Cybersecurity is vandaag ook in de ‘zachte’ sector geen luxe meer. Investeren in tiptop beveiligde IT weegt niet op tegen de schade die een datalek of ransomware aanricht. De IT-afdeling van zorginstelling Het Gielsbos sensibiliseerde haar personeel met een fake phishing-campagne.
“Aanvankelijk tot hun ergernis,” zegt IT-coördinator Els De Mey, “maar vandaag wordt er amper nog op échte phishingmails geklikt.”
Els De Mey was dertig jaar actief in de Antwerpse haven voor ze vijf jaar geleden de vernieuwing van het IT-beheer in Het Gielsbos aanvatte. De 640 medewerkers zorgden er wel heel goed voor hun 400 ‘cliënten’, maar waren amper bezig met de mogelijkheden van de cloud, netwerken of digitalisering, laat staan beveiliging.
Is dat wel een prioriteit voor een sociale onderneming?
“Natuurlijk. Ook een zorginstelling als de onze is niet immuun voor cybercriminaliteit. We werken hier met kwetsbare mensen, van wie de medische data goed afgeschermd moeten worden. Het gevaar is niet denkbeeldig dat hackers die data of camerabeelden misbruiken of virussen loslaten om losgeld te eisen van de instelling. Dus moet je al het mogelijke doen om dat te verhinderen.”
Wat kan er zoal gedaan worden?
“Alvast de basis: update je netwerk, installeer een firewall, maak regelmatig back-ups en maak het personeel bewust van hun verantwoordelijkheid. Hier worden de medewerkers er bijvoorbeeld van doordrongen dat ze niet zomaar foto’s van onze cliënten op hun Facebookpagina mogen zetten. Of iets dat ik leerde op het bootcamp cybersecurity van Groeilabz: laat niet zomaar onbekenden toe in je kantoor. Omdat wij een opendeurpolitiek voeren, zal ik een nieuw gezicht nu altijd vragen: wie bent u?”
Wat heeft Het Gielsbos nog meer ondernomen?
“We ontdubbelden ons robuuster gemaakte netwerk, zodat bezoekers enkel nog toegang hebben tot de website. We vervingen de groepslogin – waarbij je nooit wist wie er eigenlijk aan de pc zat – door een persoonlijke login met een driemaandelijks paswoord (de tijd die een hacker gemiddeld nodig heeft om een paswoord van twaalf tekens te kraken). Inloggen kan overigens enkel in de Benelux, om Oost-Europese hackers te weren. Alle schermen kregen screensavers, zodat wanneer je even weg bent, niemand zomaar op je pc kan. Naast de goede firewall Fortigate, die het inkomend dataverkeer monitort, werden vele openstaande poorten (bijvoorbeeld waarlangs onze wasmachines automatisch waspoeder bestellen) gesloten en bepaalde websites (bijvoorbeeld goksites) geblokt. We maakten een begin met het overschakelen naar cloudwerking. Een toekomstige stap is meer werken met tablets, zodat de medewerkers minder aan hun computer zitten, maar meer tussen de cliënten.”
Wordt het personeel betrokken bij al deze digitale vernieuwingen?
“Jazeker. Projectwerkgroepen bevatten alle soorten medewerkers, om te bespreken wat ze mogen verwachten. Mijn motto is altijd: al wat de IT-afdeling doet, moet het werk voor de medewerkers makkelijker maken, niet lastiger. Akkoord, bij een nieuwe toepassing moet je in het begin altijd dingen aanleren en gewoonten wijzigen, maar daar zijn opleidingen voor. We laten de mensen niet zomaar hun plan trekken. Vooral nieuwe medewerkers staan vaker open voor digitale mogelijkheden.”
"Een datalek kost veel meer geld dan de beveiliging ertegen"
Een sociale onderneming besteedt haar kostbare middelen misschien liever anders?
“Een datalek kost je veel meer geld dan de beveiliging ertegen, niet alleen vanwege de chantage of de herstelkosten: als je niet kan aantonen dat je al het mogelijke hebt gedaan om je te beveiligen, krijg je er nog eens een boete bovenop. Niet elke sociale onderneming heeft de expertise in huis om dat te doen, maar die kan je inhuren. Dat kost geld, maar een vaste IT’er in dienst nemen ook.”
Heb je je directie ervan moeten overtuigen te investeren in cybersecurity?
“Ik ben heel blij dat onze directie hier ook gevoelig voor is en me het mandaat gaf voor de nodige investeringen. We hebben samen meteen een vijfjarenplan opgesteld. Bovendien bracht de voorzitster van onze raad van bestuur, gedeputeerde Kathleen Helsen, ons in contact met de IT-dienst van de provincie Antwerpen, om te toetsen of we goed bezig waren. Dat leverde nog enkele aandachtspunten op. Strategieën uitwisselen met collega’s is altijd nuttig. Met gelijk wie je het hebt over cybersecurity: altijd krijg je nieuwe inzichten. Houd het dus vooral niet stil als je toch gehackt wordt, maar deel je ervaringen. Het is geen schande als het je overkomt.”
Je kreeg ook het groene licht voor een fake phishing-campagne: leverde dat wat op?
“Het enige dat een IT-dienst niet in de hand heeft, is wat een medewerker aanvangt met e-mails. De firewall houdt veel mails van verdachte adressen tegen, maar herkent niet elke link in elke mail. De campagne post een jaar lang regelmatig valse phishingmails, die als je ze aanklikt een sensibiliserende boodschap geven. In het begin waren de mensen hier boos om, maar werd toch nog 25 à 30% van die mails aangeklikt. Dat was na 10 maanden héél wat minder. Ook échte phishingmails die door de mazen van ons net glipten – en waarvan men al eens dacht dat die ook van ons kwamen – worden nu massaal weggegooid. Daar feliciteren we de mensen regelmatig voor in onze interne nieuwsflitsen. Ik ben blij dat ze er wat van leerden, want – eerlijk gezegd – de zorgzame mensen in de zorg zijn soms te goedgelovig dan goed voor hen is.”
Wil je wat dieper tot de kern gaan? Dan is ons Groeilab cyberveiligheid misschien wel iets voor jou!
Heb je nog vragen over cybersecurity in jouw onderneming? Contacteer Verso-expert Tine Holvoet: tine.holvoet@verso-net.be. Lees ook het interview met cybersecurity-expert Patrick Hauspie van VLAIO.