Vertrouwen is goed, controle is beter. Die uitdrukking snijdt vaak hout, maar niet als het om cybersecurity gaat, zo is de ervaring van Marcel van Oirschot. Hij komt het in de praktijk vaak tegen, bedrijven die blind varen op hun IT-partner of op de standaard beveiliging van de software en cloud waarvan ze gebruikmaken. “Daar volledig op vertrouwen is heel onverstandig”, vindt hij. “En ook de overheid gaat de problemen met cybercriminaliteit niet oplossen. Bedrijven moet daarin zelf hun verantwoordelijkheid nemen en de controle pakken.”
Dat Van Oirschot pleit voor meer aandacht voor cybercrime bij bedrijven, is niet heel verwonderlijk. Hij is commercieel directeur bij Hunt & Hackett. Dat is, anders dan de naam doet vermoeden, een Nederlands bedrijf dat volledig gespecialiseerd is in cybersecurity. Het werd drie jaar geleden opgericht door een medeoprichter en een voormalig mede-eigenaar van Fox-IT in Delft, dat binnen en buiten Nederland een begrip is op het gebied van IT-beveiliging.
Digitale dreigingen
Ook Van Oirschot werkte bij Fox-IT. Hij was daar commercieel directeur. Sinds 2013 is hij werkzaam in de securityindustrie. Behalve bij Fox-IT vervulde hij ook seniormanagementposities bij cybersecuritydienstverlener Tesorion en KPN Security. Hij kan dan ook met recht cybersecurityexpert genoemd worden. En hoewel hij geen onafhankelijke positie inneemt, lijkt het er niet op dat hij bewust de boel aandikt om extra klanten binnen te halen. Want wat Van Oirschot schetst, wordt ondersteund door niet-commerciële organisaties als FERM, het Digital Trust Center (DTC) en het Nationaal Cyber Security Centrum (NCSC). De eerste is een stichting die zich inzet voor het vergroten van de cyberweerbaarheid van bedrijven in de Rotterdamse haven en de andere twee zijn overheidsorganisaties die zich focussen op digitale dreigingen.
Het DTC publiceerde bijvoorbeeld eerder dit jaar een onderzoek waaruit bleek dat veel bedrijven hun basismaatregelen voor IT-beveiliging niet op orde hebben. “En dat terwijl de kwetsbaarheid voor cybercriminaliteit alleen maar toeneemt”, geeft van Oirschot aan. “Die wordt aangewakkerd door de toenemende digitalisering, het minimaliseren van voorraden – waardoor bij een hack al snel leveringsproblemen ontstaan -, de aantrekkelijkheid van deze vorm van criminaliteit en de huidige toestand in de wereld. Daarmee doel ik met name op de oorlog in Oekraïne en de daarmee samenhangende sancties tegen Rusland.”
Gijzelsoftware
“Een van de sectoren waarop wij ons specifiek richten is logistiek”, vertelt Van Oirschot verder. “De grootste dreiging voor die bedrijfstak bestaat uit ransomeware-aanvallen waarbij criminelen met gijzelsoftware systemen platleggen en losgeld eisen voor het opheffen daarvan. Een hack bij een klein onderdeel van een bedrijfsproces kan daarbij al voldoende zijn om veel schade aan te richten. Ik ken een voorbeeld van een logistiek bedrijf waarbij de printer voor de barcodes van de inkomende goederen onvoldoende beveiligd was. Die werd gehackt en daarmee lag heel het bedrijf stil. Doordat zoveel digitaal is tegenwoordig, zie je gauw iets over het hoofd.
Bedrijven doen er daardoor verstandig aan om een goede inventarisatie te maken van hun cruciale applicaties. De kans is groot dat daaruit naar voren komt dat afhankelijkheid van eigen of sectorspecifieke applicaties, zoals een WMS en planning- en facturatiesoftware, hoger dan die van de standaard office-applicaties. Daarom is het zo belangrijk dat bedrijven, die dat nog niet doen, serieus werk maken van hun digitale veiligheid. En niet door dat volledig uit te besteden, maar door dat als bedrijfsleiding zelf op te pakken en om te zetten in cybersecuritybeleid. De focus moet daarbij liggen op de drie voornaamste risicofactoren: de mens, oftewel de medewerkers, de procedures en de technologie. Daarbij speelt bewustwording een cruciale rol. Een organisatie die zich bewust is van het gevaar, zal zich daartegen wapenen en daarmee de kans op een succesvolle hack aanzienlijk verkleinen.”
Lees ook: Cybersecurity moet boardroom-topic worden
Jagen op hackers
Bij dat wapenen tegen digitale dreigingen kunnen ondernemingen hulp krijgen van cybersecuritybedrijven als Hunt & Hackett. Kunnen die voor 100% veiligheid zorgen? Van Oirschot: “Nee, 100% garantie voor het voorkomen van cybercrime kunnen wij niet geven. Wel kunnen we, samen met de klant, het veiligheidsniveau zo hoog mogelijk krijgen. Dat doen we bijvoorbeeld door proactief op dreigingen te jagen waarbij we continu speuren naar sporen van aanvallen. Een succesvolle cyberaanval neemt gemiddeld 100 dagen in beslag. In die periode laten hackers sporen achter in systemen. Door daarop te jagen, kunnen we aanvallen vroegtijdig constateren en afslaan.”
Is dat soort beveiliging ook voor MKB-bedrijven financieel haalbaar? “Gebrek aan transparantie is helaas iets wat samenhangt met deze problematiek. In principe zijn bedrijven verplicht om hacks en datalekken te melden bij de Autoriteit Persoonsgegevens. Maar dat gebeurt lang niet altijd. Ondernemingen kiezen er regelmatig voor om dit stil te houden. Duidelijke cijfers over het precieze aantal hacks en de hoogte van losgeldbedragen ontbreken daardoor. Maar 200.000 euro is een bedrag dat regelmatig genoemd wordt bij gevallen van gijzelsoftware bij MKB-bedrijven. De vergoedingen voor onze services blijven daar ruim onder.”
Rusland
Hoewel duidelijke cijfers dus ontbreken, kan volgens Van Oirschot wel gesteld worden dat de kans op een cyberaanval aanzienlijk groter is dan de kans op brand. “En kijk eens hoeveel daarin geïnvesteerd wordt. De gevolgen van cybercrime kunnen heel groot zijn en zelfs het einde van een bedrijf betekenen. Dit is geen probleem dat overwaait. Het is erg lucratief, de pakkans is miniem en je hoeft er niet eens veel verstand van IT voor te hebben, want hacksoftware is gewoon te koop. Veruit de meeste ransomeware-aanvallen komen vanuit Rusland. Dat land levert geen burgers uit en heeft door de huidige sancties en het tekort aan buitenlandse deviezen, dat daaruit voortvloeit, juist belang bij die hacks.”
