Cybercriminaliteit zwaar onderschat door bedrijven
Computercriminaliteit is, na diefstal, de grootste criminele bedreiging voor bedrijven. Dat blijkt uit een onderzoek van consultancybureau PricewaterhouseCoopers. Maar bedrijven nemen deze vorm van misdaad nog steeds niet serieus. Het wordt de hoogste tijd dat bedrijven wakker schieten, oordeelt PwC.
Voor de zesde keer organiseert PwC een enquête rond misdaad bij bedrijven. Voor de eerste maal werd computercriminaliteit als afzonderlijke categorie vermeld (vroeger viel dit onder de rubriek ‘andere"). En kijk: meteen rukt cybercrime op naar de tweede plaats in de hitlijst van economische misdrijven. Achtendertig procent van de Belgische bedrijven was het slachtoffer van een of andere vorm van economisch misdrijf.
Vierenveertig procent van deze getroffen bedrijven had te kampen gekregen met cybercrime. Dit betekent dat bijna zeventien procent van de Belgische bedrijven al met een vorm van computercriminaliteit te maken heeft gehad. Heel wat minder dan de ruim zesentwintig procent die diefstal heeft vastgesteld, maar niettemin een realiteit die niet meer genegeerd kan worden.
De mailbox van de directeur
En toch wordt cybercriminaliteit nog steeds schromelijk onderschat, zo blijkt uit diezelfde enquête. Op de vraag "Hoe vaak wordt cybercrime op bestuursniveau besproken?" antwoordt 66% ‘ad hoc (eufemisme voor: na een incident)’, ‘nooit’ of ‘weet ik niet (eufemisme voor: zelden of nooit)’. Toch zou het niet op de agenda misstaan als je bedenkt wat er allemaal fout kan gaan.
Zo vertelde een van de PwC-woordvoerders het verhaal van de topman van een internationaal bedrijf wiens e-mailaccount werd gehackt. Zo konden de cybercriminelen lokale countrymanagers van het bedrijf van de topman benaderen vanuit diens e-mailaccount, met de vraag om een grote som te storten op een rekening, zogezegd van het hoofdkantoor. Zo raakte het bedrijf binnen enkele dagen meerdere miljoenen kwijt.
Maar het zijn niet alleen de financiële risico’s die je grijs haar kunnen bezorgen: ook de schade aan het imago kan behoorlijk oplopen. In dat opzicht is het opvallend dat zowat de helft van de bevraagde ondernemingen geen media- en pr-plan klaar heeft voor wanneer een cybermisdaad zou plaatsvinden.
Profiel van de crimineel
Wat is het profiel van de gemiddelde cybercrimineel? Van externe criminelen valt dit moeilijker vast te stellen, omdat deze veel minder vaak worden gevat of geïdentificeerd. Maar de Belgen die zich van binnen het bedrijf aan cybercriminaliteit bezondigen, zijn volgens deze enquête mannen tussen veertig en vijftig jaar oud, die al meer dan tien jaar in het bedrijf werken, en maximaal een diploma secundair onderwijs hebben behaald.
“Een opvallend profiel”, erkent ook PwC-partner Rudy Hoskens. “Volgens de antwoorden wereldwijd is de gemiddelde cybercrimineel tussen dertig en veertig jaar oud, drie à vijf jaar actief in de onderneming en heeft hij een masterdiploma of hoger. Dat is ook voor België het profiel dat wij het vaakst aantreffen.
“Een mogelijke verklaring voor dit verschil is dat de Belgische respondenten eerder in het topmanagement zaten, en dat men het profiel van een crimineel – ook onbewust – liefst zo ver mogelijk van het eigen profiel ziet. Ook opvallend: de respondenten zagen het grootste gevaar voor interne computermisdaden in de IT-afdeling, en 85% oordeelde dat de HR-afdeling weinig of geen risico’s opleverde.
“Nochtans zit hier veel waardevolle informatie opgeslagen, zoals bankrekeningen en andere privégegevens. Men zou de HR-afdeling dus toch beter iets meer als risicovol beschouwen”, oordeelt Rudy Hoskens.
Spel zonder grenzen
Externe cybercriminaliteit is moeilijk te bestrijden, onder meer omdat de misdadiger veel minder sporen achterlaat, meent Rudy Hoskens: “De crimineel hoeft niet het gebouw te betreden, en kan dus minder vlot betrapt worden op heterdaad.”
