Hoe ontstaat een cyberincident? De 4 meest voorkomende oorzaken bij kmo’s

Pieter Philippaerts: “Allemaal hebben ze hun eigen kenmerken, maar één iets hebben ze gemeen: ze zijn perfect te voorkomen met de juiste tegenmaatregelen. Toch aarzelen veel kmo’s om deze maatregelen effectief in te voeren. Ze worden vaak gezien als omslachtig of beperkend voor de dagelijkse werking. Die bezorgdheden wegen echter niet op tegen de kosten en risico’s van een succesvolle aanval.”

1. Phishing, smishing en andere social engineering 

Eén klik op een frauduleuze link volstaat helaas om bedrijfsgegevens te verliezen of systemen te infecteren met ransomware. Phishing is zo eenvoudig en succesvol dat het al jaren een aantrekkelijke methode is voor cybercriminelen. Zeker in kmo’s, waar technische kennis en gespecialiseerde beveiliging vaak nog beperkt zijn. 

Phishing is zo succesvol door de menselijke factor. Waar technische beveiligingslagen vaak sterk zijn, blijft het gedrag van medewerkers een zwakke schakel. Net daar speelt phishing op in. Tegenwoordig is phishing erg overtuigend en steeds moeilijker te onderscheiden van legitieme communicatie.  

Bovendien kunnen aanvallen dankzij AI en taalmodellen automatisch gepersonaliseerd worden. Waar phishing vroeger vooral op grote schaal gebeurde, zien we nu vaker varianten als spear phishing en whaling die specifiek gericht zijn op bepaalde individuen of functies. 

Ook andere vormen zoals smishing (via sms) en vishing (telefonisch) winnen terrein. Daarnaast worden deepfake-technologieën steeds vaker ingezet: stemklonen en gegenereerde video’s kunnen een overtuigende indruk wekken van authenticiteit, wat het voor slachtoffers nog moeilijker maakt om de aanval tijdig te herkennen.

Wat kan je doen? 

Phishing is niet onoverkomelijk. De oplossing ligt in permanente en doelgerichte sensibilisering binnen het bedrijf: medewerkers moeten leren hoe ze verdachte signalen herkennen. Simulaties van phishingmails of meer-geavanceerde social engineering scenario’s kunnen helpen om dat bewustzijn te verhogen. Daarnaast zijn technische maatregelen zoals geavanceerde e-mailfilters essentieel om frauduleuze berichten te blokkeren nog voor ze de inbox bereiken.

2. Zwakke toegangscontrole en toegangsbeheer 

Zwakke toegangscontrole en toegangsbeheer zorgen ervoor dat  een aanvaller die toegang heeft tot een gebruikersaccount, zich onopgemerkt in het netwerk kan verplaatsen. Hierdoor kan een cyberincident uitgroeien tot een volwaardige crisis. 

Authenticatie en autorisatie zijn hierbij twee belangrijke pijlers die vaak door elkaar worden gehaald. Authenticatie bepaalt wie je bent, autorisatie wat je mag doen. Vaak staat authenticatie in bedrijven nog gelijk aan wachtwoordbeveiliging. Wachtwoorden worden echter gestolen via phishing en circuleren ook massaal op het dark web als gevolg van datalekken. Hergebruik van wachtwoorden maakt dit nog erger. Ook op vlak van autorisatie zijn er structurele tekortkomingen. Medewerkers krijgen vaak meer toegangsrechten dan nodig, of accounts blijven actief nadat iemand het bedrijf heeft verlaten. 

Wat kan je doen? 

• Authenticatie: Zorg voor multi-factor authenticatie (MFA) 

Gebruik naast je wachtwoord nog een tweede factor, zoals een tijdelijke code, een authenticatie-app of een hardwaretoken. Dit maakt het voor aanvallers veel moeilijker om toegang te krijgen tot een account. 

• Autorisatie: Pas het least privilege principe toe

Geef gebruikers enkel toegang tot wat ze effectief nodig hebben. Beperk het aantal administratoraccounts en voer regelmatige controles uit op actieve rechten. Combineer dit met monitoringtools die verdachte loginpogingen of ongebruikelijke toegang tot gevoelige data detecteren. 

