Cyberfraude is een probleem waarvoor iedereen op zijn hoede moet zijn, ook de lokale besturen. Meestal gaat het om valse facturen.
Welzijnsband Meetjesland kreeg onlangs te maken met een klassiek voorbeeld van cyberfraude. ‘De financieel directeur kreeg een mail die van de algemeen directeur scheen te komen, hij was via een smartphone verstuurd,’ zegt informatieveiligheidsconsulent Joris De Geyndt. ‘De algemeen directeur vroeg op een familiaire manier of er nog genoeg geld op de rekening stond om 40.000 euro te betalen. De financieel directeur antwoordde dat dit geen probleem was. Meteen daarop volgde de vraag dit bedrag dringend over te schrijven, de bewijsstukken zouden later wel volgen. De financieel directeur heeft toen alarm geslagen. Wat de fraudeurs wellicht niet wisten, was dat de algemeen directeur op vakantie was. Dat feit was voor de financieel directeur een extra reden om de mail verdacht te vinden.
Het komt wel vaker voor dat fraudeurs zich beroepen op de autoriteit van de algemeen directeur of van de CEO in een onderneming. Gelukkig hebben de meeste lokale besturen een reeks procedures voordat de administratie tot betalen overgaat.’
Alles klopt, behalve het rekeningnummer
Soms wordt er ingebroken in computersystemen van een lokaal bestuur om facturen te vervalsen en rekeningnummers van leveranciers te vervangen door die van de fraudeur. De handelwijze is dezelfde als bij het vervalsen van papieren facturen.
De stad Leuven heeft het al meermaals meegemaakt. Financieel directeur Luc Aerts: ‘We ontvangen een factuur voor een geleverde dienst, het nummer van de bestelbon klopt, alles ziet er perfect uit. Alleen het rekeningnummer van de leverancier klopt niet. Nu hebben wij een derdensysteem waar onder meer de rekeningnummers in zijn opgenomen van alle leveranciers met wie we ooit hebben samengewerkt. Elke binnenkomende factuur leggen we naast dat derdenbestand. Klopt het rekeningnummer niet, dan nemen we contact op met de leverancier om te vragen of hij misschien van nummer is veranderd. Is dat niet het geval, dan weten we dat we met fraudeurs te maken hebben. Zo hebben we al verschillende dossiers overgemaakt aan de politie. Ik denk dat ons systeem sluitend is, ik heb geen weet van facturen waarmee het fout is gelopen.’
Ook phishing is een groot probleem. Bij die vorm van fraude hengelen oplichters naar bankcodes of andere persoonlijke gegevens door zich voor te doen als een betrouwbare organisatie zoals een bank, de politie, een telecom- of softwarebedrijf. Steeds vaker gebeurt phishing niet alleen via mail, maar ook via telefoon of sociale media zoals WhatsApp.
Steven Closset, financieel directeur van het OCMW van Galmaarden, werd het slachtoffer van phishing. ‘Ik kreeg een mail die van een collega leek te komen die ik enkele dagen voordien had gesproken. Ik opende het document in bijlage en gaf onoplettend mijn wachtwoord in. Dat had ik natuurlijk niet mogen doen. Het stelde de oplichter in staat mijn OCMW-mailbox te hacken. De volgende dag ontving ik een mail, zogezegd van de algemeen directeur, waarin gevraagd werd 80.000 dollar over te maken, naar Hongkong. Ik zag onmiddellijk dat die mail vals was en heb dat gemeld aan de algemeen directeur en de ICT-medewerker. Ook de bank had intussen een valse mail van mij ontvangen met de vraag het bedrag over te maken. Er was een bevestiging van de algemeen directeur aan toegevoegd dat alles in orde was. Alleen bleek het mailadres van de algemeen directeur niet volledig te kloppen.
Bovendien kunnen wij enkel geld overschrijven naar rekeningen in eigen land en de buurlanden. Hongkong is sowieso uitgesloten. De betaling is dus niet gebeurd, maar na de poging tot fraude hebben we onze waakzaamheid wel aangescherpt. Wachtwoorden worden regelmatig gewijzigd. De data protection officer van de intercommunale Haviland heeft een uiteenzetting gegeven over phishing. Iedereen weet nu dat we voorzichtig moeten zijn met het openen van documenten en zeker geen wachtwoorden mogen ingeven. Ik houd ook het saldo op onze zichtrekening bij de bank zo laag mogelijk, zodat enkel de lopende betalingen uitgevoerd kunnen worden.’
Draaiboek beter dan vertrouwen
Galmaarden, Leuven en Meetjesland zijn geen alleenstaande gevallen. ‘Er bereiken ons dagelijks meldingen van grote en kleine besturen die met cyberfraude en soortgelijke risico’s geconfronteerd worden,’ zegt Philippe Dedobbeleer, business development manager bij Belfius. Hij geeft regelmatig lezingen over cyberrisico’s en de omgang ermee.
‘Het gaat vaak over het te goeder trouw betalen van frauduleuze facturen, in situaties waarbij de deadline kort en het stressniveau bij de betrokken medewerker hoog is. De financiële schade kan oplopen tot honderdduizenden euro. We stellen vast dat de interne controleprocessen in de meeste besturen effectief zijn om gewone phishing-aanvallen te ontmijnen, maar bij andere risico’s schieten ze dikwijls tekort. Te vaak wordt gewerkt op basis van vertrouwen eerder dan op basis van een draaiboek. Bewustwording bij medewerkers met een sleutelpositie in de organisatie is nodig. Daardoor kan negentig procent van de fraude vermeden worden.’
Philippe Dedobbeleer beveelt vier maatregelen aan in de strijd tegen cyberfraude.
‘Doe een grondige check-up van de ICT-systemen en hou de antivirusmuur up-to-date. Zo kunnen valse mails of telefoonnummers herkend worden.
Werk procedures uit om de belangrijkste risico’s bij de interne werkprocessen te vermijden. Zoek bijvoorbeeld contact met de betrokkene of zoek een niet-gekende leverancier op in de Kruispuntbank Ondernemingen of het rechtspersonenregister.
Herneem alle controles als de bank mogelijke betalingsfraude signaleert en gebruik daarbij zeker niet het telefoonnummer dat op de mogelijk valse factuur is vermeld.
Overweeg ten slotte om de restrisico’s in te perken, bijvoorbeeld door een uitbreiding van de verzekeringspolis.’ Ook de inzet van ethische hackers kan zeer effectief zijn om besturen bewust te maken van de risico’s. Waar hackers of cybercriminelen voor eigen gewin rechtsregels overtreden, brengen ethische hackers de risico’s binnen de organisatie van de opdrachtgever aan het licht.
