De hacking van Picanol: het belang van technische en organisatorische maatregelen en sensibilisering van medewerkers (Monard Law)

Auteurs: Pieter Helsen, Vincent Vandersmissen en Kristof Zadora (Monard Law)

Publicatiedatum: 17/01/2020

De bekende Ieperse weefgetouwenfabrikant Picanol werd het zoveelste slachtoffer in de rij van een zogenaamde “ransomware”-aanval en moest de productie van weefgetouwen in vestigingen in China, Roemenië en België stilleggen. De hackers eisen losgeld voor het vrijgeven van de door hen gekraakte en versleutelde servers. De schade loopt ondertussen steeds hoger op, terwijl Picanol er alles aandoet om haar systemen weer actief te krijgen…

Wat valt hier nu uit te leren voor uw onderneming?

Een onderneming stelt zich bloot aan meer dan enkel economische schade

Vele hedendaagse ondernemingen zijn quasi volledig computergestuurd. Dit maakt hen natuurlijk kwetsbaar voor cyberaanvallen. Ondernemingen stellen zich in die zin niet alleen bloot aan de directe kosten van de cyberaanval (denk aan het losgeld, de technische werkloosheid en economische schade, de IT- en PR-kosten, etc.), maar ook aan de indirecte kosten.

In die zin kan gedacht worden aan boetes van de Gegevensbeschermingsautoriteit (GBA) naar aanleiding van het verlies of de schending van de vertrouwelijkheid van persoonsgegevens alsook aan juridische procedures en schadevergoedingen t.a.v. de gedupeerden van een cyberaanval (denk bv. aan klanten die niet – tijdig –  beleverd konden worden, persoonsgegevens van derden die gestolen en/of verkocht werden, vernietiging van persoonsgegevens, etc.).

Inderdaad, indien een onderneming niet de nodige technische en organisatorische maatregelen of updates hiervan heeft doorgevoerd om cyberaanvallen zo goed als mogelijk te voorkomen en haar bedrijfsprocessen en persoonsgegevens te beschermen, riskeert zij in die zin tevens  in gebreke te blijven in het kader van onder meer de privacywetgeving (waaronder voornamelijk de GDPR).

Ook in het kader van een verzekering tegen cyber-aanvallen is dit van belang, gezien gebrekkige beveiligingsmaatregelen een invloed zullen hebben op het risicoprofiel van een onderneming en daaruit volgend evident op de hoogte van de verzekerbaarheid en de verzekeringspremies die de onderneming dient te betalen. Het zou bovendien ook mogelijk zijn dat de verzekering geen dekking verleent indien niet de nodige voorzorgsmaatregelen werden getroffen.

Technische en organisatorische maatregelen

Een onderneming neemt dus best alle mogelijke technische en organisatorische maatregelen om haar bedrijfsprocessen en persoonsgegevens zo goed mogelijk  te beveiligen.

Hieronder vindt u hiertoe alvast een overzicht van enkele mogelijke maatregelen die een onderneming hiervoor kan implementeren:

