Het bedrijfsleven maakt zich grote zorgen om cybercriminaliteit. Terecht, volgens ABN Amro’s Leonie Kemper. De digitale fraude-specialist van de bank erkent de talloze mogelijkheden die de digitale ontwikkelingen met zich meebrengen en sluit haar ogen niet voor de gevaren. Er vindt namelijk een verschuiving plaats hoe bedrijven ten prooi vallen aan criminelen. ‘Vroeger waren we bang dat iemand in onze brievenbus hengelde, maar nu moeten we bang zijn dat iemand in onze digitale brievenbus hengelt.’
Leonie Kemper (1980) werkt sinds 2008 bij ABN AMRO en sinds eind 2012 heeft zij de portefeuille ‘online fraude’ in het zakelijk segment opgepakt. Sindsdien is Kemper actief in communicatie en technische maatregelen om klanten te beschermen tegen cybercrime. Op dagelijkse basis ziet zij het cybergeboefte steeds slimmer maar vooral inventiever worden.
Cloud, big data, open infrastructuren: ze zijn inmiddels alledaagse termen voor veel bedrijven. Zorgen ze ook voor grotere risico’s?
‘We kunnen niet meer zonder Internet of Things. We doen alles online en dat betekent dat voor fraudeurs een nieuwe wereld echt ontdekt is waar veel geld te verdienen valt. Je ziet dat fraude altijd snel volgt met nieuwe ontwikkelingen. Uiteindelijk brengen die naast heel veel mogelijkheden ook heel veel risico’s met zich mee. Dat geldt dus ook voor alles wat we over het internet doen. Vroeger waren we bang dat iemand in onze brievenbus hengelde, maar nu moeten we bang zijn dat iemand in onze digitale brievenbus hengelt. Dat verschuift gewoon. Er valt meer geld in te verdienen dan in de fysieke wereld. Cybercrime brengt inmiddels wereldwijd meer schade toe dan fysieke berovingen of diefstal.’
Criminaliteit verplaatst zich in rap tempo van de fysieke wereld naar het internet. Vergroot de snelheid waarmee het gebeurt het gevaar?
‘Dat denk ik wel. We zijn natuurlijk in een wereld waarin de techniek heel snel verandert. De ontwikkelingen die op de markt komen, gaan veel sneller. Dat betekent dus dat wij sneller worden, maar de criminelen net zo goed. Criminelen passen hun modus operandi onwijs snel aan. Op het moment dat wij iets nieuws neerzetten, vinden criminelen nieuwe manieren om klanten te misleiden. Dat hoeft niet eens altijd digitaal te zijn. Als wij kijken naar de fraudevormen die voor zakelijke klanten heel gevaarlijk zijn, gaat het vooral om social engineering. CEO-fraude is nu een van de grootste dreigingen en dat heeft eigenlijk niets te maken met bijvoorbeeld de overname van iemands e-mailaccount. Dit gaat puur over psychologische druk en het echt misleiden van mensen op een psychologisch niveau. Het hoeft niet zo te zijn dat criminelen alleen maar de digitale weg kiezen. Als ze zien dat er meer geld valt te verdienen door mensen te misleiden op een andere manier, dan zullen ze daar niet voor wijken.’
Over welke bedragen praten we eigenlijk als het over digitale fraude gaat?
‘Met de Nederlandse Vereniging van Banken hebben we afgesproken hierover geen uitspraken te doen. Wat ik wel kan zeggen dat het gemaximeerd is tot wat je op je rekening hebt staan. Je kunt je voorstellen dat dat bij bedrijven vele malen groter is. Bij CEO-fraude worden bedrijven een-op-een getarget. Ze worden maandenlang in de gaten gehouden door fraudeurs, die allerlei informatie verzamelen, zoals over medewerkers, omzetten en bevoegdheden. Dan kun je je voorstellen dat het snel om schades gaat die zelfs tot een miljoen kunnen oplopen. De fraudeurs hebben zich zo goed ingelezen dat ze precies weten om welke bedragen het gaat.’
CEO-fraude geeft aan hoe creatief cyberboeven zijn.
