Wat hebben een tomatenkas, een hotel in Las Vegas en een viskwekerij met elkaar gemeen? Alle drie zijn een potentieel doelwit voor cybercriminelen. Marcel van Oirschot (Hunt & Hackett) drukte tijdens de Preventiedag van het Verbond de aanwezige verzekeraars daarom op het hart om “eens wat kritisch(er) te zijn op de bedrijven die jullie verzekeren”.
Hij herhaalde het tijdens zijn inleiding keer op keer: wees kritisch. “Jullie komen bij veel bedrijven/klanten in huis, maar de kritische blik ontbreekt vaak.”
Met een ‘kritische blik’ doelt de cybersecurityexpert vooral op een blik die verder gaat dan het geijkte. “Preventie technisch ga je geen cybercrimineel tegenhouden. Die komen overal binnen. Ga het gesprek aan met klanten en maak ze bewust van de risico’s die ze lopen.”
Tomatenkweker
Hij laat een plaatje zien van een tomatenkas. “Waarom is die kas interessant voor een cybercrimineel? Niet voor het Microsoft-programma, dat kan die kweker wel een paar weken missen. Zijn klimaatkas en het energiesysteem zijn een stuk belangrijk. Een kweker is tegenwoordig net zo druk met het verkopen van energie dan met zijn tomaten. Wees daar kritisch op, want die klimaatcomputer hangt vaak aan het internet én is meestal slecht beveiligd.”
Het kleinste mkb-bedrijf is het gezin
Peter Stegeman is ethisch hacker van beroep. Hij werkt bij Achmea en probeert de hele dag IT-componenten te hacken. Websites, servers, routers maar ook tv’s, koelkasten of koffiezetapparaten, het maakt niet uit. Tijdens de Preventiedag vertelt hij tot in detail hoe makkelijk hacken soms kan zijn. “Ga maar eens een middag naar de kroeg. Grote kans als iemand daar zit te werken, hij het pasje van zijn bedrijf achterlaat als hij even naar de wc gaat. Dat pasje kun je misschien wel klonen tijdens zijn toiletbezoek, met een apparaat dat je voor 50 dollar op internet koopt. Voor je het weet, ben je binnen bij zijn werkgever en kun je bijvoorbeeld met een paar muisklikken het licht bedienen in Achmea-gebouwen. Wij hadden zelfs met één druk op de knop heel Achmea plat kunnen leggen.”
Samen met acht collega’s probeert Stegeman het hele jaar door IT-componenten van Achmea te hacken en van bedrijven waar Achmea mee samenwerkt. Doel is de ‘gaten’ eerder te vinden dan kwaadaardige hackers. Volgens hem moeten we allemaal beter opletten. “Ik geef vaak het voorbeeld van het kleinste mkb-bedrijf dat ik ken: ons gezin. Mijn zoon neemt een vriendin mee naar huis en deelt ons Wifi-wachtwoord, via zijn telefoon. Dat betekent dat ons wachtwoord op de telefoon van die vriendin staat. Lijkt onschuldig, maar als haar vader minder goede bedoelingen heeft, kan hij met haar telefoon in zijn auto voor onze deur gaan staan en alle apparaten in huis scannen. Met als gevolg dat hij allerlei instellingen kan wijzigen van apparaten die slecht zijn beveiligd. Bijvoorbeeld de instellingen van de omvormer van de zonnepanelen, misschien wel zodanig dat de omvormer oververhit raakt in de brand vliegt. Of hij neemt de router over en heeft daarmee de macht over het hele thuisnetwerk. Zorg daarom op je werk, maar ook thuis, voor voldoende lagen in je beveiliging. Bijvoorbeeld met een sterk wachtwoord op je router en laat gasten gebruikmaken van de Guest-wifi die tegenwoordig bijna iedere router beschikbaar stelt.”
Betalen!
Het volgende plaatje dat Van Oirschot laat zien, is een enorm aquarium in een hotel. “Voor jullie is dit een grote tank met water. Ik denk vooral aan een mogelijke hack. Hotel – Vegas – aquarium - waterpomp. We hebben de proef op de som genomen. Via die pomp zijn we bij alle gegevens van het hotel gekomen. Pijnlijk!”
