Ethisch hacker wijzigt mentaliteit bij bouwbedrijf Beneens

Veel kmo’s schenken geen aandacht aan cyberveiligheid . Veiligheidsverhogende maatregelen zoals multifactor authenticatie worden eerder als een last dan een noodzaak aanzien. Dat was bij bouwbedrijf Beneens uit Olen niet anders. En toch besloot de kmo te investeren in cyberveiligheid. Waarom deze omslag?
Zaakvoerders en broers Jo en Joeri (rechts) Beneens laten zich hacken door ethische hackers. © Foto Beneens

Ook het Olense bouwbedrijf Beneens kreeg de afgelopen tijd enkele ransomware -aanvallen te verduren. Gelukkig werd het familiebedrijf tot nu toe nooit echt getroffen. De kmo leed nog geen financiële of operationele schade. En dat is geen toeval.

Beveiliging is niet perfect

"Net zoals bij elke organisatie komen er heel wat phishingmails bij onze medewerkers aan. SPAM-filters doen uiteraard hun werk, maar ze zijn niet perfect. We hebben in het verleden dan ook al geluk gehad met ransomware -incidenten die we snel konden isoleren zonder grote gevolgen", zegt zaakvoerder Joeri Beneens.

Net zoals bij elke organisatie komen er heel wat phishingmails bij onze medewerkers aan.

Joeri Beneens
Zaakvoerder Beneens

Beneens uit Olen is een Vlaams familiebedrijf. In drie generaties tijd groeide de kmo uit tot een vaste waarde in de bouw- en interieursector. Het heeft 150 medewerkers in dienst en vervult een voortrekkersrol op vlak van duurzaam bouwen en circulaire economie.

Ethisch hacker valt bedrijf aan

Beneens schakelde een ethisch hacker in van Fox&Fish Cyberdefense om meer bewustzijn bij de medewerkers te creëren. De aanpak hierbij bestond uit twee onderdelen:

  1. een phishing oefening
  2. een opleiding met hacking demo

Bij wijze van nulmeting ontvingen de medewerkers van Beneens een (ongevaarlijke) valse e-mail, verstuurd door de ethisch hacker. Daaruit bleek dat maar liefst 24 procent op de e-mail klikte. "Dit was voor ons echt een wake-up call", zegt Joeri.

Maar liefst 24 procent van onze mensen klikte op de valse e-mail van de ethisch hacker. Dit was voor ons een wake-up call.

Joeri Beneens
Zaakvoerder Beneens

Het tweede deel bestond uit een opleiding van zo'n anderhalf uur voor de medewerkers. "In zo’n opleiding komen verschillende onderdelen aan bod", zegt ethisch hacker Reinaert Van de Cruys van Fox&Fish Cyberdefense. "We leren mensen op een laagdrempelige manier aan hoe ze phishing e-mails en valse websites herkennen. Vervolgens leren ze hoe ze moeten reageren als ze denken iets fout gedaan te hebben."

De hacking demo van de ethisch hacker opent de ogen, zo blijkt. Daarbij laat hij zien hoe het scherm van een echte hacker eruitziet en wat een hacker kan doen wanneer mensen op een valse link klikken.

Choquerend hoe eenvoudig het inbreken is

"De eenvoud waarmee een hacker in systemen kan inbreken, choqueerde ons allemaal", zegt Joeri Beneens. Het gevolg van de opleiding was dat er enthousiasme ontstond bij de medewerkers. Ze vroegen zelf naar meer cyberveilige maatregelen, zoals multifactor authenticatie , paswoordmanagers, enzovoort. "Bovendien overstijgt het effect van de opleiding onze werkvloer", vult Joeri aan. "Collega’s beveiligen nu ook hun persoonlijke accounts beter en zijn ambassadeurs bij hun familie en vrienden. Ze vormen nu een menselijke firewall."

 

Ja, ook mensen vormen een firewall

The human firewall, ofwel de menselijke firewall, is een term die in cybersecurity wordt gebruikt om het menselijke aspect van cyberveiligheid te duiden. Hoeveel er ook geïnvesteerd wordt in technische maatregelen zoals firewalls en virusscanners, deze zijn nooit honderd procent waterdicht. De cyberveiligheid van een organisatie wordt wel sterk vergroot wanneer medewerkers optreden als filter voor verdachte situaties, zoals valse e-mails en websites en verdacht gedrag van bezoekers, verdachte bestanden, enzovoort.

 

Bij een degelijke cyberbeveiliging komen verschillende aspecten aan bod. The human firewall is een belangrijk onderdeel, maar is niet zaligmakend. Ook Beneens blijft verder stappen zetten om een meer cyberveilige kmo te worden. "Onze cybersecurity roadmap bestaat zowel uit de uitrol van organisatorische maatregelen en procedures, als de verdere implementatie van detectie- en beveiligingssoftware." "Twee keer per jaar laten we een ethisch hacker onze systemen volledig doorlichten zodat we zeker niets over het hoofd zien", besluit Joeri.

 

Subsidies vanuit kmo-portefeuille

Beneens werd bij de investering in cybersecurity geholpen door de kmo-portefeuille van VLAIO. Hierdoor betaalde de kmo zelf gevoelig minder.