Eén moment van onoplettendheid zet je op de rand van faillissement

Eén moment van onoplettendheid zet je op de rand van faillissement

Maria Genova, journalist, auteur en expert op het gebied van cybercrime, waarschuwt dat we allemaal gevoelig zijn voor gevaarlijke e-mails. Je klikt bijvoorbeeld sneller onbedachtzaam op een e-mail over je vakantiedagen of het kerstpakket en haalt zo gijzelsoftware binnen. Dat brengt de bedrijfscontinuïteit in gevaar.

We zijn als gebruikers misschien te naïef als het op digitale zaken aankomt. Genova vergelijkt het vaak met iemand op straat die om je adresboek vraagt. Daar zeg je 'nee' tegen. Maar tegen een app die alle contactgegevens wil, zeg je sneller zonder na te denken 'ja'. We staan te weinig stil bij wat er kan gebeuren als we gegevens uit handen geven. “Medewerkers denken dat wat zij doen niet belangrijk genoeg is voor een crimineel. Ze zien daarom de gevolgen niet.”

Elk bedrijf is interessant

“Bij bijna alle organisaties valt wel iets te halen. Veel mensen denken misschien ‘wat is de waarde?’ Maar gegevens worden gehackt, verkocht en doorverkocht.” Bijna elk bedrijf is interessant en ook bijna iedere medewerker is een potentiële ingang. Een aanvaller die eenmaal binnen is via een receptionist vindt zijn weg naar belangrijkere gegevens via gaten in de infrastructuur die niet zijn afgedekt.

“ICT-afdelingen lopen altijd achter, omdat updates moeten worden getest en toegepast.” De top vijf van vaakst gebruikte kwetsbaarheden bestaat uit oude gaten in systemen van onder meer Microsoft en Citrix. Dat ging soms zelfs om kwetsbaarheden die de softwaremaker in 2017 repareerde met een update. Deze updates zijn dus nog niet breed genoeg toegepast.

Dat betekent dat medewerkers zich helaas te veilig wanen. “Bij grote bedrijven kun je gewoon stellen dat er altijd gaten in het systeem zitten”, weet de beveiligingsdeskundige. “Simpelweg omdat er te veel programma’s draaien die nog niet up-to-date zijn. Dat verhaal moeten bedrijven aan medewerkers vertellen: dat ze extra voorzichtig moeten zijn omdat technologie niet alles opvangt. Waarom de beste IT-afdeling ter wereld ze niet altijd kan beschermen. En waar ze op moeten letten.”

Confronterende vragen

Van het vertellen van dat verhaal wordt Genova zelf ook enthousiast. Ze praat graag met bedrijven om aan medewerkers uit te leggen hoe ze een hack kunnen voorkomen. “Tijdens presentaties vind ik het superleuk om in gesprek te gaan met medewerkers. Niet alleen om ze tips te geven, maar ook om ze confronterende vragen te stellen. Ik geef ze graag de gelegenheid zich te verplaatsen in de rol van een hacker. Dan verzinnen ze vaak heel leuke ideeën van hoe zoiets zou werken bij hun eigen bedrijf.”

Vroeger leerden we dat een gevaarlijke e-mail spelfouten had of van een onbekende afzender was. Met de komst van AI is dat eerste vaak geen probleem meer: criminelen stellen keurige vertalingen op en effectieve e-mails.

Ook het tweede pareert een crimineel eenvoudig. “Als een aanvaller zich een beetje verdiept in een bedrijf kan hij heel effectieve mails sturen. Bijvoorbeeld door een factuur en een e-mail te kopiëren die helemaal lijken te kloppen, maar dan is er bijvoorbeeld één lettertje verschil in de naam. En dan gaat het geld naar een verkeerde rekening.”

Een pijnlijk voorbeeld van zo’n actie is de CEO-fraude bij Pathé in 2018. Criminelen weten bovendien goed waar we op zouden klikken. “Bijvoorbeeld een mailtje over een nieuwe interne regeling, iets over kerstcadeautjes of hoeveel vakantiedagen je nog over hebt.”

Bewust zijn van risico’s

Scherp zijn op mogelijke fraude is één ding, maar we laten allemaal wel eens iets door onze handen glippen. Zelfs menig ICT-beveiliger heeft wel eens op een maandagmorgen voor de koffie op een onbetrouwbare link geklikt. “We blijven mensen. We kunnen natuurlijk niet 24 uur per dag gaan opletten, maar ik denk dat het al beter gaat als we ons iets beter bewust zouden zijn van de risico’s. Een geschrokken medewerker let veel beter op, dus awareness is belangrijk.”

