Het was vorige week ‘de week van de cybercrime’ en dat was voor OBGB en OVBRM een mooie aanleiding om een informatiemiddag en training te verzorgen voor de lidbedrijven. Dat er belangstelling voor het onderwerp was, bleek uit het aantal gevulde stoelen in de bedrijfskantine van gastheer Kempen Plus..

Gehackt, en dan? 
Burgemeester Bosma opende de bijeenkomst door het stellen van een paar eenvoudige vragen. Is je bedrijf voorzien van beveiligingscamera’s en goede sloten? Daarop werd bevestigend geantwoord door alle aanwezigen. Bij de vraag of digitaal ook alles goed beveiligd is, sloeg de onzekerheid toe. Men dácht van wel maar helemaal zeker ben je pas als blijkt dat je gehackt bent. Dat overkwam begin dit jaar één van de lidbedrijven en de IT-manager van dat bedrijf vertelde openhartig over de problemen. “We dachten dat we alles goed in orde hadden maar in januari bleken ál onze bestanden ‘gecryptolocked’ te zijn. Níets was meer toegankelijk en werken was simpelweg onmogelijk. Met man en macht zijn we aan de slag gegaan om onze bestanden terug te halen, back-ups terug te plaatsen en de systemen weer operationeel te krijgen. Onze operatie heeft een aantal dagen stil gelegen.  Elk device moest namelijk gecheckt worden, níemand mocht het internet op zonder onze nadrukkelijke toestemming. Voor je alles weer op order hebt ben je zo een maand verder”

Makkelijk is gevaarlijk
Het betreffende bedrijf heeft vestigingen in meerdere landen en dat maakte het probleem alleen maar groter. “Uiteraard kregen we van de criminelen de mogelijkheid om te betalen om onze bestanden vrij te geven maar dat is nooit een optie geweest. Het is maar de vraag of ze met een eenmalig bedrag tevreden zouden zijn en daarbij: we gaan criminelen niet sponsoren. Het was véél werk maar we zijn er bovenop gekomen. We hebben daarna een legale hacker ingehuurd die voor ons gekeken heeft of alles weer veilig was en dat blijkt zo te zijn maar je zal mij  nóóit meer horen zeggen dat we prefect beschermd zijn. Dat heb ik ooit gedacht en dat bleek toch anders te zijn.”  De les die de IT-manager vooral geleerd heeft is: makkelijk is gevaarlijk. “Onze omgeving  was goed toegankelijk voor de medewerkers en  thuiswerkers, maar ook eenvoudiger voor de criminelen om binnen te komen. Al weten we niet precies of dat de oorzaak is geweest – er waren achteraf nog een paar zwakke punten meer – we hebben onze maatregelen getroffen en zijn digitaal iets minder gastvrij geworden.”

Kwetsbaar in de digitale wereld
Over de kwetsbaarheid in de digitale wereld, vertelde Luc Pluimakers van NFIR; dat bedrijf is gespecialiseerd in digitale veiligheid. In zekere zin trapte Pluimkaers een paar open deuren in maar vertelde daarbij dat het onvoorstelbaar is hoe slecht het bij sommige bedrijven gesteld is met veiligheid. Lange wachtwoorden zijn beter dan korte, was zo’n open deur. “Een wachtwoord van zes karakters kost een crimineel een paar uurtjes om te kraken, met een wachtwoord van twaalf karakters is hij een paar maanden bezig. Precies hetzelfde als met je huis: zet je de deur open, dan zijn ze zó binnen, heb je gekeurde sloten, dan gaan criminelen een deurtje verder, waar het wellicht makkelijker is.” Voor wie moeite heeft met het onthouden van – al die verschillende, want steeds dezelfde is een héél slecht idee – passwoorden, kan daarvoor een programma kopen. Dat kost niet veel en ondersteunt geweldig. Tweestapsverificatie bij het aanmelden voor applicaties zoals e-mail of financiële programma’s is een goed idee want dat werpt een extra drempel op om gekraakt te worden.”

Bewustwording
Phishing is bijna aan de orde van de dag. Pluimakers: “Vooral bij grotere bedrijven, wordt vaak op deze manier geprobeerd in te breken. Er wordt een mail gestuurd die refereert aan een bestelling en de medewerker op de administratie betaalt of klikt op de link. Mijn tip: creëer bewustwording bij de medewerkers. Geef aan dat het oké is om aan te geven dat ze iets niet vertrouwen. Zorg dat je als directie toegankelijk bent om onzekerheden te bespreken.” De wereld digitaliseert steeds verder en volgens Pluimakers moeten we ons afvragen wát we allemaal op het internet willen of moeten doen. “Dat je gegevens opslaat in de cloud is heel normaal geworden en in de meeste gevallen ook volstrekt veilig maar wil je echt je wasmachine of waterkoker op afstand kunnen bedienen? Is dat nodig? Het levert namelijk een extra risico op. Met redelijk eenvoudig aan te schaffen apparatuur is alles via de WiFi ‘af te luisteren’ en dús te hacken.”

Maatregelen
Goede applicaties, een beschermd WiFi-netwerk, bewustwording bij werknemers, een goed anti-virusprogramma, tweestapsverificatie: het zijn een aantal mogelijkheden om je beter te beschermen in de digitale wereld. Pluimakers is niet zeker of álles te voorkomen is maar bedrijven – en particulieren trouwens ook –  kunnen zelf héél veel doen om het een beetje veiliger te maken. “Voor grote bedrijven is het aan te raden een ‘pen-test’ te laten doen, waarbij hackers proberen om in de systemen te komen. Door ze zelf uit te nodigen, weet je dat er geen gegevens in de openbaarheid komen of versleuteld worden én of je bedrijf voldoende beschermd is.” Als laatste tip geeft Pluimakers mee: “Doe aangifte! Alleen dán kan de politie of andere instantie iets doen. Cybercrime heeft hoge prioriteit bij politie en justitie maar als er geen aantallen bekend zijn, verslapt de aandacht wellicht.”

De aanwezige medewerkers en directeuren van de lidbedrijven van OBGB en OVBRM praatten nog even na, onder het genot van een hapje en een drankje namen de kennis mee terug naar hun bedrijven, waar ze geïnspireerd door de verhalen aan de slag gaan met het vergroten van de cybersecurity.