Derde en laatste foto: een viskwekerij, ergens in Nederland. Van Oirschot: “Een oude varkensboer besluit voortaan vis te gaan kweken. Hij investeert veel geld. Cruciaal is namelijk dat het water een bepaalde temperatuur moet hebben. Anders gaan die vissen dood. Dat weten cybercriminelen ook. Op een dag kreeg hij bericht: betalen of al je vissen dood laten gaan? Hij heeft 14.000 euro betaald.”
Deurtje verder
Ook die viskweker kon het, net als de tomatenkweker, prima een week uitzingen zonder Microsoft Office. “De kritische asset van het bedrijf zit dus ergens anders dan waar de verzekeraar vaak kijkt”, meent Van Oirschot. “Als jij je voordeur beveiligt met drie sterren ben je er ook niet. Een inbreker kijkt namelijk niet naar je voordeur. Hij loopt gelijk naar achteren of kijkt omhoog. Dat doet een cybercrimineel ook. Microsoft is goed beveiligd, of veel minder relevant voor de bedrijfscontinuïteit, dus kijkt hij een deurtje verder.”
Marcel van Oirschot (links) en dagvoorzitter Berry Looijen (rechts). Fotografie: Ivar Pel
Harde feiten
Volgens Van Oirschot moeten verzekeraars daarom op zoek naar harde feiten bij hun klanten. “U zegt dat de back-ups in orde zijn? Laat maar zien. Het wachtwoordbeleid is streng? Dat staat leuk op papier, maar werkt het ook in de praktijk?”
Hij geeft nog één voorbeeld. “Ik was pas bij een bedrijf in de Rotterdamse haven. Ik moest van alles doen voordat ik het terrein op kon. Melden bij een portier, langs de receptie. Diverse checkmomenten passeerden de revue. Vervolgens heb ik met zes man anderhalf uur zitten praten over security. Toen we klaar waren, zei mijn gastheer: ‘Je weet de weg naar de uitgang wel he?’ Dat is natuurlijk niet handig! Bezoek komt lastig binnen, maar kan vervolgens het hele gebouw door. Een goede beveiliging bestaat uit meerdere factoren. Zowel de technologische als de organisatorische maatregelen moeten kloppen.”
Europese richtlijn NIS-2 komt eraan
Er is geen ontkomen aan: vanaf 24 oktober 2024 treedt de Europese richtlijn NIS-2 in werking. Doel is om Europa veiliger en weerbaarder te maken tegen digitale aanvallen. En dat is hard nodig, meent Van Oirschot, “want we zijn 24/7 afhankelijk van digitale infrastructuur.”
NIS-2 zegt niet HOE je je organisatie moet inrichten, maar wel WAT je moet kunnen. “Je IT-hygiëne moet op orde zijn.” De richtlijn geldt voor veel bedrijven en de drempelwaarden zijn laag: vaak meer dan vijftig medewerkers of een omzet hoger dan vijftig miljoen. Verzekeraars vallen overigens niet onder deze richtlijn, zij moeten voldoen aan de DORA-verordening.
Daarnaast verplicht de richtlijn bedrijven ook om verder te kijken dan hun eigen neus lang is. “Ik snap wel dat de wet kritisch is op die supply chain”, besluit Van Oirschot. “Het is fijn als jij je IT-hygiëne op orde hebt, maar je bent ook afhankelijk van anderen. Als de tomaten bij de kweker zijn geplukt, worden ze elders verpakt, gaan vervolgens naar de veiling en liggen daarna pas in de winkel. Die afhankelijkheid toont wel aan dat we allemaal kritische vragen moeten stellen. Als ik ervoor zorg dat mijn huis veilig is, maar bij mijn buurman ligt een ladder klaar in de tuin, kan die inbreker ook bij mij naar binnen.”
Nieuwsgierig of jouw organisatie aan de richtlijn moet voldoen? Check het via de online tool.
Was dit nuttig?