Samen Digitaal Veilig (SDV) is door MKB-Nederland opgericht om het bedrijfsleven te beschermen tegen internetcriminaliteit. Denk aan aanvallen op netwerk- en computersystemen. Door samenwerking met ruim 30 brancheorganisaties waaronder TLN, bereikt en steunt SDV naar eigen zeggen maar liefst 100.000 mkb-bedrijven.

De ethisch hacker legt uit waarom je in geen geval je portemonnee moet trekken na een digitale inbraak. “Nadat jouw bedrijf is gehackt, kunnen ze verder. Via jouw systemen is het mogelijk dat vervolgens je leveranciers aan de beurt komen. Dus niet doen. Zorg gewoon dat je een goede backup hebt.”

Vijf fabels

Maar eerst somt partnermanager Ron Vermeulen van SDV voor de aardigheid vijf fabels op over internetcriminaliteit.

  • Mijn bedrijf is niet interessant voor criminelen;
  • Mijn wachtwoord is complex met speciale tekens en daarom nooit te raden;
  • Ik gebruik de cloud, dus ik ben veilig;
  • Mijn IT-leverancier heeft het goed geregeld;
  • Investeren in digitale veiligheid kost veel tijd en is te duur.

Daarnaast doet hij de sombere mededeling dat meer dan driekwart van de bedrijven wel eens te maken heeft gehad met cybercriminaliteit. Verder komen aanvallen in het mkb vaker voor dan bij het zogenoemde grootbedrijf. “Zodra je verbinding maakt met internet, ben je eventueel een doelwit”, moet Van Dongen van het hart.

Anti-hacktips

1.      Gebruik een wachtwoordmanager om een wachtwoord aan te maken;
2.      Zorg in ieder geval dat je wachtwoord minimaal tien tekens heeft en eindig niet met een uitroepteken (dat doet iedereen);
3.      Schakel twee factor-authenticatie in waar dat kan. (In dat geval moet je ook een code invoeren die via je telefoon komt);
4.      Kijk naar het geheel als je met beveiliging bezig bent; niet naar slechts één site of één systeem;
5.      Zorg dat je een goede backup hebt;
6.      Maak afspraken met je webbouwer over updates;
7.      Stel updates nooit uit;
8.      Bied de mogelijkheid ‘Responsible disclosure’ aan op je site: op die plek kan een ethisch hacker een foutje melden;
9.      Wijs niet met je vingertje als er iets misgaat, maar los het op.

Aangeklaagd

De ethisch hacker had op jonge leeftijd al veel belangstelling voor hacken. Hij werd in die tijd aangeklaagd wegens computervredebreuk en ook werd hij van de opleiding afgetrapt. “Maar het is allemaal goed gekomen.” Enkele anekdotes passeren de revue.

Lees ook: Cybersecurity is voor mijn bedrijf toch niet belangrijk?

Laagvliegers

Als Leidenaar ziet en hoort hij veel laagvliegende vliegtuigen. Via Schiphol.nl kun je van je laten horen via het Klachtenloket. Hij ging eens kijken hoe goed dit loket beveiligd was. “Binnen een kwartier had ik het beheer over het klachtenloket van Schiphol. Het wachtwoord was zwak. En pijnlijk: Zeurkous.” Van Dongen had vanaf dat moment inzicht in de gegevens van ongeveer 60.000 mensen. “Schiphol is dus niet goed beveiligd”, constateert hij. “Via deze weg kan ik webmail gebruiken om andere systemen aan te vallen.” Hij heeft de hack netjes gemeld.

Regelmatig krijgt hij het verzoek om een  bedrijf te hacken. Organisaties willen weten hoe ze ervoor staan. “Het eerste wat ik dan doe, is op zoek gaan naar wachtwoorden.” Wachtwoorden samenstellen via een wachtwoordmanagersysteem vindt hij een verstandig idee.

Fysiek hacken

Hacken kan overigens ook fysiek. Zo nam Van Dongen de proef op de som bij de gemeente Arnhem. Hij wandelde het gemeentehuis van Marcouch binnen en slaagde er maar liefst vier keer in om door te dringen in het gebouw zonder officiële toegangspas. Tijdens deze bezoeken vertoefde hij probleemloos uren in het stadhuis.

Nieuwe wet

Op 18 oktober 2024 wordt de Network and Information Security directive, ofwel de NIS2-richtlijn verplicht. Die is verplicht voor ‘essentiële en belangrijke bedrijven’. Zij moeten zichzelf veilig maken op een hoog niveau. Daarnaast hebben zij zorgplicht. In de praktijk houdt dat in dat zij bedrijven die aanleveringen doen, ook bepaalde cybersecuritymaatregelen gaan opleggen. Als organisaties zich niet aan deze wet houden, kunnen ze pittige boetes tegemoetzien.
Phishing mail

Voor het tv-programma ‘Klaas kan alles’ slaagde hij er zelfs in om in te breken op de website van de gemeente Velsen. Daar kondigde hij aan dat presentator Klaas van Kruistum de nieuwe burgemeester was. Van tevoren had de hacker toestemming gekregen voor zijn activiteiten richting die gemeente. Het begon allemaal met phishing mail. “Mensen trappen daar altijd massaal in.”

Van Dongen had uitgevogeld dat Velsen werkte met een oudere versie van Drupal, een beheerprogramma voor websites. Dat was zijn ingang. Hij stuurde een mail met de tekst dat de gemeente snel moest migreren. Hij knipte en plakte het logo van de leverancier en snorde een naam op van een medewerker die daar daadwerkelijk in dienst was. Tot slot voegde hij tekst toe van de Algemene verordening gegevensbescherming (AVG).

Lees ook: “Hacks bij het mkb hebben een enorme impact”

Verdacht

De mail ging alleen naar de beheerders van het systeem. Niet de eersten de besten zou je zeggen. “En 90% van de mensen trapte erin! Slechts één persoon maakte melding van het mailtje omdat die persoon het verdacht vond.”

Was hacken tot voor kort ingewikkeld, tegenwoordig is het een koud kunstje. Via het dark web kun je een bedrijf namelijk al voor een bedrag van 400 tot 500 euro laten hacken. “Conclusie: “Kleine foutjes kunnen grote gevolgen hebben. Kijk daarom naar het geheel. En lees niet alleen wat je op papier hebt, maar bekijk de praktijk. Iedereen is een target.” Ook de voetbalbond.