Op woensdag 20 maart was er weer een leuke groep finance professionals aanwezig op het kantoor van Grip op finance voor de tweede kennisbijeenkomst van 2019 met als onderwerp cybersecurity. De sessie werd gehost door Wouter Parent, een hacker met ‘n pak aan en met een enorme passie voor het beveiligen van bedrijven tegen cybercriminelen. En zijn boodschap van de avond was; pas op! Want we wanen ons meestal veiliger dan we zijn. Hij nam ons op een enthousiaste manier mee in de wereld van de cybercrime en benoemde maatregelen en tips voor zowel privé als bedrijfsgebruikers.

The Black Swan theory

In de oude Westerse beschaving was de algemene theorie dat alle zwanen wit zijn. En het bewijs werd dagelijks geleverd. Overal waar je keek, zag je witte zwanen. Een zwarte zwaan is dus een metafoor van een hoogst onwaarschijnlijke gebeurtenis. Toen de Nederlandse ontdekkingsreiziger Willem de Vlamingh in 1697 in Australië arriveerde, ontdekte hij als eerste een groep zwarte zwanen. Weg theorie.

De Black Swan theorie is een metafoor voor een gebeurtenis die komt als een totale verrassing. Het gaat om grote, onverwachte gebeurtenissen die grote gevolgen hebben voor de toekomst en in de geschiedenispatronen niet terug te vinden zijn. Wouter gebruikte deze metafoor om ons wakker te schudden. We wanen ons veiliger dan we zijn.

Recente cybercrime voorbeelden

Er zijn recent nog een aantal voorbeelden te noemen van bedrijven die problemen hebben gehad door cyberaanvallen op hun ICT systeem. De gevolgen hiervan zijn vaak heel groot. Het kan soms maanden duren voordat de systemen weer helemaal goed draaien. Een grote internationale pakketten distributeur in Nederland werd in juni 2017 getroffen door een cyberaanval met zogenoemde ransomware. Dat is een virus dat computersystemen gijzelt zodat de makers losgeld kunnen eisen. Dit heeft groot effect gehad op de operationele processen en dit heeft daarmee ook effect op de financiële resultaten, in erge gevallen kan het zelfs leiden tot faillissement. Een ander voorbeeld dat ter sprake kwam was die van een 17 jarige scholier die het schoolsysteem had gekopieerd, waardoor alle docenten op de verkeerde site inlogden. Met hun gegevens kon hij cijfers aanpassen, leerlingendossiers bekijken en roosters aanpassen. Gelukkig was dit een luie student, die alleen geïnteresseerd was in het aanpassen van roosters in zijn persoonlijke voordeel.

Ook zijn er heel veel kleine ondernemers die grote sommen geld zijn kwijtgeraakt door aanvallen van ransomware en CEO fraudes. De laatstgenoemde zijn  vandaag de dag heel professioneel en uitgekiend. Een fraudeur doet zich voor als een hooggeplaatst persoon binnen een bedrijf, richt zich tot de medewerker die verantwoordelijk is voor betalingen en probeert zo grote bedragen binnen te halen. Bekende slachtoffers van CEO fraude zijn Facebook en Google, en in Nederland is dit recent nog gebeurd bij Pathé. Deze vorm van oplichting neemt toe en de Fraudehelpdesk ziet een verschuiving van Nederlandse vestigingen van internationale bedrijven naar het mkb en de non-profitsector.

In deze video van ABN AMRO wordt uitgelegd hoe de fraude werkt én wat een bedrijf er aan kan doen om het te voorkomen.

The Dark web

Maar waarom zou een kleinere organisatie of finance professional in Nederland zich druk moeten maken om cyberaanvallen? Dit is toch alleen gericht op overheden, banken of hele grote bedrijven waar veel te halen is?

Het antwoord hierop is nee. Het MKB is vaak minder goed beveiligd vergeleken met de grote corporates en 10x €10.000 is ook €100.000. Om te illustreren hoe relatief eenvoudig het is,  nam Wouter ons mee op het Dark Web, een soort Marktplaats of Ebay waar je als unanieme shopper allemaal diensten worden aangeboden door criminelen. Je kunt hierop bijv. 100 gehackte PayPal accounts met een totaal tegoed van €25.000 kopen voor een bedrag van €1.000. En je kan ook wapens kopen, of een gerichte cyberaanval bij een hacker bestellen voor een bedrag onder de €1.000. Zo zou het bijvoorbeeld je buurman kunnen zijn of een concurrent in de markt die een aanval op jouw bedrijf besteld, waardoor jouw bedrijf financiële schade oploopt.

Wees dus toch maar wat beter op de hoogte van de gevaren.

Live Hacking

Tijdens de sessie kwamen we erachter hoe makkelijk het is om de smartphones van onze deelnemers te hacken. Wouter deed dit tijdens de sessie door gebruik te maken van een device dat voor iets meer dan €100 legaal verkrijgbaar is. En hij gaf aan dat de meeste WIFI devices op zo’n manier heel eenvoudig te penetreren zijn. Dus ook het bedrijfsnetwerk of je netwerk thuis. Hiermee loop je heel veel risico met beschermen van bedrijfs- of persoonsgegevens. Kortom; hoe goed ben je eigenlijk beveiligd?

Praktische tips

Tijdens deze informatieve sessie heeft Wouter ook een aantal goede maatregelen meegegeven om de grote risico’s aan te pakken.

  • Zorg dat je alle devices (smartphone, laptop, tablet) goed beveiligd.
  • Maak gebruik van een VPN verbinding. VPN zorgt voor versleutelde data en daarmee voor veilig internetten, ook bij gebruik van openbare wifinetwerken (bijv. via GOOSE VPN).
  • Maak je wachtwoord minimaal 12 tekens lang. Hoe meer tekens, des te veiliger. Een wachtwoord van 12 in plaats van 8 tekens maakt het wachtwoord tot 80 miljoen keer zo sterk.
  • Of gebruik een wachtzin, die onthoud je makkelijker. Bijvoorbeeld: IkhouvanAutodrop
  • Gebruik verschillende wachtwoorden voor elke website en dienst. Een wachtwoordmanager kan hierbij helpen.
  • Welke wachtwoordmethode je ook hanteert, tweetrapsauthenticatie maakt het veiliger. Naast je wachtwoord heb je een tweede middel nodig om je te identificeren. Denk aan een sms, een apparaatje of een telefoon-app die een code genereert, zoals de app Google Authenticator.
  • Gebruik van gratis tools als Wetransfer en Dropbox is een groot risico, kies voor een betaald alternatief

Digitalisering en de toegenomen connectiviteit maken dat de beschikbaarheid van gevoelige gegevens van bedrijven ook sterk is toegenomen. De tijd waarin de verantwoordelijkheden van cybersecurity enkel en alleen bij de IT-afdeling ligt, is definitief voorbij. Na deze sessie beseften wij bij Grip dat we de nodige maatregelen moeten treffen om onszelf beter te beveiligen. Daar zijn we nu hard mee aan de slag.