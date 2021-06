Ook kleine en middelgrote organisaties zijn zeer interessant voor hackers, zo blijkt tijdens een onlangs gehouden webinar over de financiële risico’s van cybercrime, georganiseerd door accountants- en adviesorganisatie Crowe Foederer en dochterbedrijf ACA IT-Solutions. Het is dan ook niet de vraag is of een organisatie wordt geraakt, maar eerder wanneer. Finance managers en bestuurders kunnen zich dan maar beter wapenen en maatregelen nemen.

“De ontwikkelingen in technologie en het verzamelen van data gaan snel”, stelt Johan Daams, ceo van Crowe Foederer. “We merken bij meerdere organisaties dat het verwerken van data naar informatie een duidelijke toegevoegde waarde heeft. Dit brengt ook risico’s met zich mee en die moet je als organisatie in een security assessment in kaart brengen.”

De muren opgetrokken

Daams constateert ook dat grootbedrijven de muren behoorlijk hebben opgetrokken. “Daarom richten cybercriminelen hun pijlen steeds meer op het mkb. En daar zien we schrijnende gevallen van cybercriminelen die systemen gijzelen en de getroffen ondernemers radeloos achterlaten. Ethiek staat niet in het woordenboek van zo’n crimineel. Het is dan ook zaak je goed te wapenen en maatregelen te treffen.”

Geert Rademakers: “Het gaat lang niet over alleen technische kwetsbaarheden. Ze gebruiken ook persoonlijke informatie van bijvoorbeeld medewerkers of leveranciers in de keten om een organisatie in te komen.”

Directeur Geert Rademakers en cybersecurityspecialist Michael Waterman van ACA IT-Solutions gaan daar verder op in. Rademakers: “Vroeger was beveiliging puur en alleen een taak van de ICT-afdeling, maar die tijd is voorbij. Je kunt niet alleen vanuit technische maatregelen werken, maar je moet ook beleid, processen en mensen op de juiste plaats hebben. De tijd dat we alles met techniek konden tegenhouden is voorbij. Dus moet je redeneren vanuit de continuïteit van het bedrijf en je de vraag stellen hoe bedrijfsprocessen lopen en hoe, op basis daarvan, eventuele zwakke schakels sterker gemaakt kunnen worden.”

Mkb interessant voor hackers

Is het mkb wel interessant voor hackers? “Jazeker, en veel interessanter dan velen denken”, beantwoordt Waterman de vraag. Hij neemt daarbij eerst een duik in de geschiedenisboeken. “In 1989 zagen we de eerste vorm van een soort digitale criminaliteit. Diskettes werden naar bedrijven gestuurd en daar stond malware op die de pc versleutelde. Door 189 dollar te betalen kon je je pc weer terugkrijgen. Dat werkte via een postorderbedrijf. In 2006 was de individuele pc krachtig genoeg voor het gebruik van cryptoware, het snel achter elkaar versleutelen van bestanden. Ook daar werden nog steeds individuen de dupe van, omdat ze een illegale download hadden gedaan of op een website kwamen die was geïnfecteerd. Dat was nog niet zo geavanceerd en cybercrime stond toen nog in de kinderschoenen. In de afgelopen drie jaar hebben we het aantal gevallen van ransomware explosief zien toenemen. Doordat grote bedrijven zich al langer wapenen, is er een duidelijke verschuiving zichtbaar naar het mkb.”

Geautomatiseerde aanvallen

Daarbij worden aanvallen vaak geautomatiseerd uitgevoerd, constateert Waterman. “Je kunt op het darkweb, het verborgen gedeelte van internet, een framework kopen voor een aanval voor slechts tweeduizend euro. Daarmee kun je bedrijven geautomatiseerd raken. Dat framework pakt gewoonweg iedereen met een kwetsbaarheid, ongeacht wie je bent of wat je doet. Het is een soort sleepnet.”

