”Bestrijden cybercrime mag ook leuk zijn”

“Kijk”, zegt Anouk Vos terwijl ze haar telefoon tevoorschijn haalt. “Dit heeft een van onze IT-specialisten net gemaakt.” Ze laat een schokkend filmpje zien waarin ze aangeeft ontvoerd te zijn en pas vrijkomt als er losgeld is betaald. De stem in de video klinkt precies hetzelfde als die van Vos. Doordat de bewegingen niet volledig naturel lijken, overtuigt het beeld niet helemaal, maar dat maakt het filmpje niet minder indrukwekkend.

“Dit is vrij snel gemaakt voor een presentatie, om te laten zien wat er mogelijk is”, geeft ze aan. “Met wat meer tijd is het nog veel ‘echter’ te maken dan dit. Bovendien wordt die technologie steeds verder doorontwikkeld. Inmiddels heb je maar heel weinig beeld en audio nodig, een paar seconden, om een heel realistische deepfake-video te kunnen maken voor spoofing-doeleinden (bij spoofing nemen criminelen de identiteit van iemand anders aan, red.). Het daarvoor benodigde beeld en geluidsmateriaal is ook nog eens gratis en voor iedereen beschikbaar op websites van bedrijven, YouTube, social media en voicemails. Een video online zetten van bijvoorbeeld een bedrijfsjubileum, met een toespraak van de directeur, wordt zo opeens een heel ander verhaal. Wat wij onder meer doen, is bovenop dat soort ontwikkelingen zitten en het topmanagement van bedrijven en organisaties adviseren hoe zij daar het beste mee kunnen omgaan en hoe ze zich ertegen kunnen verweren.”

Gitzwart beeld

Eigenlijk is een interview met Anouk Vos beginnen met een angstaanjagend beeld, niet helemaal gepast. Haar aanpak, en die van haar collega’s, is anders dan wat doorgaans gebruikelijk is bij cybersecurity. “Vaak wordt een gitzwart beeld geschetst en komt er stortvloed aan gevaren voorbij, waardoor directies volledig in de stress schieten. Nu is cybercrime natuurlijk een groot probleem en is het heel belangrijk dat bedrijven en organisaties zich bewust zijn van de gevaren, maar je kunt er op verschillende manieren mee omgaan.”  

“Je kun het slechts zien als een kostenpost, vanwege alle ingekochte beveiligingsmaatregelen, of als iets waar je zelf ook wat aan kan doen. Het kan onderdeel zijn van de bedrijfsstrategie. Wij kiezen voor dat laatste en laten daarbij onder meer zien dat cybercrime bestrijden ook leuk kan zijn. Dat je er lol bij kunt hebben, zonder dat dit ook maar iets afdoet aan de effectiviteit. Sterker nog, door er zelf op die manier mee aan de slag te gaan, bereik je in mijn visie qua beveiliging meer, dan als je álles in handen legt van een gespecialiseerd beveiligingsbedrijf.”

Lees ook: Marcel van Oirschot: "Een hack kan het einde van een bedrijf betekenen"

Lol beleven

“Hoe je dat doet”, vraagt Vos, “lol beleven aan het bestrijden van cybercrime? Nou, bijvoorbeeld door je eigen bedrijf te hacken. Wij verzorgen sessies waarbij je op de stoel van een hacker gaat zitten en op zoek gaat naar de zwakke plekken in je organisatie. Niet alleen die in de IT-omgeving, maar ook die van de processen, procedures en bedrijfscultuur. Het is eigenlijk net als bij bijvoorbeeld angst voor honden. Je kan proberen die zoveel mogelijk te mijden en je daartegen te beschermen, maar door het onderwerp op te zoeken en te leren hoe honden denken en reageren, kom je uiteindelijk veel verder.”

Als Vos over ‘ons’ en ‘wij’ spreekt, heeft ze het over het team van Revnext. Bij dit strategisch adviesbureau in Rotterdam draait alles om consultancy en hightech. Volgens de eigen omschrijving biedt het bureau strategische expertise op het gebied van cybersecurity, forensica, transport en logistiek, schone technologie (cleantech), digitale zorg (e-health) en privacy.

Samen met strategieconsultants Steven Djohan en Robert Kok richtte Vos Revnext in 2016 op. “Dat was in de tijd dat hightech-onderwerpen, zoals cybercrime, steeds meer in de boardroom terechtkwamen. Daardoor ontstond er behoefte aan strategische adviseurs met kennis van hightech.”

Web War I

De consultants van Revnext adviseren overheden, beursgenoteerde bedrijven en ngo’s, en doen dat onder andere voor gemeente Rotterdam, Microsoft, RAI Vereniging, Tesla en TNO. Vos is cybersecurity en innovation lead bij het bureau. Voordat ze mede Revnext begon, werkte ze als strategisch cybersecurityadviseur voor onder meer de ministeries van Buitenlandse Zaken en Defensie en voor het Nationaal Cyber Security Centrum.

