Met ingehuurde hackers je eigen systemen te lijf gaan: het wordt tegenwoordig veel gedaan als onderdeel van een risicoscan tegen cyberaanvallen en factuurfraude. Zowel zware maatregelen als eenvoudige tips: alles wordt uit de kast getrokken om online veilig te zijn en dat is nodig, want de schade door cyberrisico’s neemt toe.

Een accountmanager is op de terugweg van een klant en stopt in een café voor een kopje koffie. Hij klapt zijn laptop open, vraagt naar het wifi-wachtwoord van het café en logt in. Even nog een paar mailtjes wegwerken. Plots schiet hem iets te binnen: even kijken in het bedrijfssysteem hoe het met een bepaalde order van een andere klant gaat. Stop! Daar gaat het eigenlijk al helemaal mis, als het aan de site Alertonline.nl ligt.

Alert Online

Alert Online is een campagne van de overheid, het bedrijfsleven en de wetenschap. ‘Gebruik niet zomaar openbare wifi’ is een van de vele tips op de site. Hoe handig ook, openbare wifi is niet veilig. Zelfs al is het beveiligd door een wachtwoord. Wanneer je inlogt op een wifi-netwerk kan een crimineel toegang krijgen tot je apparaat en achter belangrijke gegevens komen. Het is veiliger om gebruik te maken van je databundel en een 3G- of 4G-verbinding, ook al kost dat geld. Een andere oplossing is het gebruiken van een VPN-verbinding, een virtual private network. Het internetverkeer wordt over een VPN-verbinding versleuteld verstuurd. Hierdoor kan een cybercrimineel niet zomaar bij de informatie die je zendt of ontvangt. Veel smartphones hebben tegenwoordig ingebouwde VPN-software die je kunt activeren. Er zijn ook VPN-apps te downloaden voor verschillende besturingssystemen, het loont om je erin te verdiepen, zeker voor zakelijk verkeer.

Factuurfraude: betaald… maar niet aan jou

Een ander voorbeeld, uit een whitepaper over cybersecurity van een grote ICT-dienstverlener. Op de crediteurenafdeling van een groot bedrijf doen ze wekelijks de betalingen via de interface van SAP- software. Ze sturen SEPA-bestanden naar de bank. Met een SEPA-incasso kan je een bedrag van klanten innen via hun betaalrekening. Je int het bedrag op het tijdstip dat je met de klant hebt afgesproken. Het initiatief voor de betaling ligt bij jou.

Op een dag is er iets raars aan de hand op de crediteurenafdeling: de interface verstuurt het bestand niet. Jan, een van de crediteurenmedewerkers, belt de IT-helpdesk. Daar opent IT’er Bert het bestand, maar ziet niets vreemds. Bert wist het bestand en vraagt aan Jan om het SEPA-bestand opnieuw te genereren. Opnieuw blijft het hangen. Bert kijkt er nog eens wat langer naar. Na een tijdje vindt hij één kleine betaling van 5 euro die niet in het SEPA-bestand hoort omdat die er eerder nooit inzat. Jan spreekt met IT’er Bert af dat hij die betaling verwijdert en het totaal met 5 euro vermindert. Jan vertrouwt Bert, ze werken allebei al jaren bij het bedrijf. Bert past het bestand aan en nu wordt het wel probleemloos verzonden. Bij de automatische integriteitcontrole van de bank ziet Jan wel een rood lampje knipperen. Maar dat klopt, want Bert heeft het bestand veranderd. Dus autoriseert Jan de betaling.

Niemand had de hacker door

Er lijkt niks aan de hand, totdat blijkt dat de betaling van de klant nooit is binnengekomen. Terwijl die klant wel ziet dat het bedrag is afgeschreven. Wat blijkt? Het is niet naar het bedrijf gegaan, maar naar een crimineel. Bert, Jan en hun werkgever zijn namelijk gehackt. De hacker wist dat ze altijd de SAP-interface gebruiken om betalingen te verzenden en dat Bert de rechten had om het SEPA-bestand en de interface aan te passen. De hacker heeft een fout veroorzaakt in die interface en toen Bert eraan is gaan sleutelen, heeft de hacker zelf met malware in een fractie van een seconde het SEPA-bestand aangepast. Die malware werkte onder de rechten van Bert, waardoor niemand door had dat het bedrijf gehackt werd. Dit voorbeeld duidt maar weer eens aan hoe belangrijk het is om overzicht te houden over welke gebruiker welke rechten heeft bij de inrichting van IT-architectuur. Een systeem als SAP kan de oorzaak zijn van een kwetsbare plek; sommige opties blijven ongebruikt openstaan of worden onveilig gekoppeld aan andere functionaliteit. Dat maakt een SAP-omgeving tot een walhalla voor hackers. Toch is het niet het systeem dat onveilig is. De risico’s ontstaan door constructies die het bedrijf zelf maakt en waar medewerkers zich niet altijd bewust van zijn.