Hackers plaatsten een boodschap dat ze onze IT-omgeving hadden versleuteld. Dan stort je wereld in

Pieter Dirven, directeur/eigenaar van De Smaakspecialist kan daarover meepraten. Zijn bedrijf ontwikkelt, produceert en distribueert duurzame levensmiddelen en heeft een goed beveiligde IT-omgeving. En dan gebeurt het: alle data in één klap weg! Dirven: “Ik ben het afgelopen jaar gehackt en onlangs hadden we er ook last van dat een logistieke partner van ons was geraakt. De hack bij ons bedrijf begon ermee dat we niet in de servers konden. Een half uur later was duidelijk wat er gebeurd was: hackers plaatsten een boodschap dat ze onze IT-omgeving hadden versleuteld. Dan stort je wereld in.”

Tot op de dag van vandaag last van verdwenen data

Dirven belde de politie en ging op zoek naar iemand die kon helpen. “We verkeerden in de veronderstelling dat we het zelf konden oplossen met back-ups. Maar alle zes back-ups van ons waren ook besmet. Ze hadden zes sleutels in onze systemen gezet en keken al een week of drie mee. Ze vroegen zes keer zestigduizend euro. Toen bleek ook dat er een betrouwbaarheidsindex van die criminelen is. Als ze je data weer teruggeven, zijn het betrouwbare criminelen. Van deze criminelen was de leveringsbetrouwbaarheid naar het scheen goed. Mijn insteek was eerst om niet te betalen. We bouwden nieuwe servers op en kwamen weer live, maar we misten zoveel dat we uiteindelijk toch maar moesten betalen. Dat moest dan wel in de cryptomunt Monero. Daar had ik nog nooit van gehoord en het kostte drieduizend euro extra om die munt überhaupt te kunnen overmaken. Tot op de dag van vandaag hebben we er last van dat data is verdwenen. Onlangs, toen een logistieke partner van ons werd gehackt, konden we tien dagen niets doen. Dat betekent dus ook geen omzet. Je bent dus letterlijk aan de goden overgeleverd.”

Verzekeren tegen een hack “Kan ik me verzekeren tegen een hack?”, vroeg één van de deelnemers zich af. Rademakers: “Ja, absoluut. Maar verzekeringsmaatschappijen trekken zich steeds meer terug uit deze markt omdat het hen te veel geld kost. Als organisaties worden geraakt, worden ze namelijk meteen hard geraakt. Ik raad aan om, als u een verzekering neemt, goed te kijken wat de minimale eisen aan uw eigen beveiliging zijn. Welke maatregelen op de gebieden mens, proces en techniek moet u van de verzekeraar nemen? Daarnaast blijf erbij: verzekeren is goed, voorkomen is beter. Via de verzekering krijgt u wellicht de directe kosten terug, maar dekt lang niet alles. De bedrijfscontinuïteit is veel belangrijker dan dat.”

Crawlers zoeken naar kwetsbaarheden

Rademakers constateert dat deze case laat zien hoe impactvol een hack kan zijn. “Dit kan echt iedereen gebeuren. Crawlers en webbots zoeken continu naar kwetsbaarheden in systemen en benutten die. En het gaat lang niet over alleen technische kwetsbaarheden. Ze gebruiken ook persoonlijke informatie van bijvoorbeeld medewerkers of leveranciers in de keten om een organisatie in te komen.” Waterman heeft cijfers: “In het afgelopen jaar is één op de vijf mkb-bedrijven geraakt door een hack. Let wel, dat zijn alleen de ondernemers die aangifte doen. Wij denken dat het zelfs twee op de drie is. Als je verder rekent kom je op een geschatte geleden schade van tussen de 240 en 884 miljoen euro per jaar.”

“Overigens, als je losgeld betaalt wil dat niet zeggen dat hackers je data vrijgeven. Slechts acht procent geeft data weer terug. 29 procent geeft maar de helft terug.” Rademakers: “De pakkans voor hackers is bijzonder klein omdat ze enorm lastig te traceren zijn of vanuit het buitenland opereren. De opbrengst daarentegen is gigantisch groot.”

