Een cybercrimineel heeft altijd voorsprong

Wat zijn de gevaren van computercriminaliteit? En wat kan een bedrijf doen om voldoende

te zijn? Eén ding is zeker, stelt Henk Bol, directeur van Bol ICT uit Groningen: het huidige internet is onveilig.

'Internet is ooit ontworpen voor wetenschappers om grote hoeveelheden data overheen te sturen. Niemand heeft er rekening mee gehouden dat er misbruik van gemaakt kon worden. Dat moet nu voortdurend gerepareerd worden.'

Het belang van cybersecurity is daarom de laatste paar jaar enorm toegenomen. Bureau Deloitte publiceerde eerder dit jaar een onderzoek waarin staat dat het waardeverlies in Nederland door cybercriminaliteit tien miljard euro per jaar bedraagt. En in recente publicaties wordt de functie van cybersecurityspecialist gezien als één van de banen met de meeste baanzekerheid in de toekomst.

Het bedrijf Insite Security uit Groningen heeft onder meer 25 hackers in dienst die op verzoek van klanten proberen dingen stuk te maken. Erik Rutkens is oprichter en eigenaar van Insite Security. 'In negentig procent van de onderzoeken die we doen weten we in te breken', legt hij uit. 'Veel applicaties en de zogenoemde internet of things-toepassingen zijn zo lek als een mandje.'

Veel software is volgens Rutkens 'hartstikke foutgevoelig'. Hij maakt een vergelijking van de internetwereld met de bouwwereld. 'Deze branche is sterk geprotocolleerd. Je moet aan veel regels voldoen. De ontwikkeling van software lijkt meer op het Wilde Westen.

Er zijn geen regels, iedereen mag software maken. En wie controleert het? Dingen stuk maken levert vaak boeiende verhalen op, maar veiligheid tastbaar maken vinden we veel belangrijker.'

De noodzaak wat aan veiligheid van bedrijssystemen te doen wotdt door bedrijven extra gevoeld sinds per 1 januari 2016 de nieuwe wet Meldplicht Datalekken van kracht is. Als onderdeel van de Wet bescherming persoonsgegevens.

In de nieuwe wet is geregeld dat bedrijven die te maken krijgen met cyberaanvallen waardoor privacygevoelige gegevens openbaar worden, een boete kunnen krijgen als ze dit niet melden of betrokkenen niet informeren.

Een boete kan ook volgen wanneer blijkt dat de gegevens niet goed beveiligd waren. Het gaat om stevige bedragen. Een boete bedraagt nu maximaal 820.000 euro, tegen vijfduizend euro onder de oude wetgeving.

Er komt nog een schepje bovenop wanneer per 25 mei 2018 organisaties moeten voldoen aan de Europese Privacy Verordening. Dan kan een straf worde opgelegd van betaling van maximaal twintig miljoen euro of maximaal vier procent van de wereldwijde jaaromzet van een bedrijf.

Directeur Henk Bol schetst hoe het interne proces meegroeit met de toenemende aandacht voor cybersecurity. 'Daar waar we in het verleden eens per jaar een check deden op systemen van bedrijven meten we inmiddels de hele dag door.' Volgens Bol hebben mensen vaak geen idee welke gevaren er zijn.

Of het nu gaat over de kwaliteit van de firewall, het updaten van hulpprogramma's als Flash en Java of de aanschaf van een nieuwe printer. 'Het is mogelijk om via een printer in te breken in een intern systeem. En regel één wat mij betreft: ga goed om met je updates. Je moet veel meer updaten dan mensen vaak denken.'

Geert Smit is manager bij websitebouwer Nordique in Groningen. Inmiddels gaat vijf á tien procent van de totale bedrijfsactiviteiten op aan het goed beveiligen van websites. 'Het is voor ons een steeds belangrijker wordend thema. Vooral ook door de onrust omtrent de Meldplicht Datalekken en de aankomende Europese wetgeving op dit vlak. Klanten zijn zich inmiddels meer bewust van het belang van beveiliging van systemen.'

