Liefst 1 op de 5 bedrijfs- en overheidswebsites in België kwetsbaar voor cyberaanval

• Overheidswebsites minst beveiligd: ruim kwart websites van gemeenten en lokale politiediensten kwetsbaar voor hack
• 20 procent van websites in zorg zoals ziekenhuizen en woonzorgcentra zijn onveilig
• 1 op de 6 domeinnamen te misbruiken voor CEO fraude
• 4 op de 10 bedrijfs- en overheidswebsites gebruiken verouderde technologie

Bijna 1 op de 5 websites van bedrijven en overheidsinstellingen in België zijn een makkelijk doelwit voor hackers. De websites van onze overheden lopen het grootste risico: hackers kunnen bij ruim 1 op de 4 overheidswebsites zoals gemeenten en lokale politiediensten illegaal de website aanpassen, zich eventueel toegang verlenen tot financiële stromen of zelfs privé-data stelen. Dat blijkt uit een grootschalige studie van advieskantoor BDO bij ruim 15.000 websites in ons land.

Het voorbije jaar ging er geen maand voorbij of hackers hadden de computers van een bedrijf geblokkeerd en vroegen losgeld. Cyberexperten voorspellen dat 2021 voor onze ondernemingen nog erger wordt. Een studie van advieskantoor BDO geeft hen gelijk: onze bedrijven zetten via hun website de deur wagenwijd open voor cybercriminelen. Grootste boosdoener zijn de verouderde technologieën die 4 op de 10 websites in ons land gebruiken.  

“Onze studie toont aan dat veel bedrijfs- en overheidswebsites slecht beveiligd zijn. Dat maakt me ongerust. De veiligheid van een website geeft aan hoe het is gesteld met de IT-beveiliging van de volledige organisatie. Als de website makkelijk te kapen is, kan dit erop wijzen dat ook de rest van de IT-omgeving van de organisatie slecht beveiligd is. Dat geeft cybercriminelen meer mogelijkheden om bedrijven te saboteren en gevoelige data te stelen.”
Nic Huysmans, manager cybersecurity bij BDO

Publieke sector minst veilig, energiesector best beveiligd

Het eerste wat opvalt in de studie van BDO is dat de publieke sector de slechtste leerling van de klas is. Ruim 1 op de 4 (28%) van de gemeentelijke websites en lokale politiezones schiet tekort voor één of meerdere hoogrisico testen. Daarmee steken ze met kop en schouders boven het Belgische gemiddelde van 18,4% uit. Niet geheel onverwacht komt de energiesector het beste uit BDO’s test, maar ook daar lopen nog altijd 8,54% van de actoren een groot risico op een cyberaanval. BDO trekt op basis van de test niet alleen aan de alarmbel voor de publieke sector. Ook de zorgsector loopt te veel risico op hacking: 20 procent van de websites in onze zorg zoals ziekenhuizen, huisartsenpraktijken en woonzorgcentra blijken onveilig.

“Het is opmerkelijk dat de websites van de zorgsector zich in de onderste regionen van onze test bevinden. 1 op de 5 websites van  onze ziekenhuizen, huisartsenpraktijken en woonzorgcentra lopen een hoog risico. Je zou nochtans denken dat ze een goede beveiliging hebben gezien de gevoelige aard van de gegevens waar ze mee omgaan. Dat moet absoluut beter.”
Nic Huysmans, manager cybersecurity bij BDO

4 op de 10 websites gebruiken verouderde technologie 

Als we kijken naar waarom de websites van bedrijven en overheidsinstellingen in België zo eenvoudig te hacken zijn, ziet BDO één grote boosdoener: verouderde technologieën. Dat gaat van onbeveiligde FTP-protocollen tot het blijven gebruiken van een onbeveiligd http-adres.

“4 op de 10 websites in ons land maken nog gebruik van FTP. Hackers kunnen via die niet-geëncrypteerde technologie eenvoudig paswoorden onderscheppen. En wat te denken van de 15% websites die nog steeds onbeveiligde http-adressen gebruiken? Tot slot blijkt ook dat 1 op de 6 van de Belgische websitedomeinen kwetsbaar zijn voor e-mailspoofing. Cybercriminelen kapen de domeinnaam en maken zo eenvoudig e-mailadressen na. Het is een populaire techniek bij ‘CEO fraude’, waarbij een hacker zich voordoet als CEO om geld te verduisteren.”
Nic Huysmans van BDO

^{Over de studie
BDO heeft een grootschalige webscan uitgevoerd om de digitale veiligheid van het Belgische bedrijfsleven en de publieke sector in kaart te brengen. Op basis van onder andere het aantal medewerkers en de omzet van de voorbije jaren selecteerde BDO 15.000 websites verspreid over het hele land en over alle sectoren heen. Die websites werden gescreend aan de hand van 21 automatische, niet-intrusieve testen onderverdeeld in 4 categorieën (connectie, configuratie, management en security). De eerste categorie focuste zich op de veiligheid van de gebruiker die naar de website surft. De tweede categorie ging na in welke mate de website gevoelige, technische informatie prijsgeeft die hackers kunnen helpen om een website of organisatie binnen te dringen. De derde categorie testte of er bepaalde poorten naar de management interface van de website open staan en de laatste categorie richtte zich op een aantal beveiligingsinstellingen zoals onder andere hoe de mailserver van de organisatie omgaat met  e-mail spoofing, het imiteren van e-mail zodat het lijkt dat die van de organisatie komt.
Alle resultaten zijn gratis beschikbaar op de interactieve website bdowebscan.eu.} 

^{Over BDO
BDO is een internationaal opererende adviesorganisatie, met een solide reputatie in financiële dienstverlening (Audit, Corporate Finance, Accounting, Tax & Legal) en ander gespecialiseerd advies, waaronder Strategy & Organisation, People, Interim Management, Digital en Risk. Het advieskantoor begeleidt een brede klantenbasis van grote, internationale bedrijven, (familiale) KMO’s tot privépersonen. De BDO aanpak is integer, hands-on en pragmatisch, resultaats-gericht én met een juiste focus op de noden van de klant. Ondernemingen hebben steeds één direct aanspreekpunt, en BDO’s kantoor bevindt zich in de directe nabijheid. In België heeft BDO 750 Partners en medewerkers verspreid over het hele land. BDO werkt vanuit 11 vestigingen in Antwerpen, Brussel Airport, Brussel Centrum (2), Gent, Hasselt, La Hulpe, Liège, Mechelen, Namur-Charleroi en Roeselare. BDO maakt deel uit van een sterk internationaal netwerk dat met een ploeg van meer dan 88.000 Partners en medewerkers actief is in 162 landen.
Voor meer info: www.bdo.be}