Manieren van hacken

Waterman onderscheidt drie manieren van hacken. “Eén is gijzeling van je data waardoor je als bedrijf niet verder kunt. Twee is afpersing, waarbij data over medewerkers en klanten online te zetten en de ondernemer publiekelijk wordt tentoongesteld. Drie gaat over data en procesmanipulatie. Criminelen breken in op de systemen en plaatsen zich in het proces en veranderen bijvoorbeeld rekeningnummers, waardoor betalingen ongezien bij hen terecht komen.”

Rademakers komt aansluitend met aandachtspunten. “Bedrijven zitten in een digitale transformatie en daardoor wordt veel IT uitbesteed zonder te kijken wat de IT-partner doet op het gebied van cybersecurity. Neem niet zomaar aan dat het wel goed geregeld zal zijn. Durf te vragen hoe het zit. Daarnaast zijn veel medewerkers in verband met Covid-19 veel meer thuis gaan werken en zijn er noodgrepen toegepast om dat mogelijk te maken. Kijk die situatie na. Zijn de devices en de verbindingen waarmee ze werken wel geschikt om buiten de deur te werken?”

Doorlichten van de organisatie

Michael Waterman: “Met Multi-Factor Authenticatie neemt de kans om slachtoffer te worden met vijfennegentig procent af.”

Waterman hamert op het doorlichten van de organisatie op kwetsbaarheden. “Een kwetsbaarheid gaat niet alleen over je updates op tijd doen, maar het kan ook een gat zijn in de beveiliging van je IT-infrastructuur. Begin daarom bij het begin. Inventariseer waar je kwetsbaarheden zitten en heb oog voor wat jouw belangrijkste data, oftewel je kroonjuwelen, zijn.” In het mkb vertrouwen we elkaar en onze medewerkers. Dat is goed, maar dat zou eigenlijk niet moeten voor de devices die ze meebrengen. Grote corporates weten dat en schermen de devices dan ook af van elkaar. Een medewerker kan malware meenemen omdat hij of zij thuis een verkeerde link aan heeft geklikt.

Sterkere schakels

Zeventig procent van de incidenten in cybersecurity begint bij een medewerker. Rademakers: “Als bestuurder van een organisatie moet je dus zelf bewustwording krijgen van de dreiging, maar dat wil je voor je medewerkers ook. De mens is vaak de zwakste schakel, maar getrainde medewerkers zien veel sneller of iets malware of phishing is. Trainen is dus de manier om sterkere schakels te maken.”

Waterman raadt ook het gebruik van Multi-Factor Authenticatie (MFA) aan. Dat is een authenticatiemethode waarbij de online gebruiker twee stappen succesvol moet doorlopen om ergens toegang tot te krijgen. “Daarmee neemt de kans om slachtoffer te worden met vijfennegentig procent af. Gebruik dus MFA in combinatie met een modern wachtwoordbeleid. Waar moet een goed wachtwoord aan voldoen en wanneer moet je deze verplicht wijzigen?”

Cybersecurity is alsof je op reis gaat

“Je onderneming beveiligen is geen taak die je eenmalig afvinkt. Begin met een nulmeting en laat vervolgens periodiek checken waar de kwetsbaarheden zitten”, raadt Rademakers aan. “Doe dat niet eenmalig, maar doe dat terugkerend. De onderneming en dus ook de IT-omgeving zijn namelijk continu in beweging.” Waterman: “Cybersecurity is alsof we op reis gaan.” In die reis is het neerzetten van de verantwoordelijkheid voor cybersecurity welhaast een must. “Het liefst hebben we dat dit op directieniveau een verantwoordelijkheid is.” Rademakers ziet daarbij ook een scheiding van rollen voor zich. “Laat de IT-manager goed zijn werk doen, maar challenge hem of haar ook. En stel een incident response plan op waarin staat wie wat doet op moment dat je wordt gehackt.”

Tot slot roept Waterman op de ontwikkelingen te blijven volgen. “Laat u informeren. Houd de vernieuwingen bij. Want ook cybercriminelen vernieuwen continu hun werkwijzen.”