Volgens Mastercard is er nog wat werk aan de winkel om de cyberbeveiliging binnen Belgische kmo’s op punt te krijgen. Dat uitstellen is geen lang houdbare zaak meer, want de cybercriminaliteit breekt records in België tijdens de pandemie.
Hoewel Mastercard in België voornamelijk bekend staat als verstrekker van creditcards, neemt het bedrijf ook verantwoordelijkheid op zich in het online veiligstellen van bedrijven. “Met een aanwezigheid in België sinds 1965 en het hoofdkantoor voor de Europese markt in Waterloo, kent Mastercard de Belgische markt door en door”, vertelt Henri Dewaerheijd, Country Manager van Mastercard Belux.
Dat het bedrijf daarnaast op de hoogte is van de cyberdreigingen en oplossingen, is volgens Dewaerheijd eveneens niet dwaas: “Criminelen zijn van oudsher geïnteresseerd in financiële instellingen. Vroeger gebeurde dat met bankovervallen, maar de digitale wereld brengt veel minder risico’s mee voor criminelen op dat vlak. Over de jaren heen zijn de beveiligingssystemen in de financiële wereld dan ook mee geëvolueerd en daardoor verwierven we bij Mastercard stukje bij beetje nieuwe inzichten.”
In het verleden probeerde Mastercard al twee beveiligingsmechanismen uit om klanten te beschermen tijdens het online bankieren. Eerst werden betaalkaarten voorzien van een verificatiecode van drie cijfers, die ingevoerd moest worden om een online betaling te kunnen uitvoeren. Daarvan was het nadeel dat eens een kaart in handen kwam van een crimineel, de beveiliging doorprikt was.
Zo kwam de kaartlezer op de markt als middel om tweestapsverificatie (2FA) in te bouwen. Geleidelijk werd dat toestel vervangen door smartphones, die nu doorgaans de tweede verificatiestap op zich nemen met verificatie-applicaties zoals Itsme.
lees ook
SnapSwap lanceert met Mastercard online betaal- en kostenplatform voor kmo’s
Vernieuwing omarmen
“Wat de meesten niet weten is dat Mastercard ook artificiële intelligentie (AI) inzet om verdachte betalingen op te sporen. De AI maakt hiervoor een profiel op van iedere gebruiker en zodra een betaling gebeurt die niet in lijn ligt met het profiel, wordt een extra verificatie vereist”, deelt Dewaerheijd mee.
Naast het intern gebruik van de AI, deelt Mastercard zijn technologie met bedrijven om de cyberbeveiliging daar te verhogen. De technologie Riskrecon, scant de digitale omgeving van bedrijven op kwetsbaarheden.
“In een fysieke winkel kun je nagaan of bijvoorbeeld het slot op de voordeur goed werkt, of de ramen zijn voorzien van rolluiken, of een beveiligingscamera is geïnstalleerd bij de kassa. Datzelfde doet onze technologie met de digitale omgeving van het bedrijf”, vult Rigo Van den Broeck, Executive VP en Cyber Security Product Innovation voor Mastercard Europe, het verhaal aan.
In een fysieke winkel kun je de beveiliging snel nagaan door bijvoorbeeld de sloten na te kijken. Datzelfde doet onze AI-technologie, Riskrecon, met de digitale omgeving van het bedrijf
Rigo Van den Broeck, Executive VP en Cyber Security Product Innovation voor Mastercard Europe
De tool geeft bedrijven een kwetsbaarheidsscore van nul tot tien, met nul als de meest kwetsbare score. Uit onderzoek weet Van den Broeck dat bedrijven beter niet te licht tillen aan de score die ze krijgen: “Ligt je score rond de vijf, dan is de kans dat je slachtoffer wordt van ransomware 40 procent hoger. Voor andere types cyberaanvallen ligt je kwetsbaarheid drie en een half keer hoger dan deze van een bedrijf met de perfect cyberbeveiliging.”
Gevaren buiten de organisatie herkennen
De eigen digitale omgeving zo veilig mogelijk maken, is slechts de eerste stap in het beveiligingsverhaal. Van den Broeck vertelt wat Belgische kmo’s nog meer kunnen doen: “Ieder bedrijf moet zijn werknemers, processen en technologieën veilig maken.” Dat kan door voor iedere categorie apart beveiligingsmechanismes in te bouwen.