Ransomware, software die bestanden versleutelt, is de laatste tijd weer in opkomst, merkt Genova. “Dat soort malafide software groeit al jaren, maar is inmiddels verplaatst van een dreiging die vooral consumenten raakte naar eentje waarbij de criminelen erachter zich meer richten op bedrijven.

“Vaak ook nog op specifieke bedrijven in bepaalde sectoren waar de urgentie hoog is om weer te kunnen werken. Bijvoorbeeld in de zorgsector, in de logistiek of bij productiebedrijven. Criminelen hebben gemerkt dat deze bedrijven sneller bereid zijn te betalen dan een organisatie die wat meer speling heeft om systemen op te ruimen en die back-ups op orde heeft.”

Toch niet de beloofde sleutel

“Bij veel organisaties wordt de continuïteit door een ransomwareaanval bedreigd, want meestal zijn de back-ups ook in handen van de criminelen”, zegt Genova. “Of ze hebben wel back-ups, maar geen goede. Je bent ook zo lang onbereikbaar voor klanten dat je dan toch het risico neemt te betalen”, zegt de deskundige.

Dat blijft een risico, want bijvoorbeeld bij de zogeheten REvil-aanval kreeg 92 procent na betaling vervolgens toch niet de beloofde sleutel om de bestanden te openen. Bovendien bleek in 2022 dat 80 procent van de bedrijven die overstag ging met een betaling later opnieuw werd geraakt. Criminelen hebben gemerkt dat het betalende bedrijf een doelwit is waarmee ze zaken kunnen doen.’

Waarom gaat het toch zo vaak mis? Beschouwen we beveiliging tegen digitale criminaliteit misschien te veel als een compliance-issue? “Het is altijd goed om afvinklijstjes te hebben en die af te gaan. Het probleem is alleen dat criminelen daar niet mee bezig zijn. De lijstjes zijn papier en kijken minder naar de techniek. Je hebt zelfs cybersecuritybedrijven, bij wie alles op orde is, die slachtoffer worden.

“Aanvallers hebben maar één klein moment van onoplettendheid nodig om binnen te komen. Dan blijkt dat iemand toch een wachtwoord gebruikte dat wel sterk was, maar dat hij ook op de sportschool gebruikte. Die sportschool is gehackt, waarna criminelen de combinatie van e-mailadres en wachtwoord op andere plekken proberen.”

Randje faillissement

“Ik vind het de rol van financials om niet alleen vinkjes te zetten. Kijk dus niet alleen of er tweefactorauthenticatie wordt gebruikt. Je moet ook kritische vragen stellen. Je ziet dat veel aanvallen tegenwoordig via IT-bedrijven lopen. Dus vraag aan je ICT-bedrijf: ‘Hoe is dat bij jullie geregeld?’

“Want elk bedrijf is afhankelijk van ICT. Of je nu een bakker, een boer of een autobedrijf bent. Als je computersysteem platligt, kun je geen warme broodjes meer leveren. Als je als boer je mestboekhouding kwijt bent, levert dat een enorme boete op. Dat soort verhalen hoor ik elke week. Gewone bedrijven staan op het randje van faillissement omdat ze dit niet konden oplossen.”

Foto: Frank Versteeg

Henk-Jan Buist

Henk-Jan Buist

Webredacteur

Henk-Jan Buist is webredacteur bij CM: (CMweb) en Finance Academy E-learning. Hij werkt sinds 2020 bij VMN Media als financieel journalist. Hij is daarnaast gespecialiseerd in technologie en houdt zich graag bezig met ontwikkelingen op het gebied van fintech en wat AI betekent voor financials. Ook schrijft hij regelmatig tutorials over Excel en Power Query. Voordat hij bij cm: aan de slag ging, werkte Henk-Jan als journalist bij onder meer technologiesites Computerworld, Webwereld en CIO.nl.

Ondernemers zetten cybersubsidie meest in voor back-ups

Ondernemers zetten cybersubsidie meest in voor back-ups

Ondernemers gebruiken de subsidie Mijn Cyberweerbare Zaak het meest voor herstelopties na een incident. Daarna volgen preventieve maatregelen als antivirussoftware en netwerkbeveiliging. Mkb-ondernemers kunnen deze subsidie nog aanvragen tot 31 december.

Is een dringend verzoek van de CFO wel echt van de CFO?

Is een dringend verzoek van de CFO wel echt van de CFO?

