Cybercrime: niet óf maar wanneer je aan de beurt bent

Het was een drukbezochte bijeenkomst van OBGB bij Landgoed de Biestheuvel. Kort voor de zomervakantie en dus stond de jaarlijkse barbecue op het programma. Voorafgaand aan het eten, stond er nog een interessant onderwerp op de rol. Presentator Ewout Genemans verzekerde de bezoekers dat de sfeer aardig verpest ging worden door het thema: cybercrime.

Geen risico maar een feit
Wie kwam voor een opwekkend praatje werd teleurgesteld. Toch deden vrijwel alle bezoekers hun voordeel met de bijeenkomst: ze gaan hun beveiliging nog eens onder de loep nemen. Burgemeester Bosma opende de bijeenkomst voor ondernemers met een anekdote uit zijn studententijd, waarin hij tweedehands computers aan de man bracht. “Het was in de tijd dat er nog geen internet bestond, een netwerk moest nog uitgevonden worden en elke computer was een unit op zich. Cybercrime was niet aan de orde. Hoe anders is dat nu; álles maar dan ook álles is met elkaar verbonden en dus ligt een vervelende aanval op de loer. Kraken ze één computer dan ligt je hele systeem plat. Voorkomen kun je het nauwelijks, maar door je systemen ‘in stukjes te knippen’ is te voorkomen dat alles overgenomen wordt door criminelen. Cybercrime: het is geen risico meer maar een feit.”

Nachtmerrie
Dat laatste weet Ad van Hoof van Formula Air uit Beek en Donk. Zijn bedrijf werd in 2019 aangevallen, platgelegd en gegijzeld. “Eerlijk gezegd heb ik getwijfeld of ik mijn verhaal zou vertellen, maar ik doe het toch. Het kan namelijk iedere ondernemer overkomen. Ik heb me geschaamd omdat ik dacht dat mijn bedrijfsgegevens niet voldoende beveiligd waren. Dat waren ze wél en toch lukte het de criminelen om binnen te komen.” Zijn verhaal is aangrijpend: hoe hij ’s morgens de pc’s niet op kon starten, zijn ICT afdeling dacht dat het met een uurtje of twee wel weer aan de gang zou zijn. Toen het bericht van de gijzelnemers binnenkwam, wist hij dat het goed mis was. “Het losgeld was vijf Bitcoin. Mijn eerste reactie was: niet betalen, maar uiteindelijk ben ik een veelvoud van het bedrag kwijtgeraakt. Om nieuwe systemen te bouwen, op te ruimen wat kapot was, experts in te huren en om alles te herstellen wat weg was. Ik geloof dat ik wekenlang niet geslapen heb; het mijn klanten te moeten vertellen wat er was gebeurd was nog het ergst. Want wie garandeerde mij dat ze via onze systemen ook niet in de systemen van hen zouden kunnen inbreken? Het was een nachtmerrie die nog lang doorgedreund heeft in mijn hoofd en in het bedrijf.”

Binnen door een paar muisklikken
Betalen of niet, dat is voor veel ondernemers de vraag. Peter Lahousse, ethisch hacker en onderzoeker bij de politie heeft het antwoord: “Hoe stom het ook klinkt, maar betalen is het slimst wat je kunt doen. Daarmee krijg je namelijk de sleutels van je bedrijf terug. Er zijn groeperingen geweest die alleen het geld inden en daarna niets gaven maar die zijn geliquideerd, ze maakten het businessmodel kapot. Dat klinkt ontzettend krom en dat voelt ook zo, maar toch. Het is een keiharde wereld. Uiteraard is het zaak om te voorkomen dat ze je bedrijf digitaal binnen kunnen dringen.” Middels een presentatie liet Peter zien hoe ‘eenvoudig’ het soms is om bij de bedrijfsgegevens te komen. “Speel je het slim, dan is het soms in een paar muisklikken al gebeurd”, vertelt hij. “Je moet nadenken of er wat te halen is en via welke weg je ‘binnenwandelt’. Met één simpele verandering van een letter in een emailadres, kun je al medewerkers om de tuin leiden en het moment van het versturen van een fout linkje is essentieel.” Een paar van zijn tips: instrueer je personeel goed en begin met tweestapsverificatie, dan ben je al op de goede weg. En doe aangifte van elke kleine aanval, want alle informatie kan helpen om de bende die erachter zit op te sporen.

Tekst: Renate Pijnenburg.