24 miljoen euro! Dat is het kolossale bedrag dat cybercriminelen hebben gestolen. Het slachtoffer? Een financiële onderneming in Hongkong. De methode? Deepfake. In een ultradigitale wereld gebruiken oplichters 4.0 steeds geavanceerdere technologische hulpmiddelen om bedrijven af te zetten. Cyberrisico’s zijn reëel en nemen toe. Hoe kunnen we anticiperen op de dreiging om ze af te wenden?
Het klinkt groot, te groot om waar te zijn, maar dit ‘fait-divers’ is een voorbeeld van de cyberrisico’s waarmee bedrijven geconfronteerd worden, en dat ongeacht hun omvang, sector of geografische locatie. Het verhaal kan in twee regels worden verteld: een werknemer die werkzaam was in de financiële sector in Hongkong liep in een nieuwe soort cyberval, ‘deepfake’, een techniek waarbij kunstmatige intelligentie wordt gebruikt om video’s en afbeeldingen te maken of te wijzigen. Voor zijn werkgever bedraagt het verlies bijna 24 miljoen euro. Hoe kan dat?
Niemand is immuun
Om in hun opzet te slagen, nodigden de cybercriminelen de onfortuinlijke werknemer uit om deel te nemen aan een videoconferentie (via een phishingmail), waarin ze zich voordeden als de financieel directeur van het Aziatische bedrijf. Hoewel hij in eerste instantie wantrouwig was, werd de opgelichte werknemer snel gerustgesteld toen de virtuele vergadering van start ging, dankzij de bekende gezichten en stemmen, waaronder die van de CFO, die hem onder meer vroeg om verschillende geldtransfers uit te voeren … Helaas was alles nep, behalve het resultaat van de operatie: een verlies van 24 miljoen euro! Deze zaak toont de kracht van technologische hulpmiddelen, met name AI, ten goede of ten kwade. Denkt u dat u beter voorbereid bent dan dit bedrijf in Hongkong? Hoed u voor overmoed: digitale misdrijven overkomen niet alleen andere mensen en hebben zeer reële gevolgen. Als financieel manager hebt u de taak om cyberrisico’s rigoureus te evalueren, zodat u de potentiële financiële impact kunt kwantificeren en beperken. Hoe gaat u te werk?
1. De potentiële gevaren analyseren
De eerste stap is het opstellen van een methodische inventaris van de verschillende mogelijke aanvalsvectoren. Terwijl audio- en videodeepfakes nu een realiteit zijn, omvatten de risico’s ook tal van andere facetten zoals phishing, ransomware, datalekken en het hacken van accounts. Daarom moet u uw specifieke kwetsbaarheden in detail analyseren volgens uw bedrijfssector, uw interne processen en uw niveau van cybermaturiteit.
2. De risico’s en kwetsbaarheden beoordelen
Uw evaluatie moet steunen op een gestructureerde aanpak. Concreet? Eerst moet u uw kritieke bedrijfsmiddelen (gegevens, systemen, infrastructuren) identificeren. Vervolgens dient u de bedreigingen voor deze bedrijfsmiddelen in kaart te brengen en de crisisscenario’s te modelleren. En tot slot moet u de financiële gevolgen becijferen op basis van verschillende hypothesen.
3. De ‘dreiging’ kwantificeren in euro
Beslist geen eenvoudige taak. Een grootschalig lek van klantgegevens kan bijvoorbeeld zowel directe kosten (boetes van regelgevende instanties) als indirecte kosten (omzetverlies, imagoschade, enz.) met zich meebrengen. Toch is deze stap cruciaal, omdat kwantificering een financieel glossarium oplevert dat het gemakkelijker maakt om met het management te communiceren. Met deze schattingen kunt u objectieve cijfers aanleveren en de raad van bestuur bewuster maken van de problemen rond cybercriminaliteit! Het fungeert ook als instrument om de besluitvorming van de directie te onderbouwen. Maar hoe gaat u te werk? Er zijn heel wat hulpmiddelen beschikbaar, waaronder de FAIR-methode (Factor Analysis of Information Risk), de O-RT-benadering (Operational Risk Taxonomy) en speciale software voor het kwantificeren van cyberrisico’s (Cyber Risk Quantification, CRQ).
