Cybercrime: bent u het volgende doelwit?

Een gehackte waterzuiveringsinstallatie, een staalbedrijf dat online wordt afgeperst. Digitale bedrijfsspionage en virussen. Iedereen kan het slachtoffer van cybercrime worden. Wie zitten daarachter en wat kun je als ondernemer ertegen doen? Een kijkje in de wereld van de ‘cyberoorlog’.   

Als cybercrime een land was, dan zou het de derde economie ter wereld zijn, na de Verenigde Staten en China. Volgens het Amerikaanse onderzoeksbureau Cybersecurity Ventures kost cybercriminaliteit de wereld 8 biljoen dollar, dat is achtduizend miljard. Een duizelingwekkend bedrag dat volgens onderzoekers alleen maar op zal lopen. De schade door cybercriminaliteit zal de komende jaren met 15 procent per jaar toenemen tot 10,5 biljoen dollar per jaar in 2025, tegen 3 biljoen dollar in 2015. 

De cijfers liegen er ook in ons land niet om. Volgens een recent rapport van de politie hadden vorig jaar ruim twee miljoen Nederlanders te maken met een vorm van cybercrime. Het mkb is daarbij een geliefd doelwit. Securitybedrijf Eye Security uit Den Haag luidde vorig jaar al de noodklok rondom cyberweerbaarheid van mkb’ers: 72 procent van de elfduizend cybermeldingen die het bedrijf in 2023 te verwerken kreeg ging over ondernemers. Hoeveel meldingen daarvan ransomware – het gijzelen van data – betrof en hoeveel geld daarmee gemoeid is, is onbekend. Bedrijven zijn niet verplicht om bekend te maken dat ze een cyberincident hebben gehad, of dat ze criminelen hebben betaald.  

Hackersgroepen

Wie en wat zit er achter deze ‘cyberoorlog’ en hoe kunnen bedrijven zich daartegen beschermen? Securityspecialist Inge Bryan heeft jarenlange ervaring bij onder meer de AIVD en Fox-IT en is een vaste duider van cybernieuws bij Nieuwsuur. Zij wil eerst opmerken dat ze fel gekant is tegen de term ‘cyberoorlog’. ‘Het heeft weinig zin om in termen van oorlog te praten. Alle cyberaanvallen, groot of klein, zijn gericht op het behalen van voordeel ten koste van onze economie. En daarbij maakt het niet uit welke hackersgroeperingen erachter zitten. Of ze nu gelieerd zijn aan een overheid uit Rusland of China of juist autonoom opereren; het komt allemaal neer op het verzwakken van de economie van de ander en er zelf economisch voordeel uithalen.’ 

Van Rusland, China en Iran en Noord-Korea is bekend dat de overheden hackersgroeperingen steunen om hacks uit te voeren op met name westerse landen. Rusland is daarnaast zeer actief met het hacken van Oekraïense doelen zoals energiecentrales en andere vitale infrastructuur, maar ook alle westerse processen en installaties die Oekraïne ondersteunen. ‘Hackers knappen het vuile werk op van de staat’, aldus Bryan. ‘Ze krijgen de vrije hand, en op voorwaarde dat ze geen binnenlandse doelen raken, zal de overheid ze geen strobreed in de weg leggen.’ 

Nederland heeft een uitstekende digitale infrastructuur

Nederland heeft geen staatsgerelateerde hackers die actief andere landen aanvallen uit economische motieven. Bryan: ‘In Nederland is vanuit de overheid nog nooit een offensieve actie ingezet om economisch voordeel te behalen. Wij verdedigen alleen en en vinden aanvallen niet ethisch. Maar daardoor is onze verdediging wel zeer goed op orde. We hebben een uitstekende digitale infrastructuur.’ Ook werken publiek en private organisaties zeer nauw samen, zegt de securityspecialist. ‘Het overgrote deel van de cyberverdediging is namelijk in handen van de private sector. We moeten wel goed samenwerken om Nederland digitaal veilig te houden.’ 

Wat moeten bedrijven zelf doen om niet in de ‘cyberoorlog’ te worden meegesleurd? Bryan noemt als eerste bewustwording. ‘Nederland is een kenniseconomie, er is hier sprake van stelselmatige spionage. Die kennis sijpelt het land uit en verzwakt onze economie. Als organisaties en bedrijven bewust zijn van het feit dat spionage aan de orde van de dag is, en dat ook hun organisatie hier kwetsbaar voor is, is dat al een hele stap. Maar denk ook aan de keten. Weet je met wie je zakendoet? Waar gaan je producten en kennis heen? Onlangs waarschuwden de militaire inlichtingen- en veiligheidsdiensten hier weer voor. Stel ook zelf grenzen en maak afspraken met je leveranciers en afnemers. Het is zo belangrijk.’ 

