Er valt nog veel te leren over cyberveiligheid

Het Conference Center op de High Tech Campus in Eindhoven was dinsdag 8 september 2020 groot genoeg voor het eerste Cyber Event van het Cyber Weerbaarheidscentrum Brainport (CBW). Deze corona-bestendige bijeenkomst was mogelijk gemaakt door het Platform Veilig Ondernemen en het Centrum voor Criminaliteitspreventie en Veiligheid.

De organisatoren hadden tot doel om de bewustwording van ondernemers te verbeteren. Want cyberveiligheid is nog altijd een ondergeschoven kindje in het bedrijfsleven en het MKB in het bijzonder. Uit een rapport van onderzoeksbureau Forrester dat in juli verscheen, blijkt dat 68 procent niet is voorbereid op een cyberaanval. Bij bedrijven tot tien medewerkers stijgt dit aantal zelfs naar 82 procent. 

Daar zijn meerdere excuses voor te bedenken, zoals het gebrek aan tijd, geld en begrip van IT. Verder wordt er nog altijd gedacht dat men veilig is als de IT uitbesteed is aan een gespecialiseerd bedrijf en dat men de dans zal ontspringen omdat er niets te halen zou zijn. 

Vier sprekers bewezen het tegendeel. Waaronder de ervaringsdeskundige ondernemer Xander Koppelmans, die zwaar te lijden heeft gehad van een cyberaanval. “Uw data heeft geen waarde voor een hacker, maar wel voor u”, hield hij zijn gehoor voor. "En een hack of ddos-aanval valt voor een luttel bedrag te kopen", wisten hij en collega-spreker Sandra Konings (BDO), die opmerkte dat zo’n ddos-aanval in Nederland legaal te koop is, maar illegaal in het gebruik.

Risico’s
Konings spreekt overigens liever van digitale verstoringen in plaats van cyberaanvallen omdat het niet altijd om cybercriminaliteit gaat. Dat toonde ze aan met een voorbeeld uit de praktijk, toen een fabrieksmedewerker zijn telefoon wilde opladen. Daarvoor gebruikte hij een usb-poort van de hoofdmachine in de fabriek, die daarop uitviel. Wat bleek? De gsm was geïnfecteerd met een virus, dat geen effect had op de telefoon, maar wel op de machine. “Daar had ik zelf nooit bij stilgestaan, maar het snoertje is zowel voor stroom als voor data. Dus welke risico’s loop je wel niet als je oplaadt in het openbaar vervoer?” 

Ze vroeg de aanwezigen eens na te denken over de gevolgen van een cyberincident dat het bedrijf plat legt. “Wat kost een dag? Wat kosten drie dagen? Wat kun je inhalen?” Tenslotte heeft niet iedereen het ‘geluk’ van een transportbedrijf dat op vrijdag in de problemen kwam en het weekend kon gebruiken voor herstel. Verder adviseerde ze zeker ook te kijken naar de afhankelijkheid van andere instanties waarmee wordt samengewerkt. Want toen de APM containerterminals in Rotterdam onbruikbaar waren door een hack, kon bijvoorbeeld een aardappelproducent zijn verse producten een week lang niet verschepen. 

Tips
Ze adviseert om verschillende soorten detectie in te richten. Apart voor kantoor én voor de fabriek. Daarbij pleit ze om zoveel mogelijk te updaten, al beseft ze dat dit lastiger is in een fabriek. Want als er bijvoorbeeld sprake is van een Kemakeur, moet die na een update opnieuw worden aangevraagd. Andere tips zijn: eisen stellen aan leveranciers - zeker over goed gepatched, geïntegreerde software; uitleggen, trainen en oefenen; samenwerken met instanties zoals de stichting Cyber Weerbaarheidscentrum Brainport en maatregelen nemen die moeten, zonder een onwerkbare situatie te creëren. “Sla niet door”, benadrukte Konings. 
Dat sloot naadloos aan bij het verhaal van Pepijn Vissers van Chapter8. “Ter verdediging enkel een slotgracht aanleggen, is een gepasseerd station. Ga er van uit dat er iemand binnen komt, want honderd procent inzicht hebben in de complexe systemen van tegenwoordig, kan niet meer. IT is constante chaos. Dus bescherm je ‘kroonjuwelen’ oftewel dat wat wezenlijk is voor het bedrijf en de bedrijfsvoering, want criminaliteit zal er altijd zijn. En zorg voor detectie.”  
Andere adviezen kwamen van Xander Koppelmans die duidelijk lering heeft getrokken uit de hack waarmee zijn bedrijf enkele jaren geleden te maken kreeg. Zo heeft hij een wachtwoordmanager aangeschaft en gebruikt nu enkel nog wachtwoorden van twintig tot dertig karakters. “Alles tot tien karakters is simpel te kraken”, zei de ondernemer, die tegenwoordig regelmatig een ethisch hacker inschakelt om te laten zoeken naar zwakke plekken in het bedrijfsnetwerk. “Tegen een gerichte, handmatige aanval uit wraak of in opdracht valt niet te verdedigen”, meent Koppelmans, “maar tegen algemene, geautomatiseerde ‘sleepnet’-pogingen zoals phishing en ransomware wel. Hiervan zijn er duizenden tegelijk en het percentage dat toehapt, is winst.” 

Vergaande gevolgen
"Als dergelijk kwaad is geschied, heeft dat vaak vergaande gevolgen", vertelde Maarten van Wieren, Managing Director van Aon’s Cyber Solutions. Want de schade loopt enorm op als een bedrijf niet kan draaien. Dan zijn bedragen van enkele tonnen eerder regel dan uitzondering, zoals Koppelmans heeft ondervonden. Beide mannen wezen erop dat het risico op een cyberincident van één op acht vele malen hoger is dan het risico op brand (1:8.000), waarvoor de meeste ondernemers wel verzekerd zijn.
Het belang van een cyberverzekering past ook bij de hedendaagse trends in het bedrijfsleven, waar sprake is van digitalisering, concentratie, verbinding en integratie. Wie de cyberrisico’s die dit met zich meebrengt, wil beheersen, is hierdoor niet klaar met een goed slot op de deur (lees: systemen). Eveneens vereist zijn camera’s (lees: detectie), bij voorkeur in combinatie met een bewaker met hond (lees: toezichthouder) die kan ingrijpen als het nodig is. 
Daarbij pleitte het Cyber Weerbaarheidscentrum Brainport ervoor om vooral de samenwerking te zoeken en zo onderling de cyberweerbaarheid te vergroten. Allemaal het eigen wiel uitvinden, is niet nodig, want via de stichting delen aangesloten bedrijven in de hightech- en maakindustrie kennis, ervaringen en waarschuwingen om elkaar te behoeden voor veel ellende. Hierin speelt het CWB zelf ook een grote rol en mag  – als één van de weinige organisaties in Nederland – de dreigingsinformatie van het Nationaal Cyber Security Centrum delen met haar participanten. Tot voor kort waren die berichten enkel beschikbaar voor vitale sectoren, zoals banken, energiebedrijven en openbaar vervoer. 

Wezenlijk
Blijft buiten kijf staan dat cyberincidenten de continuïteit van elk bedrijf bedreigen. Om die veilig te stellen,  adviseren de sprekers op het Cyber Event om je onderneming te laten scannen en vooral maar eens te oefenen. Want dat maakt snel duidelijk wat van wezenlijk belang is. Misschien is dat wel iets simpels als een apparaat dat houdbaarheidsdata op verpakkingen drukt. Als je weet dat die cruciaal is, zorg dan voor een back-upplan. Desnoods in de vorm van een stempel met inktkussen.