‘Ze zijn enorm creatief. Er komen binnenkort weer nieuwe vormen op de markt, die wij nu nog helemaal niet kunnen voorzien. Zo slim zijn ze. Het oude hacken of phishingmails sturen, is eigenlijk de oude manier. Dat is ook helemaal niet zo moeilijk. Je zoekt iemand die goed kan programmeren en met een paar slimme koppen bij elkaar kun je best een eind komen bij een target die niet zo goed beveiligd is. Als jij met psychologische druk iemand kunt overtuigen, dan ben je echt slim. Daar moet je heel goede sociale technieken voor hebben. Dat is een heel ander kaliber dan een programmaatje schrijven. Dat is de ‘makkelijke’ methode.’
Zijn bedrijven wel creatief genoeg om zich blijvend te beschermen?
‘Ik denk het wel. We zien vooral dat klanten zich niet goed beschermen omdat ze niet goed weten wat ze moeten doen. Vormen als CEO-fraude zijn te onbekend om actie tegen te ondernemen. Maatregelen zijn eenvoudig, maar bestuurders en CEO’s kijken vooral IT-collega’s aan om de bescherming van digitale fraude. Dat klinkt eigenlijk logisch, maar dat is het niet. Je kunt in je bedrijf qua IT alles dichttimmeren, en alle sluizen dichtzetten, maar uiteindelijk is de mens de zwakste schakel. Op het moment dat je alles goed hebt geregeld en iemand geeft toch zijn codes via de telefoon weg, dan kun je technisch zo goed mogelijk beveiligd zijn, maar dan is het nog steeds zo zwak als de zwakste schakel.’
Wie zijn de zwakste schakels?
‘De medewerkers. Als wij advies geven, zijn dat heel eenvoudige dingen. Zorg dat er een cultuur is binnen bedrijf waarin je twijfel kunt uiten. Dat is een valkuil, dat mensen eigenlijk te bang zijn om dingen te melden en denken: laat maar. Dat zijn de gevaarlijkste dingen. Als we kijken naar wereldwijde incidenten, heeft 50 procent te maken met fouten van medewerkers. Bewust en onbewust. Zorg dan voor functiescheiding. Zorg voor meerdere personen die betaling moeten vervullen. Daarmee zorg je dat mensen minder fouten kunnen maken en ga je interne en externe fraude tegen. Heel simpel: twee personen zien altijd meer dan een. Het is voor de fraudeur veel moeilijker om twee personen over te halen. Bij elkaar opgeteld zijn de maatregelen drempels die ervoor zorgen dat de dijk hoger en sterker wordt.’
Hiermee heeft het ook direct betrekking op het bestuur. Maar is het niet schokkend hoe weinig aandacht de bestuurskamer heeft voor cybercrime?
’75 procent van onze zakelijke klanten geeft aan dat het onderwerp cybercrime uiteindelijk niet op de managementagenda staat. Ik kan daar niet bij met mijn hoofd. Vooral als je ziet dat CEO’s en CFO’s wel degelijk weten wat de risico’s zijn en het alsnog niet op de agenda plaatsen. Als je het mij vraagt, zijn digitale risico’s, cybercrime en de preventie ervan gewoon een normaal operationeel risico van een bedreiging. Net zo goed als je je bedrijf beschermt tegen brand. Je hangt rookmelders op. Dat zijn operationele risico’s waarmee iedereen zou moeten dealen. Risico’s waarvan iedereen denkt dat het logisch is dat we er iets mee doen. Ik snap dan niet zo goed waarom dit niet goed op de agenda staat. Er zijn heel veel fraudevormen die ze niet kennen en de stap naar actie is dan heel lastig. Je kunt wel weten dat het een risico is waartegen je je moet wapenen, maar als je niet weet wat voor acties je zou moeten ondernemen, is dat lastig om op de MT-agenda te zetten. Iedereen kijkt elkaar vervolgens aan: wat moeten we ermee? Het is ook vaak een onderwerp wat mensen moeilijk vinden. Als je er te weinig verstand van hebt.’
