Ooit vergeten via de cloud een back-up te maken van je laptop of smartphone? Dan weet je wat er gebeurt wanneer het ding ooit crasht, verloren of gestolen raakt. Al je bestanden, data en foto’s ben je in een klap kwijt. Kortom, een drama. Maar vooral: een persoonlijk drama.
Vervelender wordt het wanneer een bedrijf of organisatie ineens zijn hele bedrijfsvoering kwijtraakt. Bijvoorbeeld wanneer hackers via een ransomware-aanval bedrijfsinformatie stelen of ‘gijzelen’. Dan kun je ineens niets meer en zit er vaak niets anders op dan alles opnieuw opbouwen of het losgeld in bitcoins te betalen en maar hopen dat je je bedrijfsdata weer terugkrijgt. Esther Mieremet, projectleider Veiliginternetten.nl bij ECP/Platform voor de Informatie Samenleving, weet er alles van. ‘Eenmaal gehackt worden bedrijven en organisaties teruggeworpen naar de digitale steentijd. Wie niet betaalt - en nergens een back-up heeft liggen - moet zijn hele IT-omgeving weer van de grond af opbouwen.’ De gevolgen daarvan kunnen groot zijn. Een bedrijf dat een paar maanden niets kan doen vanwege door criminelen geïnstalleerde gijzelsoftware, lijdt enorme financiële schade. Uit cijfers van het Nederlandse Handelsregister van de Kamer van Koophandel blijkt dat een geslaagde hack een onderneming gemiddeld 67.000 euro kost. Iets waar één op vijf ondernemers mee te maken zou krijgen.
Onoplettendheid
Maar de potentiële gevolgen van cyberaanvallen uitgevoerd op de digitale netwerken van gemeenten, ziekenhuizen en onderwijsinstellingen zijn zo mogelijk nog vele malen ernstiger, waarschuwen experts. Wanneer deze organisaties worden geconfronteerd met het lamleggen van systemen of het kapen of vrijgeven van privacygevoelige informatie, kan dat tot serieuze maatschappelijke ontwrichting leiden. Denk aan studenten die niet langer bij hun scriptie kunnen, ambtenaren die niet langer uitkeringen kunnen verstrekken, of zorgverleners die ineens geen toegang meer hebben tot hun patiëntendossiers. Voorkomen is ook hier dus beter dan genezen. Zeker aangezien het risico om slachtoffer te worden van hackers alsmaar toeneemt. Zowel burgers als organisaties moeten zich daarom steeds beter bewapenen om steeds sluwere hackers buiten de deur te houden. En dat begint met een stukje bewustwording, aldus Mieremet. Het grootste gevaar schuilt ‘m volgens haar over het algemeen niet in de hackers, maar in de (onbewuste) onoplettendheid van de gebruiker. ‘Veel organisaties gebruiken nog steeds dezelfde, vrij simpel te achterhalen wachtwoorden voor meerdere accounts. Ondanks dat al jaren wordt gewaarschuwd voor de veiligheidsrisico’s daarvan. Ook worden verzoeken om softwarepatches en upgrades nog altijd massaal weggeklikt.’ Wat dat betreft, is de mens vrij hardleers, verzucht ze. ‘De overheersende gedachte is vaak: och, zo’n vaart zal het niet lopen. Zelf liet ik zelf ook altijd de schuur openstaan, tot op dag mijn fiets werd gestolen. Met je digitale veiligheid is het net zo. Mensen komen vaak pas in actie wanneer het kwaad al is geschied.’
