Cybercriminelen werken als pro’s. Waarom verdedigen bedrijven zich dan nog alsof het amateurs zijn?
Cybercriminaliteit is allang geen verhaal meer van een eenzame hacker in een donkere kamer. Wie vandaag nog denkt dat cyberaanvallen het werk zijn van geïsoleerde nerds die op goed geluk wat systemen proberen binnen te dringen, onderschat de realiteit. Cybercriminaliteit is geëvolueerd tot een professioneel businessmodel, compleet met gespecialiseerde teams, duidelijke taakverdelingen, abonnementsformules en een economische logica die even efficiënt werkt als die van legitieme ondernemingen.
Dat besef groeit stilaan in Belgische bedrijven. De meeste ondernemingen begrijpen vandaag dat cyberrisico geen theoretisch probleem meer is, maar een concrete bedreiging. Bedrijven investeren in multifactor-authenticatie, trainen medewerkers om phishingmails te herkennen en segmenteren hun netwerken beter dan tien jaar geleden. Die vooruitgang is reëel.
Maar tegelijk blijft een fundamentele denkfout bestaan: bedrijven behandelen hun cyberrisico nog te vaak alsof het vergelijkbaar is met dat van hun sectorgenoten, zeker wanneer het gaat over cyberverzekeringen. En precies daar knelt het schoentje.
Een cyberverzekering is geen benchmarkoefening
Niemand sluit een autoverzekering af door eerst aan de buren te vragen hoeveel dekking zij hebben. Toch gebeurt dat bij cyberverzekeringen voortdurend.
Bedrijven kijken naar sectorgenoten, vergelijken verzekerde kapitalen en proberen ergens het gemiddelde te volgen. Maar cyberrisico’s zijn per definitie uniek. Twee bedrijven uit dezelfde sector kunnen een totaal andere financiële en operationele impact ondervinden bij exact hetzelfde incident.
Toch vertrekken veel bedrijven nog te vaak vanuit het premiebedrag dat ze willen betalen, in plaats van vanuit de financiële én operationele impact van een ernstig incident. Belgische bedrijven hebben bovendien een extra kwetsbaarheid: hun jaarrekeningen zijn publiek beschikbaar, in tegenstelling tot in verschillende andere Europese landen. Cybercriminelen kunnen daardoor relatief eenvoudig inschatten hoeveel financiële draagkracht een onderneming heeft en hoeveel druk ze potentieel kunnen uitoefenen.
Cybercrime-as-a-service
De professionalisering van cybercriminaliteit maakt die denkfout nog gevaarlijker.
Cybercriminelen werken vandaag zoals moderne ondernemers. Sommigen ontwikkelen malware, anderen specialiseren zich in phishingcampagnes of social-engineering manipulatie. Er zijn onderhandelaars die uitsluitend bezig zijn met losgeldgesprekken. Er bestaan zelfs samenwerkingsmodellen waarbij infrastructuur of software tegen betaling ter beschikking wordt gesteld aan andere criminele groepen; cybercrime-as-a-service.
Het economische model daarachter is bijzonder aantrekkelijk. De potentiële winsten zijn enorm, terwijl de risico’s relatief beperkt blijven. Een klassieke dief moet fysiek aanwezig zijn. Een cybercrimineel kan duizenden kilometers verderop opereren, vaak achter gestolen identiteiten of via gehackte accounts. Artificiële intelligentie versnelt die evolutie nog.
Drie jaar geleden waren phishingmails vaak nog herkenbaar amateuristisch: slechte vertalingen, vreemde afzenders en knullige vormgeving. Vandaag kan AI perfect de schrijfstijl van een collega imiteren, inclusief toon, taalgebruik en interne context. Een aanval die werkt bij één bedrijf, kan vervolgens razendsnel opgeschaald worden naar honderden andere ondernemingen. Het kat-en-muisspel tussen bedrijven en cybercriminelen wordt daardoor steeds ongelijker.
Tijd winnen is macht winnen
Toch betekent dat niet dat bedrijven machteloos zijn.
De grootste fout die organisaties kunnen maken, is denken dat cyberveiligheid een eindpunt heeft. Alsof een investering van vandaag voldoende bescherming biedt voor de komende jaren. In werkelijkheid is cyberveiligheid een permanent aanpassingsproces.
Maar minstens even belangrijk is de voorbereiding op het moment waarop het toch fout loopt.
Bij zware ransomware-aanvallen draait alles om tijd. Hoe sneller een organisatie opnieuw operationeel raakt, hoe kleiner de onderhandelingsmacht van cybercriminelen wordt. Een bedrijf dat na drie weken opnieuw 80 procent van zijn activiteiten heeft hersteld, staat veel sterker dan een onderneming die volledig platligt. Dat verandert de machtsverhouding.
Cybercriminelen rekenen op paniek, tijdsdruk en economische schade om slachtoffers tot betalen te dwingen. Wie voorbereid is, alternatieve processen heeft uitgewerkt en sneller kan herstellen, vermindert die druk aanzienlijk.
Geen IT-probleem, maar een bedrijfsrisico
Te veel bedrijfsleiders beschouwen cyberveiligheid nog altijd als een technisch IT-dossier. Dat is een vergissing.
Cybercriminaliteit raakt vandaag de kern van elke onderneming: productie, omzet, reputatie, klantenrelaties en intellectuele eigendom. Het is dus geen kwestie meer van firewalls en software-updates alleen, maar van strategisch risicobeheer.
En precies daarom moeten bedrijven stoppen met zichzelf te vergelijken met hun buurman.
Cybercriminelen behandelen hun slachtoffers ook niet volgens gemiddelden. Zij analyseren individuele zwaktes, financiële draagkracht en operationele afhankelijkheden. Belgische bedrijven zouden hun verdediging op dezelfde manier moeten organiseren.
In een wereld waarin cybercriminelen functioneren als bedrijven, volstaat het niet langer om je te beveiligen alsof je tegenover amateurs staat.
Dit stuk is geschreven door Marco Salvatore, specialist cyberrisico’s bij AON en valt buiten de verantwoordelijkheid van de redactie.
