Meer dan 60% van de cyberincidenten in Vlaanderen treft KMO’s met minder dan 250 werknemers. 1 op 8 Vlaamse KMO's wordt effectief slachtoffer van een cyberaanval. 1 op 7 loopt daarbij concrete schade op. Het zijn cijfers die in de dagelijkse realiteit van veel ondernemers amper doordringen. Want de hardnekkigste misvatting bij KMO blijft dezelfde: “Wij zijn te klein, wij worden niet gehackt.”
Mathias Vissers en Reinaert Van de Cruys, de oprichters van Fox & Fish Cyberdefense en sprekers op Cybernova, het cybersecurity-subevent van Supernova, weten wel beter. Als ethisch hackers breken ze dagelijks in bij Belgische bedrijven en overheidsorganisaties. Legaal, welteverstaan. Om vervolgens in kaart te brengen waar het fout liep. Hun boodschap is simpel: “Vlaamse KMO’s zijn niet te klein of onzichtbaar om gehackt te kunnen worden. Integendeel, kleine KMO’s zijn dikwijls extra kwetsbaar.”
Neven met een missie
Mathias en Reinaert zijn neven, maar dat is niet het enige wat hen verbindt. Reinaert is opgeleid tot ethisch hacker, Mathias is een marketeer. Beiden delen ze de passie en fascinatie voor de kwetsbare kant van het digitale landschap en de overtuiging dat Vlaamse KMO's heel vatbaar zijn voor cyberaanvallen. Reinaert werd in 2024 verkozen tot Young Cybersecurity Professional of the Year door de Cybersecurity Coalition.
Ontvang je reeds de Bloovi nieuwsbrief?
1x per week, op dinsdagvoormiddag ontvang je de Bloovi newsletter in je mailbox. Inspirerende interviews en nieuwe inzichten.
De naam Fox & Fish is trouwens geen toeval. Fox is een verwijzing naar de Vlaamse parabel van "Van den vos Reynaerde". Tegelijk knipoogt de Fish naar de familienaam van Mathias, Vissers. Samen vormen ze sinds 2021 een complementair duo dat opvallende resultaten neerzet.
Hoe werkt een ethische hacker?
Bedrijven die willen weten hoe stevig hun beveiliging werkelijk is, geven Fox&Fish Cyberdefense de opdracht om hen te hacken. Soms met een afgebakende scope: één server, één applicatie, één netwerk. Maar het liefst krijgen Mathias en zijn team carte blanche. "We proberen op een of andere manier binnen te raken, kijken hoe ver we geraken, of we data kunnen buitmaken. Uiteraard altijd zonder schade aan te richten."
Het team werkt daarbij in nauwe samenwerking met de klant. Zodra ze een kwetsbaarheid blootleggen, communiceren ze dat onmiddellijk. Transparantie en vertrouwen vormen de basis, want het doel is niet om bedrijven te beschamen. Het doel is om hen weerbaarder te maken.
Wie denkt dat zijn bedrijf te klein is om interessant te zijn, vergist zich fundamenteel.
De echte, onethische hacker is lui
Het beeld van de eenzame hacker in een donkere kamer met een hoodie mag je vergeten. Achter de meeste cyberaanvallen zitten grote georganiseerde bendes, vaak opererend vanuit Azië en Rusland, met maffia-achtige structuren als aansturende kracht. Ze werken met targets, deadlines en efficiëntiemodellen. Net als elk ander bedrijf.
"Hackers gooien een groot virtueel visnet uit," legt Mathias uit. "Dat gebeurt zo veel mogelijk geautomatiseerd. Bots scannen constant servers op het internet die zoeken naar kwetsbaarheden en datalekken. Op een gegeven moment gaat er ergens een lampje branden waar ze potentieel in zien. En dan wordt er naar je gekeken. Op dat moment is het meestal al te laat."
Het is de economische logica van de onderwereld. Een bedrijf dat een halve dag kost om te kraken is vele malen interessanter dan een bedrijf waar drie dagen werk in kruipt. Mathias trekt graag de vergelijking met een woonwijk: aan de ene kant een huis met een hoge poort en een blaffende hond, aan de andere kant een raam dat wagenwijd openstaat. De keuze is snel gemaakt. En in de digitale wereld werkt het precies zo.
Hackers vissen niet met een lijntje, ze vissen met sleepnetten en op een geautomatiseerde manier. Elke KMO met een internetverbinding zwemt in dat net.