Zwakke plekken
Deze laksheid in internetbeveiliging is spekkie voor het bekkie van hackers, zegt ook Jeroen Schipper, Chief Information Security Officer (CISO) bij de gemeente Den Haag. Hij is verantwoordelijk voor het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van de Haagse data en ICT-systemen. Om die veiligheid te waarborgen, zet zijn werkgever sinds 2017 ieder jaar ethische hackers in om de digitale weerbaarheid van de stad te verhogen. De naam van dit event: Hâck The Hague. Ergens klinkt het als een wonderlijke gang van zaken. Want waarom bewust je systemen laten aanvallen door een team hackers? Ethische hackers weliswaar, gebonden aan een aantal spelregels. Maar dan nog: wie zegt dat je daarmee geen wolf in schaapskleren binnenhaalt? Maar Schipper ziet het anders. ‘De teneur wás lange tijd om eventuele kwetsbaarheden en/of beveiligingsmaatregelen zo lang mogelijk onder de pet te houden. Iets wat wij in het jargon security by obscurity noemen. Maar daar schiet uiteindelijk niemand iets mee op. Digitale veiligheid wordt pas écht succesvol als je kennis deelt. De toegevoegde waarde van Hâck The Hague is juist dat je leert waar de zwakke plekken zitten, zodat je deze beter kunt beveiligen tegen hackers met heel wat minder zuivere motieven. De lessen die de gemeente opdeed tijdens deze events zijn gebundeld in een vrij te downloaden e-guide die ook andere gemeenten en andere organisaties gedetailleerd uitlegt wat je kunt doen om de digitale veiligheid te verbeteren.’ Een wedstrijd als deze werkt volgens hem ook goed om binnen de gemeente aandacht te vragen voor digitale veiligheid. De gemeentemedewerkers spelen daarin een sleutelrol. ‘Als zij zich voldoende bewust zijn van de risico’s, en hun gedrag daarop aanpassen, dan maakt dat het werk van mijn team en mij een stuk gemakkelijker.’
Schieten met hagel
Esther Mieremet van Veiliginternetten.nl, dat regelmatig campagnes lanceert om mensen op te roepen zich beter te beschermen tegen phishing en andere vormen van internetcriminaliteit, ziet eveneens de meerwaarde van een educatief evenement als Hâck The Hague. Want waar een inbreker nog relatief veel moeite moet doen om ergens binnen te komen, zetten cybercriminelen gewoon spambots aan het werk. Een nagenoeg volledig geautomatiseerd systeem dat accounts probeert te kraken en systemen binnen te dringen. ‘Denken dat jij als persoon of de organisatie waarvoor je werkt niet interessant is voor hackers, is daarmee een achterhaalde gedachte geworden. De meeste hackers schieten met hagel op honderdduizenden potentiële doelen. Alleen high-end doelen worden nog door serieuze hackers afgehandeld. De rest is serieproductie. Meestal beseffen ze pas met wie of welk bedrijf ze van doen hebben zodra ze al binnen zijn.’ Blijkt dat een grote organisatie met veel gevoelige informatie te zijn, dan vragen deze bendes zonder gêne de hoofdprijs. Zo betaalde de Universiteit Maastricht in 2020 bijna twee ton aan losgeld aan de hackers die de universitaire computersystemen kort voor Kerstmis via een cyberaanval platlegden. Eind datzelfde jaar eiste een criminele groepering, die de back-up systemen van de gemeente Hof van Twente in gijzeling nam, 750.000 euro om de bestanden weer vrij te geven. Zij besloten uiteindelijk niet te betalen, maar zoiets blijft een moeilijke afweging.
Kat-en-muisspel
‘Kijk, niemand wil criminelen financieren’, weet Schipper. Maar als blijkt dat een sluis of gemaal is gehackt, kan het al gauw over mensenlevens gaan. Hou dan nog maar eens vol dat je pertinent niet betaalt.’ De belangrijkste tip die hij wil meegeven, is dan ook: blijf waakzaam! ‘Bescherm je digitale omgeving, zoals je je eigen huis zou beschermen. Zorg voor goede sloten. Een goede computerbeveiliging (met virusscanner, spamfilter, firewall en regelmatige updates) kan je al veel ellende besparen.’ En in vredesnaam: zorg voor goede wachtwoorden, liefst zoals hijzelf van zo’n twintig karakters lang. Of, nog beter: ‘Log in via een zogeheten tweestapsverificatie, waarbij je naast een wachtwoord ook een app, vingerafdruk of via SMS verstuurde pincode moet aanleveren’. Maar zelfs dan blijft het kat-en-muisspel tussen hacker en gebruiker voortduren, zegt hij. ‘Denk aan DDoS-aanvallen, waarbij criminelen voor een paar euro een botnet kunnen huren die zoveel verkeer naar computers, computernetwerken of servers stuurt dat deze onbruikbaar worden voor de normale gebruiker. Maar ook aan phishing mails die inmiddels dusdanig geëvolueerd zijn dat zelf ík moeite heb om er niet in te trappen.’ De tijd van de “Nigeriaanse prins” die jou wekelijks mailt, is volgens Schipper in ieder geval lang voorbij. ‘Nu pakken ze bestaande mailcorrespondenties, waardoor het lijkt alsof je collega een belangrijke link doorstuurt. Maar zodra je daar op klikt, besmet je binnen mum van tijd het hele netwerk. Zo zie je maar: vertrouwen is goed, maar controleren is beter.’