Bovendien zijn de sporen die hij op de server zou achterlaten, na een tijdje onvindbaar, vult PwC-adviseur Reinout De Clercq aan: “Enkel van misdaden die binnen het uur worden ontdekt kunnen we nog sporen terugvinden op de server, nadat de dader ze heeft gewist. Vroeger zouden we zelfs een week na de misdaad sporen van gewiste gegevens terugvinden, maar tegenwoordig raken die volledig verdronken in de grote hoeveelheden gegevens.”
En dan is er nog het probleem dat de inbreuken vaak worden gepleegd door buitenlandse criminelen op servers die zich in een ander land bevinden, wat het bijzonder moeilijk maakt om te bepalen wie de misdadigers kan vervolgen en op basis van welke wetgeving.
Die verwarring en vaagheid bezorgt de criminelen een gevoel van straffeloosheid, stelt Jacqueline Gram, directeur forensic services bij PwC: “Er zijn in de [voormalige] Oostbloklanden regio’s waarvan men weet dat er soms volledige dorpen bezig zijn met cybercriminaliteit, maar het is voor ons onmogelijk om hier actie tegen te ondernemen.”
Wie zoekt, die vindt
Tot slot nog een belangrijke waarschuwing van Rudy Hoskens: “Iedereen denkt dat cybercriminaliteit, en misdaad in het algemeen, iets is wat alleen anderen overkomt. Nochtans zijn wij ervan overtuigd dat geen enkel bedrijf, als men een voldoende grondige audit uitvoert, misdaad- en fraudevrij zal blijken: iedereen is al slachtoffer geweest van een of andere misdaad, al was het maar een diefstal.”
Ook de perceptie bij maar liefst 54% van de respondenten dat het grootste gevaar voor cybercrime van buitenaf komt, is totaal fout: vele studies uit het verleden hebben aangetoond dat de meeste computercriminaliteit van binnen de bedrijfsmuren wordt gepleegd. “Het wordt de hoogste tijd dat bedrijven daar meer rekening mee houden”, besluit Rudy Hoskens.
Computercriminaliteit is, na diefstal, de grootste criminele bedreiging voor bedrijven. Dat blijkt uit een onderzoek van consultancybureau PricewaterhouseCoopers. Maar bedrijven nemen deze vorm van misdaad nog steeds niet serieus. Het wordt de hoogste tijd dat bedrijven wakker schieten, oordeelt PwC.
Voor de zesde keer organiseert PwC een enquête rond misdaad bij bedrijven. Voor de eerste maal werd computercriminaliteit als afzonderlijke categorie vermeld (vroeger viel dit onder de rubriek ‘andere"). En kijk: meteen rukt cybercrime op naar de tweede plaats in de hitlijst van economische misdrijven. Achtendertig procent van de Belgische bedrijven was het slachtoffer van een of andere vorm van economisch misdrijf.
Vierenveertig procent van deze getroffen bedrijven had te kampen gekregen met cybercrime. Dit betekent dat bijna zeventien procent van de Belgische bedrijven al met een vorm van computercriminaliteit te maken heeft gehad. Heel wat minder dan de ruim zesentwintig procent die diefstal heeft vastgesteld, maar niettemin een realiteit die niet meer genegeerd kan worden.
De mailbox van de directeur
En toch wordt cybercriminaliteit nog steeds schromelijk onderschat, zo blijkt uit diezelfde enquête. Op de vraag "Hoe vaak wordt cybercrime op bestuursniveau besproken?" antwoordt 66% ‘ad hoc (eufemisme voor: na een incident)’, ‘nooit’ of ‘weet ik niet (eufemisme voor: zelden of nooit)’. Toch zou het niet op de agenda misstaan als je bedenkt wat er allemaal fout kan gaan.
Zo vertelde een van de PwC-woordvoerders het verhaal van de topman van een internationaal bedrijf wiens e-mailaccount werd gehackt. Zo konden de cybercriminelen lokale countrymanagers van het bedrijf van de topman benaderen vanuit diens e-mailaccount, met de vraag om een grote som te storten op een rekening, zogezegd van het hoofdkantoor. Zo raakte het bedrijf binnen enkele dagen meerdere miljoenen kwijt.