Werknemers kunnen bijvoorbeeld beter worden beschermd tegen phishing e-mails. “Kmo’s zijn vaak het doelpubliek van phishing e-mails. De marketingverantwoordelijke uit een bedrijf krijgt bijvoorbeeld een e-mail aan om een gratis analyse te verkrijgen over hoe de Facebooksite van het bedrijf nog verbeterd kan worden. Het enige wat gevraagd wordt zijn enkele persoonlijke gegevens en zodra iemand van het bedrijf die invult, ben je vertrokken met het phishingverhaal.”
Klinkt misschien als iets waar jij nooit in zou trappen, maar vergis je niet want een recent onderzoek wees nog uit dat meer dan vijf procent van de Belgen persoonlijke informatie invult op phishing e-mails.
Cybercriminelen gaan massaal op zoek naar kwetsbaarheden in Windows en macOS, net omdat het besturingssysteem op zoveel desktops draait.
Rigo Van den Broeck, Executive VP en Cyber Security Product Innovation voor Mastercard Europe
In de tak processen vindt Van den Broeck regelmatig updaten de belangrijkste les. “Het grootste aantal cyberaanvallen wordt nog steeds gelanceerd via software van derden. Cybercriminelen gaan massaal op zoek naar kwetsbaarheden in Windows en macOS, net omdat het besturingssysteem op zoveel desktops draait. Fabrikanten reageren daarop door updates uit te brengen.” Neem je als bedrijf niet de moeite om deze updates te installeren, dan blijft het natuurlijk dweilen met de kraan open op vlak van cyberbeveiliging.
Om dezelfde reden ziet Mastercard dat Belgische IT-bedrijven de derde meest getroffen industrie zijn van cyberaanvallen. Tegen IT-bedrijven werden vorig jaar 13 procent van de aanvallen gelanceerd, nog vaker getroffen zijn de Belgische overheidsinstellingen (22%) en de Belgische financiële- en verzekeringssector (21%). “IT-bedrijven ontwerpen de beveiliging en software voor meerdere organisaties. Criminelen zien dat als een mooie kans om meerdere ondernemingen tegelijk te treffen, die allemaal draaien op dezelfde beveiligingssystemen.”
Nog werk aan de winkel
Uit de cijfers van Mastercard blijkt dat het belangrijk is dat kmo’s snel hun cyberbeveiliging opkrikken. 70 procent van de aanvallen die Mastercard analyseert, zijn gericht tegen kmo’s. De belangrijkste zaken waarop Belgische kmo’s zich moeten voorbereiden blijken malware, ransomware en phishing e-mails te zijn.
In België werden in 2021 ongeveer 1.000 bedrijven aangevallen. Malware werd in 29 procent van de geanalyseerde cyberaanvallen gebruikt. Voor ransomware lag het percentage op 26 procent en phishing e-mails waren goed voor 20 procent van de geanalyseerde aanvallen.
lees ook
Beveiliging in 2022: wat komt er op je af, en hoe bescherm je jezelf?
De snel veranderende coronasituatie waarin een lockdown van de ene op de andere dag realiteit werd, veroorzaakte dat bedrijven onvoorbereid in de digitale wereld sprongen. Met horecazaken en niet-essentiële winkels die geen fysiek bezoek meer mochten ontvangen, was een online aanbod de enige weg om de klant nog te bereiken.
Nu bijna twee jaar later is de wereld nog niet uit het coronaverhaal geraakt. Groot nadeel aan de destijds plotse overgang was dat de cyberbeveiliging een verhaal op de achtergrond werd. Het was kwestie van een webshop snel online te krijgen om de concurrentie bij te benen en werknemers op afstand te laten werken. In welke mate deze webshop of online toegangssystemen voor thuiswerkers beveiligd waren, was niet meteen een vraag die menig werkgever wakker hield ’s nachts.
“Kmo’s hebben nog een lange weg af te leggen om de cyberbeveiliging optimaal te krijgen. Deze bedrijven zullen steeds vaker het doelwit vormen van cybercriminelen, omdat bij bedrijven meer geld te halen valt. Als kmo’s niet investeren in de beveiliging zal de Belgische industrie daaronder lijden, want België is een kmo-land”, besluit Van den Broeck.