Cyberaanvallen voorkomen: handleiding voor KMO's

Bijna de helft van de Vlaamse bedrijven werd in 2024 getroffen door een cyberaanval. Bij een op de tien veroorzaakte die aanval effectieve schade. De cijfers komen van VLAIO, niet van een security-vendor met iets te verkopen.

De meeste van die aanvallen waren niet geavanceerd. Geen statelijke hackers, geen zero-days. Gewoon phishing-mails, zwakke wachtwoorden en software die al maanden niet was bijgewerkt.

Hoe groot is het risico voor jouw KMO?

Groter dan je denkt, kleiner dan de krantenkoppen suggereren.

Het CCB registreerde 352 cyberaanvallen in 2024. In 2022 waren dat er 94. Bijna een verviervoudiging in twee jaar. Daarvan waren 109 ransomware-incidenten, met KMO's als grootste groep slachtoffers.

Die officiële cijfers zijn het topje. Veel bedrijven melden niet. Uit schaamte, uit onwetendheid, of omdat ze niet weten dat het moet. De FOD Economie meet het breder: 29% van de middelgrote KMO's had te maken met een cybersecurity-incident. Bij het Proximus-onderzoek uit 2024 was dat 30% over alle Belgische bedrijven.

Waarom KMO's? Simpel. Ze hebben vaak geen dedicated security-team, beperkte budgetten, en verouderde systemen. Aanvallers weten dat. Ze scannen automatisch op kwetsbaarheden en richten zich op de makkelijkste doelwitten.

Welke aanvallen treffen KMO's het vaakst?

Drie types domineren. In die volgorde.

Phishing en social engineering

75% van de cyberincidenten bij Belgische bedrijven begon met social engineering. Dat is de parapluterm voor aanvallen die mensen manipuleren in plaats van systemen kraken. Phishing-mails, valse sms'jes (smishing), telefonische oplichting (vishing), en CEO-fraude vallen er allemaal onder.

Volgens ENISA was phishing verantwoordelijk voor 60% van alle initiële inbraken in 2024-2025. En meer dan 80% van die phishing-mails werd met AI gegenereerd. Ze worden beter, gerichter, en moeilijker te herkennen.

Een medewerker die op een verkeerde link klikt, is vaak genoeg. Geen spectaculaire hack. Gewoon een moment van onoplettendheid.

Ransomware

109 ransomware-incidenten bij het CCB in 2024. De werkelijke cijfers liggen hoger. Bij ransomware versleutelen aanvallers je bestanden en eisen losgeld. Vaak dreigen ze ook met het publiceren van gestolen data.

De impact is concreet: dagen tot weken stilstand, dataverlies, reputatieschade, en kosten die snel in de tienduizenden euro's lopen. Voor een KMO zonder goede backups kan het het einde van het bedrijf betekenen.

Menselijke fouten

25% van de incidenten ontstaat niet door een aanval, maar door een fout. Een medewerker die per ongeluk data deelt, een verkeerde configuratie, een wachtwoord dat op een post-it staat. Geen kwade opzet, maar het resultaat is hetzelfde.

Vijf maatregelen die het verschil maken

Je hoeft geen security-expert te zijn. Deze vijf maatregelen stoppen het gros van de aanvallen. Het CCB schat dat het CyFun Basic-niveau 82% van de bekende aanvalstypes afdekt. De meeste van deze stappen kosten weinig tot niets.

1. Schakel MFA in op alle accounts

Multifactorauthenticatie (MFA) voegt een extra verificatiestap toe naast je wachtwoord. Een code via een app, een vingerafdruk, of een hardware-sleutel.

De FOD Economie meet dat minder dan 50% van de KMO's met minder dan 50 werknemers MFA gebruikt. Dat is verontrustend. Een gestolen wachtwoord zonder MFA geeft directe toegang tot je systemen. Met MFA is dat wachtwoord waardeloos zonder de tweede factor.

Begin met admin-accounts en e-mail. Breid daarna uit naar alle medewerkers. De meeste cloudplatforms (Microsoft 365, Google Workspace) bieden MFA gratis aan.

2. Houd software up-to-date

21,3% van de inbraken in het ENISA Threat Landscape 2025-rapport maakte misbruik van bekende kwetsbaarheden in software. Vaak binnen dagen na de publicatie van een patch. De fix bestond al. Het bedrijf had hem alleen nog niet geïnstalleerd.