Ransomware onbekende term in factuurfraude

Uit het recente onderzoek ‘Cybersecurity awareness en skills in Nederland (2016)’ van Alert Online blijkt dat Nederlanders weinig weten over onlinegevaren en hoe zij zich daartegen kunnen beschermen. Meer dan de helft (53 procent) van de Nederlanders heeft bijvoorbeeld nog nooit van ransomware gehoord, terwijl 15 procent van de ondervraagden zelf slachtoffer is geworden van gijzelsoftware of iemand kent die ermee te kampen heeft gehad. Hoewel de helft van de Nederlanders dit soort onlinerisico’s kent, gedraagt lang niet iedereen zich daarnaar. Zo verzuimen veel mensen automatische updates aan te zetten (52 procent) of regelmatig back-ups te maken (eveneens 52 procent), terwijl deze maatregelen cruciaal zijn om je bijvoorbeeld tegen ransomware te beschermen en schade bij besmetting te beperken.

Miljarden euro’s schade factuurfraude

Cybercriminaliteit kost Nederlandse organisaties 10 miljard euro per jaar, concludeerde Deloitte een paar maanden geleden en dat is een belangrijk getal, aldus Leendert Jan Visser, directeur van MKB-Nederland. Hij waarschuwt dat dit cijfer alleen maar toe zal nemen en dat de cybercriminaliteit allerlei vormen aanneemt: van ransomware tot phishingmails en vele andere hacks. “Veel ondernemers zijn zich hier niet van bewust. Ze denken: Ben ik nou interessant voor een hacker? Ik opereer alleen op regionaal niveau, of ik ben een kleine speler in de markt. Cybercriminaliteit heeft helaas niets met de grootte van het bedrijf te maken. Iedereen met klantbestanden en bankgegevens is een gewilde prooi.”

Phishingmails steeds verfijnder

Ook Patricia Zorko, directeur van het Nationaal Cyber Security Centrum (NCSC) en plaatsvervangend Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV), schetst een zorgelijk beeld van de veiligheidssituatie in de digitale wereld. Voorheen waren de digitale aanvallen en bijbehorende campagnes van criminelen vaak van korte duur en gericht op snel geld verdienen door veel partijen te benadelen. Nu is hun werkwijze veel geavanceerder. “Criminelen hebben wereldwijd het afgelopen jaar een aantal complexe aanvallen uitgevoerd, denk bijvoorbeeld aan het Carbanak-virus, de grootste bankroof ooit, gedaan met een paar muisklikken.”

Hoog niveau van kennis en kunde factuurfraude

Cybercriminelen beschikken volgens haar over een hoog niveau van kennis en kunde. Ze zijn goed georganiseerd en investeren veel geld in hun aanvallen. Daarnaast wordt spearphishing steeds verfijnder: doelgerichte e-mails om geld af te troggelen. De trucs die ze gebruiken om mensen in de val te laten lopen zien er geloofwaardig uit en zijn geraffineerd, aldus Zorko. Voorheen zagen we regelmatig mails met veel taalfouten en logo’s met totaal onwaarschijnlijke verzoeken van gefingeerde prinsen. Dat niveau zijn we al lang voorbij en mensen kunnen dus makkelijk in zo’n mail trappen.

Miljoeneninvestering van het kabinet

Hoog tijd dus om onze digitale weerbaarheid te verhogen. Het kabinet trekt daar in ieder geval extra de portemonnee voor, bleek afgelopen Prinsjesdag. Zorko is naar eigen zeggen zeker blij met deze investering van de regering. Omdat misdaad steeds meer verschuift van offline naar online is volgend jaar 5 miljoen euro beschikbaar voor cybersecurity en de aanpak van cybercriminaliteit, en vanaf 2018 structureel 14 miljoen euro. De directeur van het NCSC legt uit dat daarmee onder meer de capaciteit van het Nationaal Detectie Netwerk wordt uitgebreid om aanvallen op publieke en private partijen beter te detecteren. Ook worden gegevens uitgewisseld met private partijen. Bij de bestrijding van dit soort misdaad wordt namelijk nadrukkelijk de samenwerking met het bedrijfsleven gezocht. Ook wordt geïnvesteerd in het Team High Tech Crime van de politie. Het aantal onderzoeken naar cybercrime wordt waarschijnlijk vergroot van 156 nu tot 360 in 2018, waaronder 50 complexe zaken.