• Compartimentering en segmentering: zorg ervoor dat uw IT-systemen niet op dergelijke wijze gelinkt zijn dat er een domino-effect ontstaat indien het IT-systeem van een van de vestigingen van uw onderneming gehackt wordt. Ook binnen eenzelfde vestiging kan gecompartimenteerd worden door bv.  het productiesysteem af te scheiden van het eindgebruiker systeem.  Indien er toch een link noodzakelijk is, neem dan de noodzakelijke voorzorgen om de systemen te segmenteren (denk aan firewalls, reverse HTTP proxy’s, etc.) en zorg ervoor dat alle systemen steeds geüpdatet worden om zwakke schakels te voorkomen.
• Pseudonimisering: vervang zoveel als mogelijk gebruikers gerelateerde persoonsgegevens door willekeurige codes, waardoor de persoonsgegevens niet onmiddellijk aan hun eigenaren gekoppeld kunnen worden.
• Vertrouwelijkheid:  voer een sterk wachtwoordbeleid in (bv. verplicht medewerkers regelmatig hun wachtwoorden te vervangen en een sterk wachtwoord met verschillende (hoofd)letters, cijfers en tekens te gebruiken) en indien mogelijk multi-factor authentication.
• Encryptering/versleuteling: encrypteer harde schijven en/of cloud-oplossingen met codering zodat derden geen onmiddellijke toegang hebben tot de (persoons)gegevens die uw bedrijf verwerkt en alleen de personen met de juiste sleutel de versleutelde gegevens weer kunnen ontcijferen.
• Transmissiecontrole: gebruik een SSL-certificaat voor websites (https: //) om gegevens binnen formulieren veilig te verzenden.
• Sensibilisering: menselijk gedrag is essentieel voor een goede cyberbeveiliging. Zorg er dus voor dat uw medewerkers steeds alert zijn voor o.a. phishingmails, hacking en malware. Dit kan door regelmatig bewustmakingsinitiatieven te organiseren  (bv. het organiseren van een interne phishing campagne, training of workshop, het versturen van interne bewustmakingsmails, etc.) voor uw medewerkers.
• Toegangscontroles: beperk de toegang tot de serverruimtes van uw onderneming (denk aan sleutels, chipkaart, alarmen, vingerafdrukscanners, etc.). Hou hierbij rekening met de aard van de persoonsgegevens die uw onderneming verwerkt. Hoe groter de risico’s, hoe zwaarder de beveiligingsmaatregelen in principe dienen te zijn.
• Integriteit: beperk de machtigingen van gebruikers tot de persoonsgegevens en IT-toepassingen die zij nodig hebben voor hun relevante taken.
• Herstelbaarheid: voorzie dat er regelmatig back-ups worden gemaakt die bovendien regelmatig worden gecontroleerd op succesvol herstel.
• Periodieke evaluaties: voorzie een regelmatige (bv. jaarlijkse) evaluatie van technische en organisatorische maatregelen m.b.t. hun  effectiviteit en plausibiliteit.

Neerleggen strafklacht

Hacking van een computersysteem en het vragen van losgeld vormen evident strafbare misdrijven.

Indien men toch het slachtoffer wordt van een cyberaanval is het dan ook aangewezen om een strafklacht neer te leggen wegens informaticacriminaliteit en afpersing.

De federale gerechtelijke politie beschikt over een gespecialiseerde computer crime unit om te trachten de identiteit van de verantwoordelijke daders te achterhalen. Bij identificatie en vervolging van de daders, kan naderhand een vordering tot recuperatie van de geleden schade worden ingesteld.

Gelet op de technische complexiteit, de doorgaans internationale context en de mogelijke insolvabiliteit van daders, blijkt een effectieve recuperatie van geleden schade in de praktijk niet evident.

Conclusie

Er bestaat helaas geen allesomvattende wonderoplossing voor ondernemingen om zich te wapenen tegen cyberaanvallen en gegevenslekken die daar mogelijks uit voortvloeien. Iedereen kan gehackt worden. Ondernemingen bestaan namelijk niet enkel uit computersystemen die gehackt kunnen worden, maar ook uit mensen, die fouten kunnen maken.

Een zo goed mogelijke implementatie van een combinatie van diverse hedendaagse technische en organisatorische maatregelen – waarbij de sensibilisering van medewerkers een niet te onderschatten aspect vormt – zorgt er echter niet enkel voor dat de bedrijfsprocessen en (persoons)gegevens van uw onderneming moeilijker te hacken vallen, het toont daarenboven ook aan dat uw onderneming zichtbaar (!) moeite doet om te voldoen aan  de privacyregelgeving.[1] Ook kunnen de gevolgen (en dus de schade) in geval van een hacking beperkt worden.

Het een en ander heeft niet alleen een invloed op de hoogte van uw verzekeringspremies maar ook op de aansprakelijkheid t.a.v. derden die voortvloeit uit gegevenslekken ten gevolge van een eventuele cyberaanval en de gevolgen die de Gegevensbeschermingsautoriteit en rechtbanken aan dergelijke gegevenslekken koppelen.

Het hoeft inderdaad geen betoog dat indien een onderneming kan aantonen dat zij de nodige (en meer)  beveiligingsmaatregelen genomen heeft, de GBA en de rechtbanken eerder geneigd zullen zijn tot een milde beoordeling.

Indien men slachtoffer werd van een cyberaanval, is het vaak aangewezen hieromtrent onmiddellijk strafklacht neer te leggen.

Wilt u meer weten over dit onderwerp en/of de stappen die uw onderneming nog dient te ondernemen om in orde te zijn? Aarzel dan niet om onze medewerkers te contacteren, zij helpen u graag verder!

Lees hier het originele artikel