Voor bedrijven met een complexere infrastructuur, zoals cloudomgevingen of hybride werkplekken, kan een zero-trustaanpak een waardevolle aanvulling zijn op bestaande beveiligingsmaatregelen. In dit model krijgt geen enkele gebruiker, dienst of toepassing standaard toegang. Elke toegangsaanvraag wordt afzonderlijk geverifieerd, ongeacht of de aanvraag van binnen of buiten het beveiligd netwerk komt.

3. Verouderde en niet-geüpdatete software

Software bevat kwetsbaarheden. Leveranciers brengen regelmatig updates uit om beveiligingslekken te dichten. Als bedrijven hun IT- en OT-systemen niet tijdig bijwerken en updates niet toepassen, bijvoorbeeld uit vrees voor compatibiliteitsproblemen of om kosten te besparen, blijft het systeem kwetsbaar. Niet alleen op computers, maar ook op apparaten zoals routers en andere netwerkcomponenten blijven kwetsbaarheden vaak lange tijd niet behandeld. Daarnaast werken heel wat bedrijven ook nog met verouderde systemen of applicaties waarvoor geen updates meer beschikbaar zijn, dit verhoogt de kans op misbruik.  

Wat kan je doen?

• Krijg zicht in je eigen infrastructuur

Welke systemen worden gebruikt? Welke softwareversies draaien er? Zonder dat overzicht is een gerichte update-aanpak onmogelijk. IT Asset Management (ITAM) helpt daarbij: het is een gestructureerde manier om hardware en software in kaart te brengen en te koppelen aan gekende kwetsbaarheden. Zo bestaan er tools die automatisch inventariseren en waarschuwen wanneer software verouderd is of een kritieke patch (een gerichte update) mist.

• Schakel automatische updatefunctionaliteit in waar mogelijk

Als een kwetsbaar systeem niet onmiddellijk vervangen kan worden, kunnen tijdelijke maatregelen zoals netwerksegmentatie helpen om de blootstelling te beperken. Op langere termijn is het aangewezen om oude software en hardware geleidelijk uit te faseren.

• Stap over naar moderne cloudplatformen

Deze services bieden vaak ingebouwde beveiligingsmechanismen, zoals automatische updates en betere monitoring. Voor veel bedrijven is dat niet alleen veiliger, maar op termijn ook kostenefficiënter. 
 

4. Kwetsbaarheden in de toeleveringsketen

Bedrijven vertrouwen op een netwerk van leveranciers, IT-partners en softwareleveranciers — en precies daar schuilt een vaak onderschat risico. Een supply chain attack ontstaat als een aanvaller via een derde partij toegang krijgt tot interne systemen. Dat kan door kwetsbare software te misbruiken, via gecompromitteerde accounts bij een IT-dienstverlener of door een kwaadaardige update te verspreiden. Omdat die toegang van een ‘vertrouwde’ bron lijkt te komen, worden klassieke beveiligingsmaatregelen vaak omzeild. 

Kmo’s hebben vaak geen formele procedures om partners of leveranciers te screenen op hun beveiligingsniveau. Beveiliging stopt echter niet aan de voordeur van een bedrijf. Het is belangrijk om zicht te krijgen op externe afhankelijkheden. 

Wat kan je doen? 

Je supply chain versterken vereist een combinatie van technische maatregelen en grondige screening. 

• Voer een grondig bedrijfsonderzoek (due diligence) uit

Evalueer bij een samenwerking het beveiligingsbeleid van je partner of leverancier, eerdere incidenten en hun software. Een grondige beoordeling vereist echter technische expertise aan de kant van de vragende partij, en die is niet altijd voorhanden. Daarom kan het nuttig zijn om te kijken of de leverancier beschikt over erkende beveiligingscertificaten zoals ISO 27001, CyberFundamentals of gelijkaardige keurmerken. Deze keurmerken tonen aan dat er aan bepaalde minimumnormen voldaan wordt.

• Volg na overeenkomst verder op

Contracten en Service Level Agreements moeten duidelijke cybersecurityvereisten bevatten rond databeveiliging, incidentrespons en audits. Maar ook na het afsluiten van een overeenkomst blijft opvolging essentieel: controleer leveranciers regelmatig en laat ze aantonen dat ze nog steeds aan de beveiligingsstandaarden voldoen. Tegelijk helpt een zero-trustmodel om de kans op schade te minimaliseren als een leverancier toch gecompromitteerd wordt.