Cyberaanvallen vormen een onderschat veiligheidsrisico voor veel bedrijven

Bedrijven zijn een gewillige prooi voor hackers. Statistisch gezien is zo'n 50 procent van de bedrijven al eens slachtoffer geworden van cyberincidenten. De andere helft zal hoe dan ook de komende vijf jaar aan de beurt komen.

Al ruim 17 jaar vecht Menno van der Marel voor een veiligere digitale wereld. Als CEO van de securityleverancier Fox-It, opgericht met Ronald Prins, behoedt Van der Marel bedrijven voor cyberincidenten en helpt hij ten prooi gevallen organisaties gezond te maken en beter te beveiligen.

Op het Jaarcongres Finance Transformation 2016 laat hij ontvallen de veiligheidssituatie van veel bedrijven precair te vinden. Dat gevoel wordt mede ingegeven door een recente meeting van de CFO Association over dit vraagstuk. Allen hadden wel eens een cyberincident meegemaakt, maar geen van hen voelde zich verantwoordelijk. “Vrijwel niemand aan tafel zag de ernst van de situatie in, terwijl het een snel om zich heen grijpend probleem is”, stelt Van der Marel.

CEO-fraude onderdeel van groter probleem
De aandachtig luisterende financials in de zaal hebben minder ervaring met cyberincidenten. Het is waarschijnlijk zelfs zo dat het merendeel niet eens door heeft gehad dat zijn of haar bedrijf ooit door een cyberaanval is getroffen. Zeven personen zijn zich daar wel bewust. “Laatst kreeg ik een e-mail van mijn CEO met de vraag of ik een bepaald geldbedrag wilde overmaken. De tekst was geschreven in slecht Nederlands. Hoewel ik wist dat mijn Duitse baas graag Nederlands wilde leren, voelde dit niet goed aan. Toen heb ik hem gebeld en bleek dat zijn e-mailaccount gehackt was,” vertelt een van de zeven getroffenen.  

Van der Marel bestempelt dit als een voorbeeld van CEO-fraude: een hacker doet zich voor als een hogergeplaatste door in te breken in diens e-mailaccount en vraagt om direct forse geldbedragen over te maken. Dit fenomeen is volgens Van der Marel onderdeel van een groter probleem.

De cyberexpert vertelt dat hackers op wel duizenden manieren ongewenst en onzichtbaar organisatiesystemen binnendringen. Zo begonnen digitale inbrekers ooit met gerichte aanvallen op bepaalde bedrijven, maar tegenwoordig kan iedereen het doelwit worden. “Ongerichte cyberaanvallen op veelzijdige manieren zijn aan de orde van de dag.”

Duitse staalfabriek
Het voorbeeld van een staalfabriek in Duitsland waar tienduizenden camera’s waren gehackt is het meest prangende geval. “Hackers gaan tegenwoordig niet alleen door kantoorsystemen als pc’s, maar kruipen net zo goed in productiesystemen als fabrieksapparatuur. “Gevaarlijk, want een productie kan stilgelegd of gemanipuleerd worden,” legt de CEO uit.  

Vaak wordt een bedrijf door een hacker voor het blok gezet. De enige manier om daarvan af te komen is door met een zak geld over de brug te komen, en dat kapitaal wordt weer geïnvesteerd in nieuwe hackmethoden en -apparatuur. “Dat werkt heel effectief en draagt bij aan een groeiend probleem”, erkent Van der Marel. Wat je er tegen kunt doen? “Voorkomen is beter dan genezen en dat doe je door tijdig te detecteren waar het lek zich bevindt.”

Vier fases
In een rap veranderend dreigingslandschap moet er dus sneller geanticipeerd worden. Van der Marel legt uit dat veel bedrijven te lang blijven hangen in de preventieve fase (fase 1). In deze fase wordt er weinig gedaan tegen cyberincidenten. Het probleem wordt gelabeld, maar vervolgens verdwijnt het vaak snel naar de achtergrond. Ook in de zogeheten intelligence fase (fase 2) ben je nog niet van hackers af. Intelligence kan weliswaar informatie verschaffen over het doelwit en de dader. Maar om malware en bugs werkelijk te kunnen detecteren (fase 3), moeten er bepaalde tools ingezet worden die andere kennis vereisen. Tot slot zal er ook naar het probleem gehandeld moeten worden (fase 4; responsieve fase). Hoe voorkom je dat je nog een keer op dezelfde manier getroffen wordt? Het updaten van virusscanners alleen is niet afdoende, want hackers weten deze firewalls toch keer op keer weer makkelijk te omzeilen.

De nood is hoog voor extra veiligheid, zo blijkt uit cijfers die Van der Marel geeft. De helft van alle bedrijven is al eens slachtoffer geweest van cyberincidenten, terwijl de verwachting is dat de andere 50 procent de komende vijf jaar aan de beurt zal komen. Bovendien vertelt hij dat het gemiddeld 200 dagen duurt voordat een bedrijf door heeft dat het gehackt is. “Dat is niet eens onlogisch, want een bedrijf merkt vaak helemaal niet dat er indringers binnen zijn [geweest],” verklaart Van der Marel.

Champagne-moment
Positiever nieuws valt er ook te melden. Fox-IT mengt zich nadrukkelijk in the war on cybercrime, de internationale heksenjacht op hackers die wereldwijd het leven van bedrijven en consumenten zuur maken. Door speurwerk van de internationale securityleverancier is onlangs een Russische hacker, die miljoenen dollars buit heeft gemaakt, opgepakt. In een kort filmpje dat wordt getoond, is een in zijn onderbroek snikkende hacker in een grauw appartement in Moskou omsingelt door een eenheid special agents. Van der Marel noemt de vangst ‘een champagne-moment’.

Fox-IT mede-oprichter Menno van der Marel


Interessant voor u als Executive Financial:  

1. Save the Date in 2017
In 2017 vindt het Jaarcongres Finance Transformation plaats op 9 november en CFO Day op 1 juni. Noteer deze data alvast in uw agenda. Wij hopen u volgend jaar te verwelkomen. Wilt u als partner betrokken zijn bij het congres? Neem dan contact op met Tim Bosman via 020 639 0008 of [email protected].

2. Wilt u netwerken op topniveau?
Wilt u volgend jaar aanwezig zijn bij Jaarcongres Finance Transformation en bij de vele andere inspirerende bijeenkomsten voor CFO's en FD's? Word dan nu lid van de CFO Association, dé exclusieve community van CFO's en FD's in Nederland. Als lid bent u welkom tijdens de exclusieve netwerkevenementen en de congressen Finance Transformation en CFO Day. Topevenementen vol inspiratie, interactie, knowhow, hoog niveau aan hospitality en netwerken met collega CFO's en FD's. Tevens ontvangt u jaarlijks 4 keer CFO Magazine. Meld u hier aan.

3. Interessante opleidingen voor u en uw collega’s:
- Denk als een Startup: Finance als Innovation enabler.
- Volg dé leiderschapstraining voor Financials: Effectief Leiderschap in 4 dagen.
- Voorkom financiële missers en creëer waarde. Volg de driedaagse training Financiële Analyse.
- Groei in uw rol als strategisch partner. Volg de vijfdaagse Masterclass Strategisch Financieel Management.
- Integreer risicomanagement in uw organisatie. Volg de vijfdaagse Opleiding Risicomanagement.