We zijn als gebruikers misschien te naïef als het op digitale zaken aankomt. Genova vergelijkt het vaak met iemand op straat die om je adresboek vraagt. Daar zeg je 'nee' tegen. Maar tegen een app die alle contactgegevens wil, zeg je sneller zonder na te denken 'ja'. We staan te weinig stil bij wat er kan gebeuren als we gegevens uit handen geven. ‘Medewerkers denken dat wat zij doen niet belangrijk genoeg is voor een crimineel. Ze zien daarom de gevolgen niet.’
Elk bedrijf is interessant
‘Bij bijna alle organisaties valt wel iets te halen. Veel mensen denken misschien “wat is de waarde?”. Maar gegevens worden gehackt, verkocht en doorverkocht.’ Bijna elk bedrijf is interessant en ook bijna iedere medewerker is een potentiële ingang. Een aanvaller die eenmaal binnen is via een receptionist vindt zijn weg naar belangrijkere gegevens via gaten in de infrastructuur die niet zijn afgedekt. ‘IT-afdelingen lopen altijd achter, omdat updates moeten worden getest en toegepast.’ De top vijf van vaakst gebruikte kwetsbaarheden bestond vorig jaar uit oude gaten in systemen van onder meer Microsoft en Citrix. Dat ging soms zelfs om kwetsbaarheden die de softwaremaker in 2017 repareerde met een update. Deze updates zijn dus nog niet breed genoeg toegepast.
Dat betekent dat medewerkers zich vaak te veilig wanen. ‘Bij grote bedrijven kun je gewoon stellen dat er altijd gaten in het systeem zitten. Simpelweg omdat er te veel programma’s draaien die nog niet up-to-date zijn. Dat verhaal moeten bedrijven aan medewerkers vertellen: dat ze extra voorzichtig moeten zijn omdat technologie niet alles opvangt. Waarom de beste IT-afdeling ter wereld ze niet altijd kan beschermen. En waar ze op moeten letten.’
Confronterende vragen
Van het vertellen van dat verhaal wordt Genova zelf ook enthousiast. Ze praat graag met bedrijven om aan medewerkers uit te leggen hoe ze een hack kunnen voorkomen. ‘Tijdens presentaties vind ik het superleuk om in gesprek te gaan met medewerkers. Niet alleen om ze tips te geven, maar ook om ze confronterende vragen te stellen. Ik geef ze graag de gelegenheid zich te verplaatsen in de rol van een hacker. Dan verzinnen ze vaak heel leuke ideeën van hoe zoiets zou werken bij hun eigen bedrijf.’
Vroeger leerden we dat een gevaarlijke e-mail spelfouten had of van een onbekende afzender was. Met de komst van AI is dat eerste vaak geen probleem meer: criminelen stellen keurige vertalingen op en effectieve e-mails. Ook het tweede pareert een crimineel eenvoudig. ‘Als een aanvaller zich een beetje verdiept in een bedrijf kan hij heel effectieve mails sturen. Bijvoorbeeld door een factuur en een e-mail te kopiëren die helemaal lijken te kloppen, maar dan is er bijvoorbeeld één lettertje verschil in de naam. En dan gaat het geld naar een verkeerde rekening.’ Een pijnlijk voorbeeld van zo’n actie is de ceo-fraude bij Pathé in 2018. Criminelen weten bovendien goed waar we op zouden klikken. ‘Bijvoorbeeld een mailtje over een nieuwe interne regeling, iets over kerstcadeautjes of hoeveel vakantiedagen je nog over hebt.'
Bewust zijn van risico’s
Scherp zijn op mogelijke fraude is één ding, maar we laten allemaal wel eens iets door onze handen glippen. Zelfs menig IT-beveiliger heeft wel eens op een maandagmorgen voor de koffie op een onbetrouwbare link geklikt. ‘We blijven mensen. We kunnen natuurlijk niet 24 uur per dag gaan opletten, maar ik denk dat het al beter gaat als we ons iets beter bewust zouden zijn van de risico’s. Een geschrokken medewerker let veel beter op, dus awareness is belangrijk.’
Ransomware, software die bestanden versleutelt, is de laatste tijd weer in opkomst, merkt Genova. ‘Dat soort malafide software groeit al jaren, maar is inmiddels verplaatst van een dreiging die vooral consumenten raakte naar eentje waarbij de criminelen erachter zich meer richten op bedrijven. Vaak ook nog op specifieke bedrijven in bepaalde sectoren waar de urgentie hoog is om weer te kunnen werken. Bijvoorbeeld in de zorgsector, in de logistiek of bij productiebedrijven. Criminelen hebben gemerkt dat deze bedrijven sneller bereid zijn te betalen dan een organisatie die wat meer speling heeft om systemen op te ruimen en die back-ups op orde heeft.’
Toch niet de beloofde sleutel
‘Bij veel organisaties wordt de continuïteit door een ransomwareaanval bedreigd, want meestal zijn de back-ups ook in handen van de criminelen’, zegt Genova. ‘Of ze hebben wel back-ups, maar geen goede. Je bent ook zo lang onbereikbaar voor klanten dat je dan toch het risico neemt te betalen’, zegt de deskundige. Dat blijft een risico, want bijvoorbeeld bij de zogeheten REvil-aanval kreeg 92 procent na betaling vervolgens toch niet de beloofde sleutel om de bestanden te openen. Bovendien bleek in 2022 dat 80 procent van de bedrijven die overstag ging met een betaling later opnieuw werd geraakt. Criminelen hebben gemerkt dat het betalende bedrijf een doelwit is waarmee ze zaken kunnen doen.’
Waarom gaat het toch zo vaak mis? Beschouwen we beveiliging tegen digitale criminaliteit misschien te veel als een compliance-issue? ‘Het is altijd goed afvinklijstjes te hebben en die af te gaan. Het probleem is alleen dat criminelen daar niet mee bezig zijn. De lijstjes zijn papier en kijken minder naar de techniek. Je hebt zelfs cybersecuritybedrijven, bij wie alles op orde is, die slachtoffer worden. Aanvallers hebben maar één klein moment van onoplettendheid nodig om binnen te komen. Dan blijkt dat iemand toch een wachtwoord gebruikte dat wel sterk was, maar dat hij ook op de sportschool gebruikte. Die sportschool is gehackt, waarna criminelen de combinatie van e-mailadres en wachtwoord op andere plekken proberen.’
Kritische vragen stellen
‘Ik vind het de rol van financials om niet alleen vinkjes te zetten. Kijk dus niet alleen of er tweefactorauthenticatie wordt gebruikt. Ze moeten ook kritische vragen stellen. Je ziet dat veel aanvallen tegenwoordig via IT-bedrijven lopen. Dus vraag aan je IT-bedrijf: “Hoe is dat bij jullie geregeld?” Want elk bedrijf is afhankelijk van IT. Of je nu een bakker, een boer of een autobedrijf bent. Als je computersysteem platligt, kun je geen warme broodjes meer leveren. Als je als boer je mestboekhouding kwijt bent, levert dat een enorme boete op. Dat soort verhalen hoor ik elke week. Gewone bedrijven staan op het randje van faillissement omdat ze dit niet konden oplossen.’
Foto: Frank Versteeg
