Laat jij de achterdeur van je woning open?

Boost beveiliging websites bedrijven en overheden blijft uit

Koen Claessens, Partner BDO Risk Advisory

Terwijl de cybercriminelen hun ‘business’ professionaliseren en cyberaanvallen bijna exponentieel toenemen, blijft het gros van onze bedrijven en overheden ter plaatse trappelen met hun cyberbeveiliging. Dat is het opvallende resultaat van onze grootschalige analyse van meer dan 15.000 Belgische websites. Zo draait één op drie websites nog altijd op een verouderde technologie. Heeft jouw bedrijf een afdoend cyberplan?

Het leger dat geen e-mails meer kan versturen, het internetverkeer van hogescholen en universiteiten dat plat gaat, MediaMarkt dat slachtoffer wordt van een grootschalige ransomwareaanval, hackers die aan de haal gaan met gegevens van het Rode Kruis. Het zijn slechts enkele recente voorbeelden die de ernst van cyberaanvallen in ons land aantonen. Toch lijken Belgische bedrijven niet echt wakker te liggen van hun beveiliging als we scannen hoe ze hun websites beveiligen.

Onze analyse van meer dan 15.000 websites toont dat de meeste sectoren geen betere beveiligingspapieren kunnen voorleggen dan een jaar geleden. Dat is geen goed nieuws, want in de wereld van de cybersecurity betekent stilstaan achteruitgaan. Eén op de zes bedrijfs- en overheidswebsites in België is nog altijd bijzonder kwetsbaar voor cyberaanvallen. Dat is iets beter (vorig jaar was dat nog één op vijf), maar geen reden tot euforie. “Het is beangstigend vast te stellen dat er geen positieve evolutie is van de veiligheid van de bedrijfs- en overheidswebsites in ons land”, aldus Francis Oostvogels, Senior Manager bij BDO Risk Advisory. “In veiligheidstermen is stilstaan hetzelfde als achteruitgaan. De frequentie van cyberaanvallen neemt toe en hackers misbruiken kwetsbaarheden in software sneller dan ooit. Als je dan weet dat de bedrijfswebsite de spiegel is van hoe een onderneming omgaat met security, zijn slecht beveiligde websites een uitnodiging voor hackers.”

Verouderde technologie

Onze studie maakt pijnlijk duidelijk waar het schoentje wringt bij de beveiliging van onze bedrijven en overheden. Bijna drie keer zoveel domeinnamen hebben een slecht geconfigureerde beveiliging van de domeinnaam ten opzichte van een jaar eerder: twee op de drie domeinnamen tegenover ‘slechts’ één op de vier in 2021. Daarnaast lekt één op de drie bedrijfswebsites gevoelige informatie door verouderde technologieën, zoals TLS- FTP-protocollen te gebruiken. Eén op de zes bedrijfswebsites in België heeft zelfs geen veilige HTTPS-verbinding.

“Laat jij de achterdeur van je woning altijd open?”, vraagt Nick Huysmans, Manager bij BDO Risk Advisory. “Natuurlijk niet. Maar wie vandaag nog TLS- en FTP-protocollen gebruikt op z’n website, doet dat wel. Als je geen veilige HTTPS-verbinding garandeert, laat je hackers meelezen wat je op een website achterlaat: van je gsm-nummer tot je wachtwoord. En wie zijn domeinnaam niet beveiligt, laat hackers toe om websitebezoekers om te leiden naar valse websites die mensen informatie of geld afhandig maken. Besef goed dat hackers alle mogelijke informatie gebruiken die ze kunnen vinden en zo hun manier van werken verbeteren. Ondertussen blijft de technologie van het gros van onze bedrijven en overheidsinstanties status quo. Wie zijn systemen dus niet verbetert, is een vogel voor de kat.”

“Eén op de zes bedrijfs- en overheidswebsites is nog altijd bijzonder kwetsbaar voor cyberaanvallen.”

Francis Oostvogels, Senior Manager BDO Risk Advisory

Technologie, processen en personeel updaten

Onze boodschap is duidelijk: net zoals hackers ingenieuzer te werk gaan en hun tactieken veranderen om slachtoffers te blijven misleiden, moeten bedrijven alerter worden en hun mentaliteit wijzigingen. Investeren in technologieën, medewerkers bijscholen en processen uitwerken voor het geval ze toch slachtoffer worden van een cyberaanval.

“Bijna drie op de vier kmo's vertrouwt hun IT-beveiliging toe aan de manager of aan … niemand!”

Nathalie Ragheno, experte cybersecurity VBO

Het Verbond van Belgische Ondernemingen (VBO), de stem van meer dan 50.000 ondernemingen, laat geen kans onbenut om cybersecurity hoger op de agenda te zetten bij ondernemend België. En wijst erop dat, in tegenstelling tot wat velen denken, niet alleen de grote bedrijven slachtoffer kunnen worden. “Te veel kleine en middelgrote ondernemingen investeren traag in hun IT-beveiliging en zijn bijzonder kwetsbaar voor cyberaanvallen”, weet Nathalie Ragheno. Als experte volgt zij het domein cybersecurity bij het VBO. “Bij de kmo’s wordt slechts ongeveer een kwart beschermd door een professional, IT-specialist of externe dienstverlener. Bijna drie op de vier kmo’s vertrouwt IT-beveiliging toe aan hun manager of aan … niemand. Maar al te vaak beschouwen bedrijven IT-beveiliging nog als secundair, gezien hun beperkte middelen.” Daarom roept ze alle ondernemingen, ongeacht de grootte, op om cyberdreigingen in kaart te brengen. “Op basis van die informatie kunnen ze de nodige beveiligingsmaatregelen nemen om cyberincidenten te voorkomen of sneller op te sporen. Anders gezegd, elk bedrijf zou minstens een actieplan of procedure moeten hebben om gepast te kunnen reageren voor het geval dat er zich een incident voordoet.”

Over de studie

BDO voerde voor het tweede jaar op rij een grootschalige webscan uit om de digitale veiligheid van het Belgische bedrijfsleven en de publieke sector in kaart te brengen. Op basis van onder andere het aantal medewerkers en de omzet van de voorbije jaren selecteerden we 15.000 websites verspreid over het hele land en over alle sectoren heen.

“Eén op de drie bedrijfswebsites lekt gevoelige informatie door verouderde technologie.”

Nick Huysmans, Manager BDO Risk Advisory

Die websites werden gescreend aan de hand van 21 automatische, niet-intrusieve testen onderverdeeld in vier categorieën (connectie, configuratie, management en security). De eerste categorie focuste zich op de veiligheid van de gebruiker die naar de website surft. De tweede categorie ging na in welke mate de website gevoelige, technische informatie prijsgeeft die hackers kunnen helpen om een website of organisatie binnen te dringen. De derde categorie testte of er bepaalde poorten naar de managementinterface van de website open staan en de laatste categorie richtte zich op een aantal beveiligingsinstellingen, zoals de manier waarop de mailserver van de organisatie omgaat met e-mail-spoofing, het imiteren van e-mail zodat het lijkt dat die van de organisatie komt.

Hoe veilig zijn 15.000 websites in ons land?

Je kunt alle resultaten van onze analyse gratis raadplegen op de interactieve website webscan.tms.bdo.nl/be.

Wil je vergelijken met de resultaten van 2021? Dat kan op webscan.tms.bdo.nl/be21.

Bekijk hier de reportage over de studie op Kanaal Z.