Beveiliging bedrijfsnetwerken vaak een wassen neus

In de volle zaal van Het Turfschip in Etten-Leur heerst verbazing als door de aanwezigen gebruikte netwerken op het videoscherm verschijnen. Ongemakkelijk klinkt er gegrinnik hier en daar. "Dat ben ik niet", grapt een man als hij zijn naam en inloggegevens op het scherm ontdekt.

Peter R. de Vries is deze donderdagavond in Etten-Leur de gespreksleider. Als misdaadjournalist met decennialange ervaring heeft hij de opkomst van het internet en de cybercrime van 'nabij' meegemaakt. Het Cybercrime Event van de Rabobank en verzekeraar Interpolis, bedoeld voor ondernemers uit West-Brabant, is volgens De Vries geen overbodige luxe. "Eén op de acht Nederlanders wordt slachtoffer van cybercrime", zegt hij. "Wie doet er weleens aangifte?"

De reacties maken duidelijk dat er op dit punt niet veel vertrouwen is in politie en justitie. Als er aangifte wordt gedaan, zijn de verwachtingen niet bepaald hooggespannen. "Toen de computer op mijn werk besmet raakte, heb ik de server uit het raam gegooid", zegt een man in het publiek.

Panellid officier van justitie Yolanda van Setten van het Openbaar Ministerie (OM) in Breda zegt de enige in het arrondissement Zeeland-West-Brabant te zijn die zich volledig toelegt op de bestrijding van cybercriminelen. "Er zijn zestien digitale rechercheurs in Zuidwest-Nederland. Daar moeten we het mee doen. Politiewerk wordt niet goed betaald en dit werk is ook nog specialistisch. Het is moeilijk mensen te vinden", zegt zij.

Dit is voor De Vries een schot voor open doel. Zonder Van Setten persoonlijk aan te vallen, kraakt hij op onderkoelde wijze de falende aanpak van cybercriminaliteit. "Er zitten veel mkb'ers in de zaal. Wie van u weet hoe groot de jaarlijkse schade is van cybercriminaliteit?" Op die vraag komen vanuit het publiek zeer uiteenlopende schattingen. Van een miljoen euro tot twee miljard. Het antwoord van De Vries leidt tot verbazing en geroezemoes. "De schade bedraagt tien miljard euro per jaar. En dat bedrag neemt alleen maar toe", zegt hij.

Het maatschappelijke en economische leven verplaatst zich voor een belangrijk deel naar internet en dus ook de misdaad. Het dark deep web noemen ze dat. Het is de schaduwkant van de elektronische snelweg. Zoals veel ondernemingen en instellingen hun eigen afgeschermde netwerk hebben (deep web), heeft ook alles wat het licht niet kan verdragen zich verscholen in het web. Vandaar de term dark web. Phishing, malware, ransomeware, ddos en social engineering... Het zijn delicten van de 21ste eeuw.

Deskundige cyber security Pim Takkenberg: "In dat deel van internet speelt zich alles af wat niet openbaar is. De gebruikers zijn anoniem. Alle informatie is versleuteld." Volgens Takkenberg is het internet of things een ander groeiend gevaar. "Er zijn steeds meer apparaten in het huishouden met een internetkoppeling. Vaak gaat het om eenvoudige apparatuur die slecht beveiligd is. Cybercriminelen kunnen via deze spullen gemakkelijk een huishouden binnenkomen en in computers gaan shoppen."

De meest voorkomende vorm van cybermisdaad echter is het versturen van nep- of misleidende mails (phishing) waarin de ontvanger wordt verzocht het pinpasnummer door te geven en de 'verouderde' pas op te sturen naar een bepaald adres. Simpeler kan eigenlijk niet. Je zou zeggen: daar trapt geen hond in, maar niets is volgens fraude-expert Dennis van Bruchem van Rabo minder waar. "Alleen al de Rabo krijgt per dag 3.000 meldingen over dit soort mails. De nepmails worden steeds beter. Zo'n tien personen per week trappen erin en sturen hun pas naar een verdacht adres."

Daarnaast speelt het versturen van software die het computersysteem verstoort (malware) een grote rol. Een variant daarop is de ransomware waarmee de crimineel informatie op iemands computer gijzelt om hem of haar te chanteren. Volgens Van Setten wordt persoonlijke informatie gemakkelijk weggegeven op internet waardoor mensen extra kwetsbaar worden.

En ook het bedrijfsleven neemt het met de veiligheid niet zo nauw. Volgens professioneel hacker Gerard Klomp van Capgemini is de beveiliging van bedrijfsnetwerken vaak een wassen neus. "Ik zou het Nederlands bedrijfsleven op dit punt een 3 geven", zegt hij.

Maar soms is er geen verweer mogelijk. Als buitenlandse hackers het bijvoorbeeld massaal gemunt hebben op een bepaald netwerk. Via een ddos-aanval kan er een gigantische hoeveelheid data naar een computer gestuurd worden vanaf meerdere adressen. Daar valt volgens de deskundigen niet veel tegen te doen. Waar wel wat tegen te doen is, zijn telefoontjes van bellers die zich voordoen als medewerkers van Microsoft en op die manier gevoelige informatie proberen los te krijgen. Vaak hebben de bellers een verdacht buitenlands accent. De oplossing is eenvoudig: meteen de hoorn erop gooien!

Eerder dit jaar werden in Breda drie mannen en een vrouw uit Oost-Europa voor cyberdelicten veroordeeld tot celstraffen van 4 tot 24 maanden. Via malware sluisden zij geld weg van Nederlandse rekeninghouders. De Oost-Europese verdachten maakten volgens het Openbaar Ministerie deel uit van een criminele organisatie die in 2013 en 2014 'kwaadaardige' software gebruikte om toegang te krijgen tot computers en bankrekeningen. Via internetbankieren werd vervolgens geld weggesluisd naar speciaal daarvoor geopende rekeningen. Er waren achttien illegale transacties waarmee ruim 81.000 euro werd gestolen. Bij één van de verdachten werd een tas vol pinpassen aangetroffen.

Gerelateerde artikelen:BLOG: Waterdichte security is cybercrime onrendabel makenBoef heeft vrijspel in bedrijfslevenBLOG: pas op voor phishing en andere cybercrime