Stel automatische updates in voor besturingssystemen, browsers en zakelijke software. Maak afspraken met je IT-partner over patchtijden voor servers en netwerkapparatuur. Een kwetsbaarheid die een week openstaat, is een week lang een open deur.

3. Maak backups volgens de 3-2-1 regel

Drie kopieën van je data, op twee verschillende media, waarvan een offline of offsite. Dat is de 3-2-1 regel. Klinkt technischer dan het is.

De offline kopie is wat telt bij ransomware. Aanvallers versleutelen alles wat ze kunnen bereiken via het netwerk. Een backup die altijd verbonden is, wordt mee versleuteld. Een losgekoppelde externe schijf of een immutable cloudbackup niet.

Test je backups. Regelmatig. Een backup die je niet kunt terugzetten is geen backup.

4. Train je medewerkers

Slechts 14% van de Belgische KMO's verplicht security-awareness training. Dat terwijl 75% van de incidenten begint bij een mens die ergens op klikt, iets opent, of iets deelt.

Training hoeft niet duur of tijdrovend te zijn. Een kwartiertje per maand over actuele dreigingen. Voorbeelden van recente phishing-mails. Afspraken over hoe je verdachte berichten meldt. De bewustmaking bij Belgische bedrijven steeg van 34% in 2022 naar 45% in 2024, maar er is nog een lange weg te gaan.

Maak het concreet. "Klik niet op verdachte links" is vaag. "Controleer altijd het afzenderadres en hover over links voor je klikt" is bruikbaar. Onze Phishing Quiz is een goed startpunt om te testen hoe scherp je team is.

5. Stel een basisincidentplan op

Wat doe je als het toch misgaat? De meeste KMO's hebben daar geen antwoord op tot het zover is. Dan is het te laat om rustig na te denken.

Een basisincidentplan hoeft geen dik document te zijn. Een A4 met:

• Wie bel je eerst? (IT-partner, zaakvoerder, CERT.be)
• Hoe isoleer je getroffen systemen?
• Waar staan je backups en hoe herstel je ze?
• Wie communiceert naar klanten en partners?

Print het uit en hang het op. Digitale documenten zijn nutteloos als je systemen versleuteld zijn.

Beginnen zonder groot budget

54% van de Belgische bedrijven kampt met een tekort aan security-kennis en -vaardigheden. Begrijpelijk. Cybersecurity is niet je corebusiness. Maar het hoeft je ook niet te verlammen.

Het CCB biedt gratis tools aan voor geregistreerde organisaties: het CyFun self-assessment, vulnerability scans, en prioritaire dreigingsalerts via safeonweb. Het CyFun Small-niveau is specifiek ontworpen voor micro-organisaties zonder eigen IT.

Voor Vlaamse KMO's subsidieert VLAIO 50% van externe cybersecurity-begeleiding via de KMO-portefeuille. Dat verlaagt de drempel aanzienlijk als je een specialist wilt inschakelen voor een nulmeting of een implementatietraject.

De volgorde doet ertoe. Begin met wat het meeste risico wegneemt voor de minste moeite:

1. MFA aanzetten op alle zakelijke accounts (vandaag nog)
2. Automatische updates inschakelen (deze week)
3. Backup-strategie controleren of opzetten (deze maand)
4. Eerste awareness-sessie met je team plannen (dit kwartaal)
5. Incidentplan opstellen en afdrukken (dit kwartaal)

Wat als het toch misgaat?

Snel handelen beperkt de schade. De eerste uren zijn bepalend.

Isoleer getroffen systemen van het netwerk. Niet uitzetten, wel loskoppelen. Bel je IT-partner. Meld het incident bij CERT.be voor technische hulp.

Val je onder de NIS2-wet? Dan heb je een wettelijke meldplicht bij het CCB: binnen 24 uur een vroegtijdige melding, binnen 72 uur een incidentmelding. Melden kan via notif.safeonweb.be.

Bij een datalek met persoonsgegevens moet je daarnaast melden bij de GBA. Bij cybercriminaliteit kun je aangifte doen bij de lokale politie of de FCCU.

Meer over incidentafhandeling lees je in onze gids Gehackt: wat nu?

Dit artikel is informatief bedoeld en vormt geen security-advies. Raadpleeg voor je specifieke situatie een cybersecurity-specialist of het CCB.