Spreken op Cybernova
Op Cybernova (het cybersecurity-subevent van Supernova) geeft Mathias een opmerkelijke break-outsessie: een darkweb safari. Geen sensatieverhaal over wapens en drugs, maar een nuchtere kijk op wat er werkelijk gebeurt met gestolen data.
"We horen veel over het darkweb, maar het blijft voor de meeste mensen iets vaags en ongrijpbaars," zegt Mathias. "Ik ga in mijn sessie uitleggen wat het is, hoe het werkt, en ik ga ook dingen laten zien. We bezoeken zowel enkele legale websites op het darkweb, die wel degelijk bestaan, maar gaan ook een kijkje nemen naar typische websites van ransomware bendes die bedrijven hacken.”
”Ik speel daarbij deels in op de actualiteit. Recente hacks bij Orange, Carrefour en een Waals gerechtsdeurwaarderskantoor zijn geen vrijblijvende nieuwsfeiten. De gestolen data is effectief opgedoken op het darkweb en we hebben die datalekken zelf teruggevonden. Het gaat om persoonsgegevens van mensen die daar als particulier niets aan kunnen doen.”
De impact reikt verder dan het eerste datalek. Gestolen gegevens worden systematisch gecombineerd met andere lekken, waardoor hackers steeds completere profielen opbouwen. Daarmee creëren ze overtuigende phishingmails, een zeer gerichte vorm van oplichting en geraffineerder social engineering.
Titel van de talk van Mathias Vissers op Cybernova: The Dark Web Safari An Ethical Hacker’s Guided Tour Through the Internet’s Wild Ever wondered what the Dark Web actually looks like? Join Cybersecurity Evangelist Mathias Vissers for a fascinating and ethical Dark Web Safari. We'll demystify what the Dark Web is, peek inside its notorious marketplaces, and see concrete examples of data leaks. This interactive session cuts through the media hype to give you a clear understanding of its real risks and, most importantly, how to secure your digital life against them.
Reinaert Van de CruysTitel: Hackers are lazy In this engaging keynote, Reinaert Van de Cruys breaks down how attackers rely on automation, giant scanning nets, and our predictable behavior. Data breaches become an all-you-can-eat buffet of intel for crafting targeted attacks. Meanwhile, we still treat passwords like autobiographies with bonus pet trivia. With humor, clarity, and live hacking moments, Reinaert urges us all to make cybercrime a lot less profitable.
* Alle sprekers en het volledige programma vind je op https://supernovafest.eu/events/cybernova-2026
Ransomware, de stille sluipmoordenaar
Ransomware haalt misschien minder krantenkoppen dan spectaculaire datalekken, met uitzondering van grote incidenten zoals bij ziekenhuizen, maar het blijft de meest voorkomende vorm van cybercriminaliteit bij kmo’s. Een zeer geraffineerd werkwijze waarbij hackers binnendringen bij een bedrijf en zo wekenlang onder de radar kunnen blijven. Ondertussen downloaden ze geruisloos alle bedrijfsgegevens naar hun eigen servers.
"Dan drukken ze op een knop om alles te versleutelen," vertelt Mathias. "Zo ligt gans het bedrijf plat. En dan volgt de dubbele afpersing: je moet betalen om weer operationeel te worden, én je moet extra betalen zodat je data niet op het darkweb verschijnt. Dat is de modus operandi van de gemiddelde bende hackers tegenwoordig."
Wat kan je doen als KMO?
Het goede nieuws is dat je geen fortuin hoeft uit te geven om jezelf te beschermen. Mathias verwijst naar het CyberFundamentals Framework van het CCB (Centre for Cybersecurity Belgium), dat werkt met verschillende niveaus, van een basisniveau voor zelfstandigen tot uitgebreidere pakketten voor grotere organisaties.
"Op het basisniveau zijn er tussen de 34 aandachtspunten waar je naar moet kijken," legt Mathias uit. "Dat is het laaghangende fruit. Als je die dingen in orde brengt, is de kans aanzienlijk dat je uit het grote virtuele sleepnet van de hackers blijft. Het zijn geen onoverkomelijke dingen. Het kost wat tijd en wat middelen, maar geen arm en een been."
