De onheilsprofeet, tegen wil en dank
Regelmatig schrijf ik in deze column over Cyber Security, oftewel digitale veiligheid. Het is niet mijn bedoeling om als onheilsprofeet te klinken, maar dat risico neem ik graag. Ik verzorg ook graag lezingen over dit onderwerp, voor ondernemers, medewerkers en verenigingen. Het blijft een thema dat iedereen raakt.
In die lezingen neem ik mijn publiek graag mee naar het begin: ruim 40 jaar geleden, toen de eerste computers hun intrede deden. Toetsaanslagen erin, verwerking in de computer, en op de matrixprinter rolde het resultaat eruit. Hoe anders is dat nu. Alles is digitaal verbonden. Dat levert ongekende efficientie op, maar heeft ook een arsenaal aan risico’s naar binnen gebracht.
Oplichters zijn van alle tijden, maar via internet vervaagt afstand en neemt de pakkans dramatisch af. Anonimiteit en beperkte opsporingsmogelijkheden in verre landen spelen deze criminelen in de kaart.
Nog altijd gaan mensen voor de bijl bij de zogenoemde bankmedewerker, soms zonder dat er zelfs een computer aan te pas komt. Ondertussen delen we accounts, gebruiken varianten van wachtwoorden telkens opnieuw en bewaren ze in browsers. Op social media en LinkedIn delen we massaal onze gegevens. Zo wordt CEO-fraude steeds eenvoudiger, tegenwoordig zelfs met AI gegenereerde voicemails. De tijd van mailtjes in slecht Nederlands liggen al lang achter ons.
Phishing groeit daarin mee. Mails lijken (of zijn) afkomstig van bekenden die iets met je willen delen. Zelfs 2FA-codes worden mee afgetroggeld. Daarna verstuurt de aanvaller vanuit het echte mailboxaccount weer nieuwe phishingmails of vervalste facturen. Internationaal opererende bedrijven zijn vaker het doelwit, want dan valt een afwijkende IBAN minder snel op.
Het aantal hacks, datalekken en ransomware-aanvallen is schrikbarend. Waarom kan ICT niet gewoon veilig, wordt mij vaak gevraagd. Omdat het altijd balanceert ergens tussen heel gemakkelijk en heel goed beveiligd. De uitersten zijn daarbij sowieso niet acceptabel.
Ransomware blijft de grootste schadepost. Bedrijven worden zorgvuldig maar volledig platgelegd. Als back-ups onbruikbaar zijn gemaakt, is betaling vaak de enige uitweg. De onderhandelingen verlopen via keurige klantenservices van de aanvallers. Heropbouw zonder betaling leidt tot nieuwe chantage, bij het weigeren te betalen worden alle gestolen bedrijfsgegevens geopenbaard.
De KNVB zette back-ups terug maar betaalde uiteindelijk toch, nadat gedreigd werd met openbaarmaking. Omrin weigerde te betalen en moest dat bekopen met een dump van alle bedrijfsgegevens op het darkweb. En soms komt de eerste ingang niet van buiten. Medewerkers worden verleid om mee te werken, tegen 30 procent van de opbrengst. De recente hack bij het Openbaar Ministerie, met een maandenlange nasleep, laat zien hoe maatschappij-ontwrichtend een hack kan zijn.
Digitale autonomie, afhankelijkheid van toeleveranciers en risico’s de leveranciersketen verdienen minstens zoveel aandacht. Vaak kom ik bij mijn lezingen tijd te kort, omdat er gewoon heel veel speelt maar ook door de vele vragen uit de zaal.
Tijdens mijn lezingen probeer ik inzicht te geven in de achtergronden, opdat organisaties bewuster worden van hun risico’s en mensen van hun eigen online gedrag. Ik probeer hiermee de cyberweerbaarheid in onze noordelijke regio te vergroten en ik hoop dat nog lang te mogen blijven doen. Zolang het nodig is!
Ronald Zijlstra, ondernemer bij Oké-PC IT
ronald@okepc.nl