Deze start-up wil het bewustzijn rond cyberveiligheid bij kmo’s verhogen: “Veel bedrijven denken nog altijd dat het hen niet zal overkomen”

Robin D’Hondt en Frederick Breyne

Wachtwoorden die gewoon op een Post-it boven het computerscherm kleven? ‘Pakjesbezorgers’ die snel een onbewaakte computer hacken? De cybersecurity start-up Awarity is nog maar een half jaar oud, maar oprichters Robin D'Hondt en Frederick Breyne schrikken nergens meer van. Ze beschermen vooral kmo’s tegen hackers en focussen zich op de menselijke factor. “Een gezonde dosis waakzaamheid is het meest doeltreffende wapen tegen cybercriminelen. In een ideale wereld kloppen bedrijven bij ons aan om een cyberaanval te voorkomen, en niet pas nadat ze met hun kop tegen de muur zijn gelopen.”

Frederick Breyne en Robin D’Hondt richtten Awarity eind vorig jaar op. “De nood aan ondersteuning op vlak van cybersecurity is groot, maar de vraag is veel kleiner”, vertelt D’Hondt. “Veel bedrijven denken nog altijd: ‘Ons zal het wel niet overkomen.’ Ze zijn zich wel bewust van de gevaren, maar ze denken dat die niet voor hen gelden. Bedrijven kloppen pas bij ons aan wanneer ze zélf aangevallen zijn. 99 procent van de ondernemingen heeft die wake-up call nog altijd nodig om in actie te schieten. Ze denken nog altijd puur reactief.”

“We zien nog vaak een vals gevoel van veiligheid”, vult Breyne aan. “Kmo’s lezen in de krant wel over cyberaanvallen bij bedrijven als IKEA en MediaMarkt, maar die berichten werken soms averechts. Ze zeggen ons letterlijk: ‘Ach, die cybercriminelen zijn niet geïnteresseerd in een kmo uit België. Die richten zich op de grote multinationals.’ Dat klopt natuurlijk niet. Ze richten zich op eender welke onderneming waar ze zwakke plekken vinden.”

99% van de ondernemingen heeft die wake-up call nog altijd nodig om in actie te schieten. Ze denken nog altijd puur reactief

“Kleinere ondernemingen zijn vaak nog kwetsbaarder dan grote bedrijven. De multinationals hebben de middelen om fors te investeren in cyberveiligheid, zowel in technologie als in mensen. Het is voor cybercriminelen vaak lucratiever om veel kleinere bedrijven aan te vallen. De bescherming is er gemiddeld minder stevig. De kans dat ze onder de radar blijven en dat ze daar geld kunnen rapen, is dus een pak groter. Veel kleintjes maken ook één groot, redeneren ze.”

Wachtwoord op een Post-it

Awarity wil, zoals de naam al doet vermoeden, vooral het bewustzijn bij ondernemingen én hun medewerkers verhogen. “Technologie is eigenlijk geen struikelblok meer. Er zijn heel goede oplossingen op de markt, die toegankelijk en betaalbaar zijn. Hét grote knelpunt is de menselijke factor”, verduidelijkt D’Hondt. “Hoe goed je beveiligingstechnologie ook is, hij staat of valt met de mindset van je medewerkers. We komen soms bij bedrijven met honderden werknemers, die heel goede securitysoftware hebben geïnstalleerd. Maar wat zie je dan? Dat medewerkers hun wachtwoord gewoon op een post-it boven hun scherm hebben plakken.”

Hoe goed je beveiligingstechnologie ook is, hij staat of valt met de mindset van je medewerkers

Stap één in de aanpak van Awarity – na de damage control – is een gratis analyse van de website, legt D’Hondt uit. “We gebruiken daarvoor bewust een tiental gratis tools. Het zijn tools die iedereen met slechte bedoelingen mits een klein beetje zoeken op het internet kan vinden. Als we er met die gratis tools al in slagen om beveiligingsfouten op een website aan te tonen, dan moet je niet vragen wat cybercriminelen kunnen doen met veel geavanceerdere tools. Die analyse is vooral een wake-up call, want we leggen bijna altijd wel een paar zwakke plekken bloot op de website.”

