België staat voor grote uitdagingen op gebied van cybersecurity, nu Belgische organisaties steeds vaker ten prooi vallen aan cybercriminelen. De problemen zijn gekend, zijn de oplossingen dat ook?
“Bijna dagelijks wordt een Belgische organisatie het slachtoffer van een cyberaanval.” Met deze onheilspellende woorden zet minister van Telecom Petra De Sutter (Groen) meteen de toon tijdens Cybersec in Brussel. “De recente aanval op Duvel Moortgat illustreert opnieuw dat geen enkele sector buiten schot blijft.”
Cybercriminaliteit is een toenemend probleem. Niet alleen in België, maar wereldwijd. Het Wereld Economisch Forum beschouwt cyberaanvallen als één van de top vijf globale bedreigingen. Manipulatie van informatie met hulp van AI staat zelfs op de tweede plaats.
“Zijn we de strijd op dit moment aan het winnen?”, vraagt Miguel De Bruycker, directeur-generaal van het CCB zich af. Op Cybersec komen de cybersecurity-uitdagingen die België te wachten staan, uitvoerig aan bod, maar wordt er ook gezocht naar de oplossingen.
Broos vertrouwen
“De kost van phishing-aanvallen stijgt in België tot veertig miljoen euro per jaar”, haalt De Sutter een volgende zorgwekkende statistiek boven. Maar de tol van phishing gaat verder dan het financiële, zegt de minister. “Het vertrouwen in digitale diensten komt onder druk te staan.”
lees ook
Nee, dat is geen Microsoft-mail: hoe phishing succesvol blijft
De overvloed van steeds realistischer wordende AI-deepfakes, zal het digitale vertrouwen alleen maar meer onder druk zetten, haalt De Bruycker aan. “Je weet niet altijd meer zeker dat de persoon met wie je online interageert, ook echt is wie je denkt dat het is. Het wordt noodzakelijk om de identiteit en de integriteit van online-personen en -diensten te valideren.”
Om misbruik van je eigen identiteit te voorkomen, is het belangrijk om die te beschermen in de online ruimte. “Als ik je één ding mag meegeven tijdens deze presentatie: schakel aub MFA in. Het is geen heilige graal, maar het maakt wel degelijk een verschil.” In 2021 lanceerde CCB de spear warning-campagne om bedrijven proactief te waarschuwen voor kwetsbaarheiden in systemen, maar ook voor gelekte credentials.
Je weet niet altijd meer zeker dat de persoon met wie je online interageert, ook echt is wie je denkt dat het is.
Miguel De Bruycker, directeur-generaal CCB
Geen woorden, maar daden
Hoewel er al jaren over de risico’s gesproken wordt, blijven cyberaanvallen toenemen. Hoe kan dat? De Bruycker legt de vinger op de zere wonde: “In de securitywereld zeggen we eigenlijk al decennialang hetzelfde. Strategieën omvatten altijd zaken zoals uitwisseling van informatie, samenwerking etc. Nu wordt er stilaan ook meer gesproken over AI en kwantum.”
Die woorden worden niet altijd voldoende omgezet naar daden. “Cyberaanvallen en de kost ervan nemen jaar op jaar toe, en voor de komende jaren wordt voorspeld dat de kost met veertig procent per jaar kan stijgen. Of dat percentage klopt, heb ik mijn bedenkingen bij, maar als zelfs experten aan onze aanpak twijfelen, moeten we ons dan niet afvragen wat we verkeerd doen?”, gaat De Bruycker verder.
De vraag stellen, is ze ook al beantwoorden. De Bruycker: “Het ontbreekt te vaak aan concrete actieplannen om die extra stap te zetten. We moeten groot denken, maar met kleine stappen beginnen om onze doelen te bereiken.”
Onduidelijk leiderschap is volgens De Bruycker één van de problemen waarom het beleid de controle verliest. “Er zijn veel verschillende autoriteiten, waardoor het niet altijd duidelijk is wie de verantwoordelijkheid draagt. Omdat de digitale wereld een open omgeving is, is de actieradius van die autoriteiten vaak ook beperkt.”
In de securitywereld zeggen we eigenlijk al decennialang hetzelfde. Het ontbreekt vaak aan concrete actieplannen om die extra stap te zetten.
Miguel De Bruycker, directeur-generaal CCB
NIS2 als gamechanger?
De Bruycker ziet nog een ander fundamenteel probleem. “In veel industrieën zijn certificaten en audits de normaalste zaak van de wereld. Als je in je thuis stroom laat leggen, dan wil je dat door een gecertificeerde elektricien laten doen. Waarom doen we dit ook niet in cybersecurity?”
De aankomende NIS2-wet moet als dat ‘kwaliteitslabel’ voor digitale oplossingen gelden. Bedrijven uit veel sectoren zullen aan strenge veiligheidsvoorschriften moeten voldoen, alsook hun IT-leveranciers. Op Cybersec kijkt men alvast met hoge verwachtingen naar de wet. “NIS2 kan een echte gamechanger zijn. Security wordt een verplichting, ook voor bedrijven die dat nu nog niet als een prioriteit zagen. We moeten ons nu focussen op de concrete implementatie en een proactieve aanpak”, zegt De Sutter.
lees ook
NIS2: redundante regelneverij, of broodnodige sprong richting een veilig Europa?
België heeft alvast een belangrijke step gezet door NIS2 te verankeren in de nationale wetgeving. “Het koninklijke besluit werd op 17 mei officieel gepubliceerd in het Belgisch Staatblad. Bijgevolg zullen tools snel beschikbaar komen. CCB zal binnenkort een scope-test ter beschikking stellen waarmee organisaties kunnen beoordelen of zij onder de wettelijke verplichtingen vallen”, leren we van De Bruycker. Veel tijd is er niet meer: op 18 oktober treedt NIS2 in werking.
NIS2 kan een echte gamechanger zijn. Security wordt een verplichting, ook voor bedrijven die dat nu nog niet als een prioriteit zagen.
Petra De Sutter, federaal minister van Telecommunicatie (Groen)
De uitdagingen voor cyberseceurity zijn gekend en zullen niet van vandaag op morgen opgelost zworden. Nieuwe technologieën zetten de verhoudingen tussen aanvallers en verdedigers telkens weer op zijn kop. Is NIS-2 het geheime wapen voor een veiliger digitaal België? De tijd zal het snel uitwijzen.
Meer lezen over NIS2 en wat de wet betekent voor jouw organisatie? Experten uit de industrie delen hun visie aan onze rondetafel.