Cybersecure gedrag promoten

Naast de overheid moeten ondernemers en consumenten ook zelf aan de slag. De Alert Online-campagne in de eerste twee weken van oktober had als thema het vergroten van cyberskills en de vele tips die daar werden verspreid gelden voor iedereen: update je software, kies een sterk wachtwoord, gebruik VPN, klik niet op gekke links en ga zo maar door. De campagne, waarvan de site in de lucht blijft, werd gecoördineerd door ECP, Platform for the information society, dat publiek-private samenwerking om deze veiligheid te verbeteren stimuleert.

Bijdrage platform

Het platform heeft ook bijgedragen aan de ontwikkeling en beheer van de portal veiliginternetten.nl en is onder meer samenwerkingspartner voor het ministerie van Veiligheid en Justitie. Hun aanpak werkt: circa driekwart van mensen die informatie hebben gevonden, gelezen, gezien of gehoord over veilig internetten, onderneemt daarop ook concrete actie. Deze uitkomst pleit voor grotere zichtbaarheid en herkenbaarheid van instrumenten als de website over veilig internetten. Directeur Marjolijn Bonthuis: “Cybersecurity is van groot belang voor het goed functioneren van economie en maatschappij. De mens blijft hierin een van de meest kritieke factoren.” Volgens haar is het creëren van bewustwording en het bijbrengen van noodzakelijke kennis is de basis. Maar ze waarschuwt ook dat dit niet automatisch leidt tot daadwerkelijk cybersecure gedrag.

Investering gedragsverandering

Investeren in onze gedragsverandering rond cybersecurity draait volgens Bonthuis om het geven van het goede voorbeeld: het vragen en bieden van hulp, laten zien waar je skills opdoet of waar je ze vandaan haalt. En het draait om het aandragen van concrete tools, het centraal stellen van opleiden en doorlopende educatie. Bonthuis ziet bijvoorbeeld dat als de cyberveiligheid in de werkomgeving goed geregeld is, werknemers deze kennis en het bijbehorend gedrag ook mee naar huis nemen.

Hackers inhuren tegen factuurfraude

MKB-Nederland doet alvast een duit in het zakje en helpt bedrijven helpen met praktische tools en risicoscans. Dat begon al in de Alert Online week. “We huren ethische hackers in”, vertelt directeur Visser, “beter gezegd: cybersecurity experts, gespecialiseerd in het mkb, die de digitale omgeving van een bedrijf zoals de website en het bedrijfsnetwerk scannen. Ze brengen daarmee risico’s in kaart én gevel als follow-up tips over hoe die je die risico’s kunt aanpakken.” Daarnaast biedt MKB-Nederland een academy aan op de veilig internetten-website met allerlei praktische tools speciaal gericht op kleine en middelgrote bedrijven.

De vereniging gelooft in een combinatie van eenvoudige tips en zware maatregelen om ondernemers zich beter te laten wapenen tegen cyberaanvallen. Enorme investeringen zijn daarbij niet altijd nodig, zegt Visser. Je bedrijf kan al een stuk veiliger worden als medewerkers op de hoogte zijn van risico’s en hoe ze moeten handelen. Wachtwoorden wisselen en moeilijker maken, voorzichtig omgaan met downloads en ga zo maar door. MKB-Nederland bekijkt cybercrime heel nuchter. Je doet je loods, bedrijfsgebouw of winkel toch ook op slot? Dan dus ook je digitale omgeving. Koppel je interne systemen bijvoorbeeld nooit aan een openbaar wifi-netwerk.

Digitale domein is uniek

Het gaat bij cyberskills om een samenspel, aldus ECP. Grote ondernemingen, midden- en kleine bedrijven, zzp’ers en consumenten: iedereen heeft zowel een eigen als een gedeelde verantwoordelijkheid ten aanzien van digitale veiligheid en moet ook kunnen beschikken over voldoende cybersecurity-kennis. Grote bedrijven kunnen kleine bedrijven helpen: je eigen kennis delen in de keten is daar een belangrijk onderdeel van. Bedrijven kunnen daarnaast medewerkers en klanten inzicht geven in en aansporen tot digitaal verantwoord ondernemen en handelen.

Consumenten kunnen zich tenslotte de vraag stellen wat zij zelf doen aan digitaal verantwoord handelen. Hoe neem je diensten af? “Het vergroten van de digitale veiligheid behoudt het vertrouwen in ICT en daarmee de groei en innovatie binnen de informatiesamenleving”, benadrukt ECP-directeur Bonthuis. Zorko valt haar bij. Ze legt uit dat het grootste deel van de digitale infrastructuur in private handen is en dat maakt het digitale domein uniek. Daarom heeft het geen zin om bij het aanpakken van cybercriminaliteit alleen naar de overheid of het bedrijfsleven te kijken. “In Nederland zijn we gelukkig goed in publiek-private initiatieven. Daar ben ik trots op. En dat gaat ons helpen bij het indammen van cybercriminaliteit.”