“Na die analyse schakelen we over op een phishing campagne. We sturen mails- en berichten rond om te testen hoe vatbaar medewerkers zijn voor phishing. Die campagne is geïndividualiseerd. Iedereen krijgt andere berichten. Soms zit er een maand tussen, soms maar een dag. Zo’n phishingcampagne werkt alleen als je ze persoonlijk maakt en mensen verrast. Hoe beter het niveau van de werknemer, hoe moeilijker de phishing mails worden. Elke werknemer wordt dus echt op een individuele manier opgeleid.”

“Vandaag zijn cybercriminelen daar bijzonder gedreven in. We hebben al valse mails gezien die zogezegd van de CEO kwamen en die je zo goed als onmogelijk kon onderscheiden van een echte mail. Phishing gaat al lang niet meer over de sms’en en de mails die op hetzelfde moment naar tienduizenden mensen gaan, het is echt maatwerk geworden. Hackers zijn geduldig, ze kunnen gerust een jaar of zelfs meerdere jaren wachten tot ze alle puzzelstukjes hebben verzameld om een hyperrealistisch phishingbericht te versturen.”

Via de marketeer tot bij de bankrekening

De resultaten van de phishingcampagne vormen de basis voor de opleidingen die we geven aan bedrijven en hun medewerkers, zegt Breyne. “We leren hen hoe ze phishing of andere cyberaanvallen op tijd kunnen herkennen en voorkomen. We willen ons onderscheiden door onze opleidingen, maar ook onze maandelijkse rapporten, zo laagdrempelig mogelijk te maken. We letten er bijvoorbeeld sterk op dat we begrijpbare taal hanteren. Als je medewerkers wil sensibiliseren, dan mag je hen niet overladen met technisch jargon. Uiteindelijk is technologie bijzaak, het gaat erom dat je een reflex van waakzaamheid installeert. Bij iederéén in het bedrijf.”

Ook dat is volgens D’Hondt een hardnekkig misverstand bij veel bedrijven: ‘Het is niet zo erg als hackers zich toegang verschaffen tot de computer van persoon X, hij heeft toch geen waardevolle informatie op zijn computer staan.’ Dat kan kloppen, maar de kans is groot dat cybercriminelen via de computer van X ook toegang krijgen tot de computer van Y, waar misschien wél belangrijke data opgeslagen zitten. Ondernemingen vormen vandaag één groot netwerk. Alle medewerkers en al hun devices zijn met elkaar verbonden.”

We willen ons onderscheiden door onze opleidingen, maar ook onze maandelijkse rapporten, zo laagdrempelig mogelijk te maken

“Een tijdje geleden contacteerde een bedrijf ons omdat een van hun marketeers was gehackt via zijn privé mailadres. Dat was gekoppeld aan de Facebook-account van het bedrijf. Omdat de marketeer ook Facebook-campagnes opzette, was die account op zijn beurt gekoppeld aan de bankkaart van het bedrijf. Via het privé mailadres van één medewerker, niet eens de CEO of de boekhouder, kregen cybercriminelen dus toegang tot de bankrekening van het bedrijf. Zo angstaanjagend snel en eenvoudig kan het gaan. Het is een cliché, maar die case illustreert nog maar eens dat elk bedrijf maar zo sterk is als de zwakste schakel.”

James Bond achterna

Uniek aan de trainingen van Awarity is dat ze zich niet alleen online afspelen, benadrukt Breyne. “Het gevaar kan overal schuilen. Er zijn cybercriminelen die in het vuilnis op zoek gaan naar nuttige informatie. Of die zich voordoen als pakjesbezorgers om in bedrijfsgebouwen en kantoren binnen te geraken. Als er dan ergens een onbewaakte computer staat waar al iemand op ingelogd is, hebben ze aan een minuut genoeg om massa’s waardevolle data buit te maken. En als je wachtwoord op een Post-it staat, hebben ze daar op één seconde een foto van genomen.”

“Wij ensceneren ook die offline scenario’s. Of we ons dan zelf verkleden als pakjesbezorgers? Dat durven we, absoluut. (lacht) Af en toe laten we de James Bond in onszelf los. Het is belangrijk dat medewerkers leren om altijd en overal waakzaam te blijven. Je moet niet paranoïde worden, maar een gezonde dosis alertheid is het meest doeltreffende wapen tegen cybercriminelen.”