Je zou denken dat met alle horrorverhalen over afpersing en cyberoorlog, ondernemers direct werk maken van hun online veiligheid. Niets is minder waar, zegt cyberdeskundige Lisa de Wilde van Cyber Radiant. Zij helpt al jaren ondernemingen om hun cybersecurity op orde te krijgen. En dat is hard nodig: ‘Voor veel ondernemers blijft het een ver-van-mijnbedshow. Als ze er al iets aan doen, gaat dat vaak via hun it-dienstverlener en dat gaat op basis van blind vertrouwen. Terwijl ze zelf verantwoordelijk blijven en zich er dus iets meer in moeten verdiepen. Wat is er precies beveiligd? En hoe zit het met mijn back-ups? Kan ik ook in het weekend iemand bereiken die mij helpt? Die vragen moet je kunnen beantwoorden.’ 

 Tot voor kort werkte De Wilde als incident responder. ‘Dan help je organisaties die net gehackt zijn. Je bent een soort van digitale brandweer. Alles staat voor een ceo op zijn kop. Je hebt te maken met criminelen die geld willen zien, klanten die duidelijkheid willen en personeel dat begeleiding nodig heeft. Dat allemaal terwijl je systemen niet meer bereikbaar zijn en je niet eens een mail kan sturen. Dat is ongelooflijk heftig voor ondernemers, maar ook voor de ict-verantwoordelijken en andere betrokkenen.’ 

Ontruimingsoefeningen

De Wilde ziet duidelijke verschillen tussen bedrijven die voorbereid zijn op een hack en zij die dat niet zijn. ‘Je houdt ook ontruimingsoefeningen in het geval van een brand, waarom oefen je dan niet met een digitaal ontwrichtende situatie zoals een hack? Voorbereiden op een dergelijk scenario kan ook op papier. Het begint al bij het maken van een incident-responsstappenplan.  Neem daarin het nummer van de it-dienstverlener op en je cyberverzekeraar of incident-response partij. Noteer de namen en telefoonnummers van degenen in je bedrijf die een rol hebben bij een incident, zoals communicatie.’ 

 Om organisaties te stimuleren hun security serieuzer aan te pakken, is vanuit Europa een richtlijn opgesteld; de NIS2. Deze richtlijn wordt omgezet naar een Nederlandse wet en die verplicht Nederlandse ondernemers om bepaalde maatregelen te nemen tegen cyberaanvallen. Ook zijn directeuren/ceo’s van organisaties onder deze wet eindverantwoordelijk voor schade veroorzaakt door een hack.  

‘Iedereen heeft een computer, dus iedereen is verantwoordelijk’

Dat Europa met wetgeving voor cybersecurity zou komen, was te verwachten, zegt manager Digital Trust Center (DTC), Michel Verhagen. Het DTC is onderdeel van het ministerie van Economische Zaken. Het adviseert mkb’ers op het gebied van cyber security via een online community, website, en het beschikbaar stellen van praktische tools en het delen van ondernemersverhalen. Verhagen: ‘Je hoopt natuurlijk dat bedrijven security aanpakken vanuit intrinsieke motivatie om het juiste te doen. En een deel van de bedrijven doet dit gelukkig ook. Maar de afgelopen jaren werd duidelijk dat veel bedrijven achterbleven in het nemen van voldoende maatregelen. Dat maakt de Nederlandse economie kwetsbaar en daar wil Europa iets aan doen middels de NIS2. Deze Europese wet gaat helpen cyberweerbaarheid hoger op de agenda bij bedrijven te krijgen.’   

Het DTC merkt dat er veel behoefte is aan tips en adviezen voor een goede aanpak van cybersecurity. ‘We helpen bedrijven op weg met een stappenplan. Het gaat erom dat je ergens begint. Cyberveiligheid is noodzakelijk, maar wordt nog vaak gezien als een it-probleem, terwijl de hele organisatie een computer gebruikt, dus iedereen een verantwoordelijkheid heeft voor digitaal veilig werken.’ 

Op de website van het DTC zijn diverse verhalen te vinden van organisaties die gehackt zijn geweest. Het schetst soms een schrijnend beeld. Verhagen: ‘Uiteindelijk kan het iedereen overkomen. Ondanks dat je denkt, wat moeten die hackers nou bij mij? Bedenk je dan dat ook jouw organisatie onderdeel is van een groter geheel. We zijn via internet allemaal met elkaar verbonden, denk aan leveranciers of gedeelde software. Je bent kwetsbaar. Linksom of rechtsom.’