“Omdat ik diplomaat wilde worden, ben ik internationale betrekkingen en ontwikkelingsstudies gaan studeren”, legt ze uit. “Daarvoor volgde ik een stage bij de Directie Veiligheid en Bestuur van het ministerie van Buitenlandse Zaken. Dat was in 2007. In dat jaar werd Estland wekenlang geteisterd door grootschalige gecoördineerde cyberaanvallen. De aanleiding was onenigheid met Rusland over de verplaatsing van een oorlogsmonument.”

Estland was toen het meest gedigitaliseerde land van de wereld. “De impact van die aanvallen was daardoor enorm groot. Deze gebeurtenis staat dan ook bekend als Web War I. Het was wel duidelijk waar die aanvallen vandaan kwamen, maar de Russische overheid ontkende er iets mee te maken te hebben.”

Bewijzen dat dit wel zo was, was heel moeilijk. “Je wordt dus aangevallen op een manier die net zoveel, of misschien nog wel meer, schade aanricht als bommen, maar door een aanvaller die nauwelijks met zekerheid te identificeren is. Het stelde partijen als de NAVO voor de vraag hoe ze daarmee om moesten gaan. Het was iets helemaal nieuws en ik vond het heel fascinerend en het triggerde mijn interesse in cybercrime, cybersecurity en cyberdefense.”

Ransomeware en risico’s

Die fascinatie leidde uiteindelijk tot het mede-oprichten van Revnext. Een van de markten waarop het bureau zich richt is transport en logistiek. We vragen aan Vos wat de grootste gevaren voor die sector vormen als het om cybercrime gaat. “Ransomeware en alle andere vormen van digitale fraude waarmee bij bedrijven geld ontfutseld kan worden. Ceo-fraude bijvoorbeeld. Daarbij doen criminelen zich voor als de directeur en geven opdracht tot het overmaken van een groot geldbedrag naar een valse bankrekening. Tot nu toe gebeurde dat vooral per e-mail, maar met het vorderen van kloontechnieken kan dat, zoals ik liet zien, ook met beeld en geluid.”

Digitaal activisme

Daarnaast speelt logistiek een vitale rol in de samenleving en economie. “Dat maakt het een potentieel doelwit voor digitale spionage en sabotage en digitaal activisme. Bedrijven in bijvoorbeeld de Rotterdamse haven en op Schiphol zullen daar uiteraard eerder mee te maken hebben dan ondernemingen die buiten dat soort mainports zitten.”

Als het gaat om ransomeware en andere vormen van cybercrime waarbij geld aftroggelen de motivatie is, lopen alle bedrijven risico. “En met de steeds verder toenemende digitalisering worden die risico’s alleen maar groter. Vrachtwagens zijn rijdende computers geworden, in laadinfrastructuur zijn computers ingebouwd, in veel machines en voertuigen van warehouses ook, planningssystemen zijn gedigitaliseerd en alles is verbonden met het internet.”

“Je daar voor 100% tegen beschermen is helaas onmogelijk. Desondanks is er veel dat je wel kunt doen om de risico’s te minimaliseren. Daarbij kiezen wij voor een aanpak die globaal bestaat uit het bevorderen van de weerbaarheid, het opstellen van een cybersecuritybeleid en het voorbereiden op de vraagstukken van morgen op dit vlak.”

Reputatieschade

TLN maakte vorig jaar bekend dat ongeveer 40% van de bedrijven in het transport en de logistiek te maken heeft gehad met cyberaanvallen. Vos noemt dit een plausibel aantal. “Dat zou weleens heel reëel kunnen zijn. Ik zeg ‘zou’, want vanwege het ontbreken van harde cijfers weet ik het niet zeker. De aangiftebereidheid van bedrijven die slachtoffer zijn van hacks en cyberaanvallen is laag. Dat heeft voornamelijk met reputatieschade te maken.”

Organisaties die hun datalekken wél bekendmaakten, kunnen daarover meepraten. “Over het algemeen word je dan met de grond gelijk gemaakt omdat je je zaken blijkbaar niet voor elkaar had. Maar uiteindelijk kan iedereen dit overkomen. Er hoeft maar één medewerker niet goed op te letten en het kan al raak zijn. Ik vind daardoor dat we mild moeten zijn voor bedrijven die dit overkomt. Transparantie is juist een belangrijk wapen bij de bestrijding van cybercrime. Door mild te zijn voor getroffen bedrijven, stimuleer je openheid en komt er veel meer informatie vrij.”

“Met die gegevens kunnen we het cybercriminelen vervolgens een stuk moeilijker maken. En dat is nodig ook, want alle trends wijzen erop dat cybercrime toeneemt. Dat is ook niet zo vreemd als je bedenkt dat de drempel voor die vorm van criminaliteit steeds lager wordt. Alle benodigde tools zijn vrij eenvoudig beschikbaar. Je hoeft allang geen ‘nerd’ meer te zijn om een ransomeware-aanval op te zetten.”

De toename van cybercriminaliteit heeft onder meer tot gevolg dat Revnext groeit. Vos: “Om verdere groei goed op te kunnen vangen en faciliteren zijn we dit jaar samengegaan met onderzoeksbureau Panteia, waarmee we al veel samenwerkten.”