Maar het zijn niet alleen de financiële risico’s die je grijs haar kunnen bezorgen: ook de schade aan het imago kan behoorlijk oplopen. In dat opzicht is het opvallend dat zowat de helft van de bevraagde ondernemingen geen media- en pr-plan klaar heeft voor wanneer een cybermisdaad zou plaatsvinden.
Profiel van de crimineel
Wat is het profiel van de gemiddelde cybercrimineel? Van externe criminelen valt dit moeilijker vast te stellen, omdat deze veel minder vaak worden gevat of geïdentificeerd. Maar de Belgen die zich van binnen het bedrijf aan cybercriminaliteit bezondigen, zijn volgens deze enquête mannen tussen veertig en vijftig jaar oud, die al meer dan tien jaar in het bedrijf werken, en maximaal een diploma secundair onderwijs hebben behaald.
“Een opvallend profiel”, erkent ook PwC-partner Rudy Hoskens. “Volgens de antwoorden wereldwijd is de gemiddelde cybercrimineel tussen dertig en veertig jaar oud, drie à vijf jaar actief in de onderneming en heeft hij een masterdiploma of hoger. Dat is ook voor België het profiel dat wij het vaakst aantreffen.
“Een mogelijke verklaring voor dit verschil is dat de Belgische respondenten eerder in het topmanagement zaten, en dat men het profiel van een crimineel – ook onbewust – liefst zo ver mogelijk van het eigen profiel ziet. Ook opvallend: de respondenten zagen het grootste gevaar voor interne computermisdaden in de IT-afdeling, en 85% oordeelde dat de HR-afdeling weinig of geen risico’s opleverde.
“Nochtans zit hier veel waardevolle informatie opgeslagen, zoals bankrekeningen en andere privégegevens. Men zou de HR-afdeling dus toch beter iets meer als risicovol beschouwen”, oordeelt Rudy Hoskens.
Spel zonder grenzen
Externe cybercriminaliteit is moeilijk te bestrijden, onder meer omdat de misdadiger veel minder sporen achterlaat, meent Rudy Hoskens: “De crimineel hoeft niet het gebouw te betreden, en kan dus minder vlot betrapt worden op heterdaad.”
Bovendien zijn de sporen die hij op de server zou achterlaten, na een tijdje onvindbaar, vult PwC-adviseur Reinout De Clercq aan: “Enkel van misdaden die binnen het uur worden ontdekt kunnen we nog sporen terugvinden op de server, nadat de dader ze heeft gewist. Vroeger zouden we zelfs een week na de misdaad sporen van gewiste gegevens terugvinden, maar tegenwoordig raken die volledig verdronken in de grote hoeveelheden gegevens.”
En dan is er nog het probleem dat de inbreuken vaak worden gepleegd door buitenlandse criminelen op servers die zich in een ander land bevinden, wat het bijzonder moeilijk maakt om te bepalen wie de misdadigers kan vervolgen en op basis van welke wetgeving.
Die verwarring en vaagheid bezorgt de criminelen een gevoel van straffeloosheid, stelt Jacqueline Gram, directeur forensic services bij PwC: “Er zijn in de [voormalige] Oostbloklanden regio’s waarvan men weet dat er soms volledige dorpen bezig zijn met cybercriminaliteit, maar het is voor ons onmogelijk om hier actie tegen te ondernemen.”
Wie zoekt, die vindt
Tot slot nog een belangrijke waarschuwing van Rudy Hoskens: “Iedereen denkt dat cybercriminaliteit, en misdaad in het algemeen, iets is wat alleen anderen overkomt. Nochtans zijn wij ervan overtuigd dat geen enkel bedrijf, als men een voldoende grondige audit uitvoert, misdaad- en fraudevrij zal blijken: iedereen is al slachtoffer geweest van een of andere misdaad, al was het maar een diefstal.”
Ook de perceptie bij maar liefst 54% van de respondenten dat het grootste gevaar voor cybercrime van buitenaf komt, is totaal fout: vele studies uit het verleden hebben aangetoond dat de meeste computercriminaliteit van binnen de bedrijfsmuren wordt gepleegd. “Het wordt de hoogste tijd dat bedrijven daar meer rekening mee houden”, besluit Rudy Hoskens.