Verslag masterclass cybercriminaliteit

Cybercriminelen verdienen in toenemende mate fors aan ondernemers

De digitale wereld wordt meer en meer bedreigd door hackers en andere criminelen. Het kan tot grote problemen leiden, al is lang niet iedereen zich ervan bewust. De schade kan aanzienlijk zijn.

Cybercriminelen zijn actiever dan ooit om vertrouwelijke gebruikersinformatie te achterhalen en geld te stelen van bankrekeningen door namaakwebsites van financiële instellingen te creëren. Met zogenaamde phishingmails worden slachtoffers gelokt naar deze valse websites, waar ze nietsvermoedend hun inloggegevens intypen, waarna ze worden bestolen. Bijna dagelijks verschijnen er dan ook artikelen over cybercriminaliteit in de media. Toch blijkt uit verschillende onderzoeken dat slechts 30% van de Nederlandse ondernemers weet dat zij risico loopt, terwijl 40% in 2013 te maken heeft gehad met cybercrime. Ter vergelijking: het aantal bedrijven dat in 2013 te maken heeft gehad met fysieke bedrijfsinbraken was in 2013 27%. Volgens onderzoeken van zowel KPMG en het Nationaal Cyber Security Centrum zal het percentage bedrijven dat te maken krijgt met cybercriminaliteit de komende jaren alleen maar toenemen. 
Tijdens de, door Hét Ondernemersbelang en AD Hosting uit Zoetermeer georganiseerde masterclass ‘Cybercriminelen verdienen ook aan u’, gaf Tim Houtsma, general manager van AD Hosting in Zoetermeer, een helder beeld van cybercriminaliteit in het MKB en legde de deelnemende ondernemers aan de masterclass uit waar de belangrijkste risico’s liggen.

Enorme schade

Tim Houtsma hield zijn gehoor voor dat er dagelijks 30.000 nieuwe websites wereldwijd worden geïnfecteerd. “80% hiervan zijn MKB websites en maar liefst 40% van het MKB in Nederland heeft in 2013 met cybercrime te maken gehad. Dagelijks zijn er 250.000 virussen en malware op het net actief. De schade in Nederland wordt geschat op 1,5 miljard euro en wereldwijd bedroeg de schade tussen de 230 en 750 miljard euro.” Hij wees op de meest gebruikte manieren om een netwerk te hacken. “Zo worden websites, IP-adressen en WiFi- netwerken gescand, wordt er phishing mail gestuurd, zijn er doelgerichte DDOS-aanvallen en aanvallen op bedrijven.” Tim Houtsma gaf een aantal voorbeelden: “Zo werd het telecombedrijf KPN gehackt, overkwam dat enige tijd systemen van OV-bedrijf GVB, ging Diginotar failliet na een hack, evenals Bitcoinbeurs MtGox en werd een server van een gehackt bedrijf gebruikt voor een phishing aanval op klanten.” Hij voegde eraan toe dat het tegenwoordig heel makkelijk is om een doelgerichte aanval op een website uit te laten voeren. Tot ontsteltenis van zijn gehoor toonde hij een YouTube-filmpje van GWAPO’s PROFESSIONAL DDDOS SERVICE waarin een jongeman tegen betaling aanbiedt websites plat te leggen. Nog een voorbeeld: “Je bezoekt een website en ineens ontvang je onverwachte meldingen. Dit soort meldingen zijn vaak geen meldingen van Windows maar malware. Op het moment dat men
daar op klikt wordt er software geïnstalleerd op de pc. Met deze schadelijke software kunnen bijvoorbeeld alle toetsaanslagen geregistreerd worden en kunnen ze wachtwoorden makkelijk achterhalen. De daders zijn bijna nooit te pakken, dat kost veel moeite en tijd!”
Hij liet ook een geraffineerde phishingmail zien die
11 mei 2014 in Nederland werd rondgestuurd. “Het is een e-mail die moet lijken op een brief van het CJIB (Centraal Justieel Incasso Bureau). In deze brief werd gevraagd gegevens in te voeren. Maar ook worden nepberichten van banken en bijvoorbeeld ICS-creditcard gestuurd. Ook dit is een techniek die wordt gebruikt door hackers.”

Security scan

Bijna 1,5 maand geleden hebben stagiaires van AD Hosting een onderzoek gedaan naar Cyber Security binnen het bedrijfsleven. “Uit deze ICT-security enquête kwamen de volgende opvallende punten naar voren: 1233 mensen vulden onze enquête in, 407 daarvan gaven aan dat zij nagedacht hebben over de risico’s. Van deze 407 mensen zijn er 225 mensen die aangaven actie te hebben ondernomen. 59 daarvan gaven aan een security-audit te hebben uitgevoerd. Wel 41 mensen gaven aan dat ze door een security-scan een risico hebben gevonden. Dit kan gesplitst worden in 27 mensen die aangaven intern een risico te hebben gevonden en 14 mensen gaven aan het door een extern bureau te hebben laten doen. Dit zijn forse getallen die aantonen dat er een serieus probleem is.”
Wat kan je eraan doen? Houtsma: “Er is voor cybercrime geen oplossing omdat het een kat-en-muisspel
is en zal blijven. Net zoals bij ‘gewone’ criminaliteit is het niet meer weg te denken en zal het ook altijd blijven bestaan. Reden te meer om hiervan bewust te zijn en zoveel mogelijk maatregelen er tegen te nemen.
Hoe moeilijker het de criminelen gemaakt wordt,
hoe minder last en of schade men er van zal hebben. Verander de standaard fabriekswachtwoorden en ontwikkel daar een policy voor, maak gebruik van security-software, van beveiligde en betrouwbare apparatuur en verbindingen. Maak geen gebruik van algemene clouddiensten en laat periodiek een externe audit doen. 
Tim Houtsma besloot de geanimeerde bijeenkomst in zijn nieuwe kantoor aan de Storkweg in Zoetermeer met de waarschuwing:

“Wij staan onder toenemende druk, want cybercrime wordt steeds groter en ingewikkelder. Ook ondernemers moeten zich, zoals al gezegd, daar terdege van bewust zijn en maatregelen treffen!”