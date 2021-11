Geert Rademakers: "Hackers hanteren nieuwe technieken en daar moet je als CFO maatregelen voor treffen."

Als CFO kunt u denken dat uw organisatie niet interessant is voor hackers, maar niets is minder waar. “Het is niet meer de vraag of u aangevallen wordt, maar wanneer”, stelt Geert Rademakers, directeur van ACA IT-Solutions, onderdeel van Crowe Foederer Accountancy & Advies. “Door scanning en automatisering van aanvallen zijn de mogelijkheden voor kwaadwillenden enorm vergroot. Hoog tijd om tegenmaatregelen te nemen.”

Op maandagochtend aangestaard worden door een schermvullend doodshoofd en de mededeling dat de bedrijfsinformatie gekaapt is. Rademakers: “Of u even een cryptovalutatransactie wilt doen om uw eigen bestanden terug te krijgen. Zelfs als u bereid bent te betalen, blijft het de vraag of de hacker over de brug komt en u de toegang tot uw bedrijfsnetwerk, applicaties en/of data volledig teruggeeft. Want in slechts acht procent van de gevallen heeft u te maken met een ‘eerlijke’ crimineel.”

Hoe erg zo’n hack kan zijn, bewijst de casus van De Smaakspecialist. Eigenaar Pieter Dirven was zo sportief om onlangs tijdens een webinar van ACA IT-Solutions en Crowe Foederer zijn verhaal te vertellen. Zijn bedrijf ontwikkelt, produceert en distribueert duurzame levensmiddelen. “Ik ben het afgelopen jaar gehackt en onlangs ondervonden we er ook hinder van dat een logistieke partner van ons was gehackt. De hack bij ons bedrijf begon ermee dat we na het weekend niet in de servers konden. Een half uur later werd duidelijk wat er gebeurd was: hackers plaatsten een boodschap dat we in een chatfunctie konden kijken wat er was gebeurd. Dan valt je wereld in duigen.”

“We bouwden nieuwe servers op en kwamen weer live, maar we misten zoveel dat we uiteindelijk toch maar moesten betalen”

Zes back-ups ook besmet

Dirven belde de politie en ging op zoek naar iemand die kon helpen. “We verkeerden in de veronderstelling dat we het zelf konden oplossen met back-ups. Maar alle zes back-ups van ons waren ook besmet. Ze hadden zes sleutels in onze systemen gezet en keken al een week of drie mee in onze systemen. Ze vroegen zes keer zestigduizend euro. Toen bleek ook dat er een betrouwbaarheidsindex van cybercriminelen bestaat. Als ze je data weer teruggeven, worden ze betiteld als betrouwbare criminelen. Van deze criminelen was de leveringsbetrouwbaarheid naar het scheen goed.”

“Mijn insteek was eerst om niet te betalen. We bouwden nieuwe servers op en kwamen weer live, maar we misten zoveel dat we uiteindelijk toch maar moesten betalen. Dat moest dan wel in de cryptomunt Monero. Daar had ik nog nooit van gehoord en het kostte alleen al drieduizend euro om die munt überhaupt te kunnen overmaken. Tot op de dag van vandaag hebben we er last van dat data zijn verdwenen. Onlangs, toen een logistieke partner van ons werd gehackt, konden we wederom tien dagen niets doen. Dat betekent dus ook nul omzet. Je bent in dergelijke situaties letterlijk aan de goden overgeleverd.”

Nieuwe technieken van hackers

Geert Rademakers: “De werkwijze van cybercriminelen verandert. Er worden nieuwe technieken gehanteerd door hackers en daar moet je als CFO – die vaak ICT in de portefeuille heeft – maatregelen voor treffen op verschillende vlakken. Ten eerste preventief om hackers buiten de deur te houden. Ten tweede met behulp van detectie om zo verdachte activiteiten of wijzigingen te kunnen traceren. Ten derde correctief om schade tot het minimum te beperken als het toch mis gaat.” Door deze aanpak wordt het overgrote deel van de aanvallen gepareerd. Een Fort Knox bouwen is een utopie. Daarom is het belangrijk om ook een ‘calamiteitenplan’ te hebben. Door vooraf de juiste maatregelen te treffen, kan schade aanzienlijk worden beperkt en daarmee de continuïteit van de organisatie worden gewaarborgd. De continuïteit, dat is the big picture die de CFO in het vizier moet hebben en houden.”

Drie manieren van hacken

Rademakers onderscheidt drie manieren van hacken. “Eén is gijzeling van je data waardoor je als bedrijf niet verder kunt. Twee is afpersing. ‘We gaan uw data over medewerkers en klanten online zetten en u wordt publiekelijk tentoongesteld.’ Drie gaat over data- en procesmanipulatie. Criminelen breken in op de systemen en plaatsen zich tussen het proces en veranderen bijvoorbeeld rekeningnummers.”

Hij komt aansluitend met aandachtspunten. “Veel CFO’s zitten in een digitale transformatie en daarbij wordt veel IT geoutsourcet. Vaak zonder te toetsen wat de IT-partner doet op het gebied van cybersecurity. Neem niet zomaar aan dat het wel goed geregeld is. Durf te vragen hoe het zit. Daarnaast zijn veel medewerkers ineens thuis gaan werken en zijn er noodgrepen toegepast om dat mogelijk te maken. Toen het coronavirus ons overviel, werd thuiswerken razendsnel mogelijk gemaakt. Tijd voor een doordacht plan was er toen niet, nu wel. Zijn de devices en de verbindingen waarmee ze werken wel geschikt om buiten de deur te werken en hoe gaat u dat op structurele én veilige wijze aanbieden?”

Wat zijn de kroonjuwelen?

Een kwetsbaarheid gaat niet alleen over de updates op tijd doen, constateert Rademakers. “Het kan bijvoorbeeld ook een gat zijn in de beveiliging of inrichting van je infrastructuur. Inventariseer waar kwetsbaarheden zitten en heb oog voor wat uw belangrijkste data, oftewel uw kroonjuwelen, zijn.” Zeventig procent van de incidenten in cybersecurity begint bij een medewerker. Rademakers: “Als CFO van een organisatie moet je dus zelf bewustwording krijgen van de dreiging, maar dat wil je voor je medewerkers ook. De mens is vaak de zwakste schakel, maar getrainde medewerkers zien zo of iets malware of phishing is, leren te werken volgens procedures en leren verschillende aanvalsmethodieken te signaleren en adequaat te handelen om schade te voorkomen. Trainen is dus dé manier om sterkere schakels te maken.”

Cybersecurity is als een reis, stelt Rademakers. “Het is geen project, maar een structurele opdracht. In die reis is het neerzetten van de verantwoordelijkheid voor cybersecurity een must. Het liefst hebben we dat dit op boardniveau een verantwoordelijkheid is en dan is de CFO de aangewezen persoon daarvoor.” Rademakers ziet daarbij ook een scheiding van rollen voor zich. “Laat de IT-manager goed zijn werk doen, maar challenge hem of haar ook. En stel een incident response plan op, waarin staat wie wat doet op moment dat je wordt gehackt.” Tot slot roept hij op de ontwikkelingen te blijven volgen. “Laat je als CFO informeren. Blijf bij met de vernieuwingen. Want ook cybercriminelen vernieuwen continu hun werkwijzen.”

