Om je organisatie te beschermen tegen cybercriminaliteit is de nieuwe Europese richtlijn (NIS2) belangrijk. “Het zal de bewustwording vergroten”, zegt Wim Muylaert van Hydro. “Al kan je het risico niet volledig uitsluiten.”
De concrete vorm van de nieuwe Europese richtlijn NIS2, die eind 2024 ingevoerd zal worden, is vooralsnog onduidelijk. De Belgische regering moet ze nog omvormen tot een wet. De minimale maatregelen zijn wel al gekend. Hieronder vallen onder andere het verplicht (laten) uitvoeren van een risicoanalyse, het bezitten van een incident response plan, een cybersecuritytraining voor het management, het bezitten van een business continuity plan, en het evalueren van de effectiviteit van de genomen beveiligingsmaatregelen.
“Dergelijke maatregelen zijn belangrijk en zullen enkel aan belang winnen”, zegt Wim Muylaert, die als afscheidnemend business unit controller projects Europe van Hydro op zoek is naar een nieuwe uitdaging. In het voorjaar van 2019 was de internationale aluminiumgroep Norsk Hydro het slachtoffer van een cyberaanval die de meeste operaties verspreid over de hele wereld lamlegde. Hackers waren erin geslaagd de computerarchitectuur binnen te dringen via een e-mailbericht, al is de precieze oorzaak nooit meegedeeld. Wim Muylaert: “Nadien konden de hackers talloze servers overnemen. Werknemers hadden geen toegang meer tot essentiële gegevens en toepassingen. De financiële afdeling, die gebruik maakt van boekhoudsystemen in een privécloud, had geen toegang meer tot de boekhouding, betalingsapplicaties en andere toepassingen. Ook de productie was zwaar getroffen. Veel fabrieken hadden geen toegang meer tot hun gegevens die zich op computerservers bevonden. De fabriek van Lichtervelde slaagde erin om verder te werken omdat een van de medewerkers de gewoonte had om het orderboek dagelijks uit te printen. Dat bleek in die omstandigheden goud waard.”
“Cybersecurity was nochtans geen dode letter binnen de groep”, zegt Wim Muylaert. “Het stond eigenlijk altijd vrij hoog op de prioriteitenlijst. Zo deden we vroeger al verscheidene tests om de bewustwording te vergroten, bijvoorbeeld met interne phishingmails.” Na de cyberaanval werden intern de risico’s opnieuw bekeken en de continuïteit van de productie op de eerste plaats gezet. “Daarom hebben we een decentralisatie van de servers doorgevoerd en de onderlinge verbindingen binnen het netwerk extra beveiligd. Tegelijk zijn we tot het besef gekomen dat we het risico niet volledig kunnen uitsluiten. Uit onze analyses blijkt dat onze organisatie elke dag tussen vijfduizend en tienduizend aanvallen te verduren krijgt. De zwakke schakel blijft de mens.”
Daarom kwamen er extra opleidingen over het omgaan met verdachte mailberichten. “Specifiek voor de medewerkers van de financiële afdeling hebben we er nog eens op gewezen dat onze ceo hen nooit zal vragen om dringend grote bedragen over te schrijven. Tegelijk verhoogden we een aantal procedures rond administratieve rechten van de IT-medewerkers. Die zijn nu veel beperkter in de tijd en ook in de aard van de volmacht die ze inhouden.”
De impact van zo’n aanval is gigantisch, weet Wim Muylaert. “Op financieel vlak waren we verzekerd, maar de impact naar de klanten is immens. Je kunt door de productiestop niet meer tijdig leveren. Bijvoorbeeld de receptuur voor het extruderen van profielen zat in het computersysteem. Elk profiel heeft een specifiek persrecept. We moesten dus terug naar manuele modus. Dat heeft verregaande gevolgen.” De bewustwording door nieuwe Europese richtlijnen kan dus enkel maar toenemen, besluit Wim Muylaert. “Al moet het allemaal ook werkbaar blijven.”
Verdoe jij ook te veel tijd met het opvolgen van alle nieuwtjes in je feed? No worries, wij verzamelen alles wat nieuw is in de finance wereld. Al die nieuwtjes komen wekelijks in jouw mailbox terecht.