Er worden standaard steeds meer veiligheidsmaatregelen getroffen. Een beveiligde verbinding werd tot voor kort als extra beschouwd, nu wordt het volgens Smit als noodzaak gezien. 'Wij nemen ook de verantwoordelijkheid voor technische updates over. Dat is een sterk groeiende activiteit. Een bedrijf dat hier geen aandacht aan schenkt heeft zomaar een potentieel lek.'

Toch is het meestal niet de techniek waar het misgaat, meent Henk Bol. 'In tachtig procent van de gevallen gaat het mis bij de mens. Bijvoorbeeld doordat phishingmail verkeerd wordt verwerkt, dat notebooks met onversleutelde gegevens worden gestolen of dat USB-sticks in verkeerde handen vallen.'

De aangescherpte wetgeving schrijft voor dat dit soo rt incidenten gemeld moeten worden. Alleen wanneer blijkt dat het materiaal voldoende encrypted is, kan een bedrijf vrijuit gaan. Bol constateert hierbij een tweetal problemen. 'Er is te weinig personeel beschikbaar dat systemen goed kan beveiligen en bovendien loopt de cybercrimineel altijd een stapje voor.'

In Farmsum is een fabriek van het Amerikaanse bedrijf Lubrizol. gevestigd. Op het Chemie Park Delfzijl wordt PVC geproduceerd. Dit jaar zijn alle medewerkers op een bewustzijnstraining geweest.

In Farmsum gaat het om 24 mensen, maar wereldwijd krijgen alle circa negenduizend medewerkers exact dezelfde training, vertelt Boelo Raske, de plantmanager. 'Die training gaat over wat sterke of zwakke wachtwoorden zijn. Hoe medewerkers om moeten gaan met phishingmail en ook hoe ze speciaal beveiligde USB-sticks kunnen gebruiken.'

Ook in de fabriek zijn maatregelen genomen. 'We moeten te allen tijde voorkomen dat onze procescondities en recepturen in verkeerde handen vallen. Deze bedrijfsprocessen worden inmiddels 24 uur per dag gemonitord. Als iemand eenmaal toegang heeft via een account dan kan snel veel schade aangericht worden en kan een domino-effect optreden.'

Ook maakt Lubrizol vaker back-ups, zowel lokaal als ergens op een externe plek, in de zogeheten cloud.

Ook bij de Gasunie zijn ze zich terdege bewust van het belang van beveiligingsmaatregelen. Marcel Kerkhof is manager ict-zekerheid. 'Het netwerk van Gasunie is een onderdeel van de vitale infrastructuur in Nederland. Onze maatregelen op het gebied van cybersecurity zijn ten eerste gericht op voorkomen van incidenten. Daarnaast kunnen we inbraken in onze systemen detecteren en zijn we in staat er op te reageren.'

Volgens Kerkhof heeeft vrijwel elk bedrijf wel eens te maken gehad met cybercriminaliteit. Bijvoorbeeld doordat er zonder toestemming een programma wordt geïnstalleerd dat een virus bevat. Dat gebeurt bij ransomware of malware.

Het is een reëel gevaar, waarschuwt Kerkhof. 'Het punt met dergelijke aanvallen is dat iemand niet keurig aanbelt voordat hij aanvalt. Cybercriminaliteit is sterk in ontwikkeling en je leest bijna dagelijks nieuwsberichten over geslaagde digitale aanvallen. En ze worden steeds vaker uitgevoerd door goedgeorganiseerde criminele hackers. Die willen wij buiten de deur houden.'

'In Nederland maakt tachtig procent van de mensen zich geen zorgen over de veiligheid van hun persoonsgegevens en dat vind ik zorgelijk', verklaart Rutkens van Insite Security.

Rutkens verwacht dat cognitieve technologie een stap is die in elk geval een technische verbetering kan brengen in de beveiliging. Met die techniek is een computer in staat op basis van het afluisteren van internetverkeer een inschatting te maken van wat gevaarlijk is.

Maar alle maatregelen ten spijt. Het besef van het belang van beveiliging kan volgens Rutkens nog een flinke stap maken.