IT-beveiliging draait deels om techniek, maar voor een flink deel om mensen. Als controller kun je bijvoorbeeld niet blind vertrouwen op technologie, maar moet je het zien wanneer een opdracht van de CFO niet daadwerkelijk van de CFO komt. Dat is knap lastig aan het worden. Cm: spreekt Tim Blok, Chief Technology Officer van Onguard over deze uitdaging.

Cyberveilig Nederland publiceert Whitepaper Data-exfiltratie met Politie, OM en NCSC

Cyberveilig Nederland publiceert Whitepaper Data-exfiltratie met...

<p>Cyberveilig Nederland (CVNL) heeft het Whitepaper Data-exfiltratie gepubliceerd. Dit whitepaper is tot stand gekomen door een samenwerking tussen het Nationaal Cyber Security Centrum (NCSC), de politie, het Openbaar Ministerie en verschillende van leden die slachtoffers van een ransomware-aanval ondersteunen. Doel van het whitepaper is het krijgen van inzicht in data-exfiltratie, het creëren van bewustwording en </p>

Cyberdreigingen: Overheid gaat ondernemers informeren over actuele risico's

Cyberdreigingen: Overheid gaat ondernemers informeren over actuele...

Het kabinet werkt aan een wetsvoorstel om voortaan alle ondernemers te informeren over actuele IT-dreigingen, kwetsbaarheden en incidenten. Nu worden alleen bedrijven die onderdeel zijn van de vitale infrastructuur, bijvoorbeeld energiemaatschappijen, actief geïnformeerd over actuele dreigingen. Het Digital Trust Center (DTC) biedt bedrijven informatie en advies over beschermingsmaatregelen en informeert ondernemers over digitale dreigingen en

FIOD pakt ondernemer op wegens bpm-fraude

FIOD pakt ondernemer op wegens bpm-fraude

Een ondernemer die actief is in de autobranche, gaf vermoedelijk een lagere dagwaarde van auto's op in de aangifte dan het geval was. De FIOD heeft hem aangehouden.

Veroordeelde ondernemer fraudeert opnieuw

Veroordeelde ondernemer fraudeert opnieuw

Een ondernemer gaf minder omzet op dan binnenkwam op de zakelijke rekening. Ook overlegde hij ter onderbouwing vermoedelijk valse facturen. Hij werd al eens eerder veroordeeld wegens belastingfraude en had een bestuursverbod.

Bestuurder failliet bedrijf verdacht van faillissementsfraude

Bestuurder failliet bedrijf verdacht van faillissementsfraude

Een bedrijf dat in 2022 failliet is verklaard kon geen administratie overleggen na vragen van de curator. Daarnaast boekte de bestuurder ervan forse bedragen over naar privérekeningen toen het slechter ging met de onderneming.

Ook accountantskantoor EY ontdekt fraude met toetsen

Ook accountantskantoor EY ontdekt fraude met toetsen

Bij accountantskantoor Ernst & Young is ook examenfraude ontdekt. Dit meldt EY in zijn transparantieverslag over 2023 en 2024. Bij andere accountantskantoren is de fraude met toetsen al eerder ontdekt.

Onderzoek: kwart organisaties niet voorbereid op cyberaanval

Onderzoek: kwart organisaties niet voorbereid op cyberaanval

Ongeveer een kwart van alle middelgrote en grote Nederlandse organisaties is onvoldoende voorbereid op een cyberdreiging, komt naar voren uit een onderzoek van Motivaction in opdracht van KPN. IT-managers maken zich vooral zorgen over mogelijke diefstal van privacygevoelige gegevens. Ook zijn er zorgen over bedrijfsonderbrekingen, reputatieschade, financiële verliezen door omzetderving en diefstal van bedrijfsgevoelige informatie.

Jaar uitstel voor ICT-verplichtingen uit NIS2

Jaar uitstel voor ICT-verplichtingen uit NIS2

Nederland heeft de implementatiedeadline voor de Europese digitale wetgeving NIS2 niet gehaald. Daaronder moeten meer bedrijven voldoen aan ICT-beveiligingseisen. De inwerkingtreding is nu het derde kwartaal van 2025.

Ondernemer verdacht van fraude met omzetbelasting

Ondernemer verdacht van fraude met omzetbelasting

Financiële opsporingsdienst FIOD heeft een ondernemer aangehouden voor vermoedelijke belastingfraude. Een tweede verdachte zou geld hebben witgewassen.

Alle subsidies voor cybersecurity op één plek

Alle subsidies voor cybersecurity op één plek

Alle subsidies die ondernemers kunnen inzetten voor het verbeteren van hun digitale beveiliging zijn in één portaal terug te vinden bij RVO.