Cybercriminelen werken als pro’s. Waarom verdedigen bedrijven zich dan nog alsof het amateurs zijn?

Cyber­cri­mi­na­li­teit is allang geen verhaal meer van een eenzame hacker in een donkere kamer. Wie vandaag nog denkt dat cyber­aan­vallen het werk zijn van geïso­leerde nerds die op goed geluk wat systemen proberen binnen te dringen, onder­schat de realiteit. Cyber­cri­mi­na­li­teit is geëvo­lu­eerd tot een profes­si­o­neel busi­ness­model, compleet met gespe­ci­a­li­seerde teams, duide­lijke taak­ver­de­lingen, abon­ne­ments­for­mules en een econo­mi­sche logica die even efficiënt werkt als die van legitieme ondernemingen.

Dat besef groeit stilaan in Belgische bedrijven. De meeste onder­ne­mingen begrijpen vandaag dat cyber­ri­sico geen theo­re­tisch probleem meer is, maar een concrete bedrei­ging. Bedrijven inves­teren in multi­factor-authen­ti­catie, trainen mede­wer­kers om phis­hing­mails te herkennen en segmen­teren hun netwerken beter dan tien jaar geleden. Die voor­uit­gang is reëel.

Maar tegelijk blijft een funda­men­tele denkfout bestaan: bedrijven behan­delen hun cyber­ri­sico nog te vaak alsof het verge­lijk­baar is met dat van hun sector­ge­noten, zeker wanneer het gaat over cyber­ver­ze­ke­ringen. En precies daar knelt het schoentje.

Een cyberverzekering is geen benchmarkoefening

Niemand sluit een auto­ver­ze­ke­ring af door eerst aan de buren te vragen hoeveel dekking zij hebben. Toch gebeurt dat bij cyber­ver­ze­ke­ringen voortdurend.

Bedrijven kijken naar sector­ge­noten, verge­lijken verze­kerde kapitalen en proberen ergens het gemid­delde te volgen. Maar cyberrisico’s zijn per definitie uniek. Twee bedrijven uit dezelfde sector kunnen een totaal andere finan­ciële en opera­ti­o­nele impact onder­vinden bij exact hetzelfde incident.

Toch vertrekken veel bedrijven nog te vaak vanuit het premie­be­drag dat ze willen betalen, in plaats van vanuit de finan­ciële én opera­ti­o­nele impact van een ernstig incident. Belgische bedrijven hebben bovendien een extra kwets­baar­heid: hun jaar­re­ke­ningen zijn publiek beschik­baar, in tegen­stel­ling tot in verschil­lende andere Europese landen. Cyber­cri­mi­nelen kunnen daardoor relatief eenvoudig inschatten hoeveel finan­ciële draag­kracht een onder­ne­ming heeft en hoeveel druk ze poten­tieel kunnen uitoefenen.

Cybercrime-as-a-service

De profes­si­o­na­li­se­ring van cyber­cri­mi­na­li­teit maakt die denkfout nog gevaarlijker.

Cyber­cri­mi­nelen werken vandaag zoals moderne onder­ne­mers. Sommigen ontwik­kelen malware, anderen speci­a­li­seren zich in phis­hing­cam­pagnes of social-engi­nee­ring mani­pu­latie. Er zijn onder­han­de­laars die uitslui­tend bezig zijn met losgeld­ge­sprekken. Er bestaan zelfs samen­wer­kings­mo­dellen waarbij infra­struc­tuur of software tegen betaling ter beschik­king wordt gesteld aan andere criminele groepen; cybercrime-as-a-service.

Het econo­mi­sche model daar­achter is bijzonder aantrek­ke­lijk. De poten­tiële winsten zijn enorm, terwijl de risico’s relatief beperkt blijven. Een klassieke dief moet fysiek aanwezig zijn. Een cyber­cri­mi­neel kan duizenden kilo­me­ters verderop opereren, vaak achter gestolen iden­ti­teiten of via gehackte accounts. Arti­fi­ciële intel­li­gentie versnelt die evolutie nog.

Drie jaar geleden waren phis­hing­mails vaak nog herken­baar amateu­ris­tisch: slechte verta­lingen, vreemde afzenders en knullige vorm­ge­ving. Vandaag kan AI perfect de schrijf­stijl van een collega imiteren, inclusief toon, taal­ge­bruik en interne context. Een aanval die werkt bij één bedrijf, kan vervol­gens razend­snel opge­schaald worden naar honderden andere onder­ne­mingen. Het kat-en-muisspel tussen bedrijven en cyber­cri­mi­nelen wordt daardoor steeds ongelijker.

Tijd winnen is macht winnen

Toch betekent dat niet dat bedrijven mach­te­loos zijn.

De grootste fout die orga­ni­sa­ties kunnen maken, is denken dat cyber­vei­lig­heid een eindpunt heeft. Alsof een inves­te­ring van vandaag voldoende bescher­ming biedt voor de komende jaren. In werke­lijk­heid is cyber­vei­lig­heid een permanent aanpassingsproces.

Maar minstens even belang­rijk is de voor­be­rei­ding op het moment waarop het toch fout loopt.

Bij zware ransom­ware-aanvallen draait alles om tijd. Hoe sneller een orga­ni­satie opnieuw opera­ti­o­neel raakt, hoe kleiner de onder­han­de­lings­macht van cyber­cri­mi­nelen wordt. Een bedrijf dat na drie weken opnieuw 80 procent van zijn acti­vi­teiten heeft hersteld, staat veel sterker dan een onder­ne­ming die volledig platligt. Dat verandert de machtsverhouding.

Cyber­cri­mi­nelen rekenen op paniek, tijdsdruk en econo­mi­sche schade om slacht­of­fers tot betalen te dwingen. Wie voor­be­reid is, alter­na­tieve processen heeft uitge­werkt en sneller kan herstellen, vermin­dert die druk aanzienlijk.

Geen IT-probleem, maar een bedrijfsrisico

Te veel bedrijfs­lei­ders beschouwen cyber­vei­lig­heid nog altijd als een technisch IT-dossier. Dat is een vergissing.

Cyber­cri­mi­na­li­teit raakt vandaag de kern van elke onder­ne­ming: productie, omzet, reputatie, klan­ten­re­la­ties en intel­lec­tuele eigendom. Het is dus geen kwestie meer van firewalls en software-updates alleen, maar van stra­te­gisch risicobeheer.

En precies daarom moeten bedrijven stoppen met zichzelf te verge­lijken met hun buurman.

Cyber­cri­mi­nelen behan­delen hun slacht­of­fers ook niet volgens gemid­delden. Zij analy­seren indi­vi­duele zwaktes, finan­ciële draag­kracht en opera­ti­o­nele afhan­ke­lijk­heden. Belgische bedrijven zouden hun verde­di­ging op dezelfde manier moeten organiseren.

In een wereld waarin cyber­cri­mi­nelen func­ti­o­neren als bedrijven, volstaat het niet langer om je te bevei­ligen alsof je tegenover amateurs staat.