De tips zijn verrassend elementair. Bovenal MFA (Multifactor authenticatie) overal inschakelen. Daarnaast moet je ook nog sterke, unieke wachtwoorden voor elk account creëren. Een password manager activeren en privéwachtwoorden en werkwachtwoorden strikt gescheiden houden. Regelmatig updates installeren. Een degelijke backup. Het klinkt als een open deur, maar Mathias en zijn team komen dagelijks situaties tegen waar zelfs deze fundamenten ontbreken.
"We komen nog altijd bedrijven tegen waar de CEO geen multifactor authenticatie heeft, omdat dat te omslachtig zou zijn. Maar die CEO heeft wel toegang tot alles," zegt Mathias. "Het zijn anekdotische voorbeelden die we spijtig genoeg regelmatig tegenkomen.”
Dergelijke cybersecurity-trajecten kunnen gesubsidieerd worden via de KMO-portefeuille, tot 45%. "Het financiële is eigenlijk geen excuus meer," stelt Mathias. "Want als je gehackt wordt en je bedrijf ligt één dag stil, dan kost dat je sowieso meer dan de investering om je op basisniveau cyberveilig te maken."
Cyber Fundamentals Basic is geen overkill, het is digitale hygiëne. Zoals handen wassen, maar dan voor jouw IT.
De menselijke firewall
Los van alle technologie gelooft Fox&Fish Cyberdefense overtuigd in het principe dat de mens de eerste verdedigingslinie is. "Veel KMO-bedrijfsleiders koesteren een vals gevoel van veiligheid omdat ze geïnvesteerd hebben in een firewall," vertelt Mathias. "Maar als je medewerkers overal op ja klikken en nooit stilstaan bij wat ze openen, wordt die firewall plots een pak minder waard."
Mathias maakt de volgende vergelijking: “Vrijwel elk bedrijf organiseert jaarlijks een brandoefening of een EHBO-training. Maar een cyberoefening? Terwijl de kans op een cyberaanval vele malen groter is dan op een brand of een hartaanval op de werkvloer. Onze boodschap is eenvoudig: organiseer ook een cybersecurity awareness training. Elk jaar. Voor al je medewerkers. Zodat ze phishing herkennen, weten hoe ze moeten reageren, en begrijpen dat veilig wachtwoordgebruik geen vrijblijvende suggestie is."
Minstens even cruciaal is een cultuur creëren waarin medewerkers durven melden dat ze iets fout hebben gedaan. "Als iemand zijn wachtwoord heeft ingegeven op een phishingsite, dan moet die persoon weten wat te doen. Zonder schaamte, zonder vingerwijzen. Want elke minuut die verloren gaat, vergroot de schade."
Die gelaagde aanpak, technologie en mensen gecombineerd, levert twee verdedigingslagen op in plaats van één. En de menselijke laag is vaak goedkoper dan de duurste firewalls. "Een halve dag je medewerkers in een training steken, dat is ook deel van de ISO-certificatie en zelfs van het basisniveau van de Cyber Fundamentals," benadrukt Mathias.
De 'Menselijke Firewall' is de belangrijkste software-update die een KMO kan doorvoeren, en die draait niet op een server, maar tussen de oren van je team.
Cybersecurity zonder jargon op Cybernova
Wie Mathias en Reinaert aan het werk wil zien, kan terecht op Cybernova, het cybersecurity-subevent van Supernova. Reinaert neemt het hoofdpodium voor zijn rekening met een lezing over hoe wij het als maatschappij de hackers nog altijd veel te makkelijk maken. Mathias trekt zijn publiek mee op een darkweb safari, waar hij het mysterieuze darkweb concreet en tastbaar maakt.
"Wij zijn allebei jongens uit de Kempen," lacht Mathias. "Doe maar gewoon, doe maar pragmatisch. We willen cybersecurity begrijpbaar maken. Zonder jargon, zonder grote vage begrippen. We laten gewoon dingen zien zodat mensen zonder enige voorkennis begrijpen hoe hackers vandaag te werk gaan. Zodat jij dat met je eigen ogen ziet, begrijpt, en ermee aan de slag kunt."
Want dat is uiteindelijk waar het Fox&Fish Cyberdefense om te doen is. Niet om angst te zaaien, maar om ondernemers de handvatten te geven om zichzelf te beschermen. Nuchter, pragmatisch en met een gezonde dosis humor. Je hoeft niet onhackbaar te zijn. Je moet gewoon net iets minder interessant zijn dan je virtuele buurman.
Uit de cijfers blijkt dat de menselijke factor meespeelt in 90% van de cyberaanvallen.
