Kmo’s krijgen financiële steun om hun cyberveiligheid op te krikken: “Bedrijven staan te weinig stil bij de impact van zo’n cyberaanval op lange termijn”

Cyberaanvallen richten financiële schade én reputatieschade op langere termijn aan bij bedrijven, en ze slaan een deuk in het vertrouwen bij klanten en leveranciers. In een digitale, geconnecteerde economie zorgen ze bovendien voor een sneeuwbaleffect. Redenen genoeg voor het Vlaams Agentschap Innoveren & Ondernemen (hierna VLAIO) om kmo’s te helpen om zich te wapenen tegen cyberveiligheidsrisico’s. “Tegenover elke grote cyberaanval die de media haalt, staan tientallen aanvallen bij kleinere bedrijven”, zeggen VLAIO-adviseurs Jeroen Fiers en Patrick Hauspie. “Die springen minder in het oog, maar de impact op de onderneming is minstens even groot.”

Je zou denken dat elk bedrijf ondertussen wel doordrongen is van het belang van cyberveiligheid, maar dit blijkt in de praktijk vaak toch niet het geval. “Er zijn nog altijd ondernemers die het cyberveiligheidsrisico onderschatten. Dat zijn echt niet alleen de kleine kmo’s. We merken dat IT-afdelingen en zeker directies nog steeds niet goed beseffen wat de mogelijke impact is van een cyberaanval. Ze denken dat het hun buur misschien kan overkomen, maar dat zij wel door de mazen van het net zullen glippen”, aldus Fiers.

“Iederéén is vandaag een mogelijke prooi voor cybercriminelen”, benadrukt Hauspie. “Zowel kleine kmo’s als grote multinationals, in eender welke sector. We zien dat veel kmo’s nog denken dat cyberaanvallen iets zijn waar alleen grote bedrijven mee te maken krijgen. Dat zijn natuurlijk de gevallen die de media halen, aanvallen die grote beursgenoteerde bedrijven als Picanol of vliegtuigbouwer Asco platleggen. Maar wij zien dat tegenover elk van die ‘high profile’ aanvallen tientallen andere gevallen staan bij kleinere bedrijven. Die springen minder in het oog omdat de schaal kleiner is. Maar, geloof ons, de impact op het bedrijf is minstens even groot.”

De human firewall

Waar veel bedrijven volgens Fiers nog te weinig bij stilstaan, is de impact op langere termijn: de reputatieschade en het gedeukte vertrouwen. “Reputatieschade is moeilijker te meten of te becijferen, maar ook moeilijker te herstellen. Een cyberaanval of een datalek zorgt voor een vertrouwensbreuk. Steeds meer leveranciers stellen cyberveiligheidseisen aan hun klanten, ze willen garanties dat hun data veilig zijn en waterdichte bescherming genieten. Bouw je niet voldoende zekerheid in, dan ga je als bedrijf klanten en opdrachten verliezen.”

Die cyberveiligheid gaat verder dan een firewall, een antivirusprogramma en back-ups, voegt Hauspie eraan toe. “Je moet niet alleen de technologische kant afdekken. Er is ook een procesmatige kant. Mensen zijn één van de zwakke schakels, de ketting is maar zo sterk als de zwakste schakel. Dat is wat ze de human firewall noemen. Goede processen zijn nodig om bedrijven minder kwetsbaar te maken voor menselijke fouten. Cyberveiligheid overstijgt IT, het is vandaag een opdracht voor élke afdeling en élke medewerker.”

Ramen en deuren wagenwijd open

Jeroen Fiers botst geregeld op een aantal hardnekkige misvattingen over cyberveiligheid. “De eerste is dat bedrijven soms denken dat een verzekering hen ontslaat van de verantwoordelijkheid om zélf nog in cyberveiligheid te investeren. Een verzekering is goed, we moedigen bedrijven aan om zich te verzekeren tegen cyberaanvallen. Maar ze mag geen vals gevoel van veiligheid geven. Het is toch niet omdat je een goede inbraakverzekering hebt dat je voortaan alle deuren en ramen dan maar laat openstaan? Bovendien vragen verzekeraars een minimaal niveau van cybersecurity beveiliging en zullen deze vereisten naar de toekomst toe nog worden aangescherpt.”

“Een tweede misvatting is dat cyberveiligheid iets is dat de IT’er in het bedrijf ‘er wel even bij zal nemen’. Cybersecurity is specialistenwerk. Zelfs externe IT-partners kunnen dat niet zomaar bolwerken. Een expert in cyberveiligheid hoeft niet noodzakelijk duur te zijn. Soms investeren bedrijven veel geld in nieuwe en dure firewalls, terwijl andere ingrepen misschien dringender, doeltreffender én goedkoper zijn. Experts detecteren de grootste noden en kunnen prioriteiten naar voor schuiven. Maar cyberveiligheid komt onvermijdelijk met een prijskaartje. Elk jaar opnieuw, want je moet gelijke tred houden met de cybercriminelen die ook niet stilzitten en steeds inventiever worden. Laten we opnieuw de vergelijking maken met een brand: branddetectoren kosten ook geld, maar de financiële schade van een brand zal gegarandeerd een veelvoud van die investering bedragen.”

VLAIO ondersteunt met de cybersecurity verbetertrajecten kmo’s die een expert onder de arm nemen om aan hun maturiteit op het gebied van cyberveiligheid te werken. Ze krijgen tot 45 procent van dat verbetertraject terugbetaald. “Elk traject bestaat uit drie stappen”, legt Fiers uit.

“Het begint altijd met een analyse van de huidige situatie, gevolgd door een verbeterplan met concrete prioriteiten. Maar, en dat is heel belangrijk, we zorgen ervoor dat het daar niet bij stopt. Hoeveel bedrijven hebben geen plannen in de schuif liggen die ze nooit uitgevoerd hebben? We waken erover dat binnen het trajext de meest prioritaire pijnpunten ook worden aangepakt. We ondersteunen uiteindelijk geen papieren plannen, maar concrete acties die de cyberveiligheid opkrikken.”

Kmo’s mee in bad trekken

Waarom zet Vlaanderen zo fors in op cyberveiligheid? “Met de toegenomen digitalisering nemen ook de cyberveiligheidsrisico’s toe”, verduidelijkt Hauspie. “Die hebben niet alleen een grote impact op ondernemingen, maar op de volledige samenleving en de economie. Bedrijven vormen samen één groot ecosysteem. Als één bedrijf schade oploopt, dan delen ook klanten en leveranciers in de klappen.”

“In de digitale economie van vandaag is iedereen afhankelijk van elkaar. Het bedrijf dat jouw elektriciteit levert is niet hetzelfde bedrijf dat jouw elektriciteit opwekt, maar die twee moeten wel met elkaar communiceren en massa’s data uitwisselen. Die hele ketting, met ook heel wat kleine nichespelers, moet beveiligd zijn. Want net zoals in een bedrijf volstaat één zwakke schakel om de hele ketting lam te leggen. In een digitaal machinepark, waar alles aan alles is gekoppeld in de cloud, kan je via één sensor de hele productie platleggen. Daarom gaan we nog een stap verder dan sensibilisering en trekken we de Vlaamse kmo’s echt mee in bad.”