissen’ zullen afsluiten zonder eerst garantie te hebben op een minimaal afweersysteem tegen cybercriminaliteit.”

In de trend naar meer beveiliging wordt een dalend gebruiksgemak ook wel eens opgeworpen als tegenargument. “Dat zal op de werkvloer ongetwijfeld meespelen. Hoe minder stappen je moet doorlopen, hoe gebruiksvriendelijker een toepassing is. Maar in veel gevallen staan de poorten wagenwijd open terwijl dat helemaal niet nodig is. Werknemers hebben soms toegang tot een programma dat ze slechts één keer per jaar gebruiken. Het regelmatig herzien van toegangsrechten is dus eveneens onderdeel van een goede cyberveiligheid”, besluit Patrick.