‘Of ik een signalement van de hacker had’
Dat vroeg een agent aan ondernemer Xander Koppelmans toen die in 2015 aangifte deed van een ernstige aanval op de ICT van zijn bedrijf. Het incident kostte hem uiteindelijk bijna 8 ton en betekende het einde van zijn bedrijf, zijn huis en zijn relatie. Hij vertelde zijn dramatische relaas tijdens een voorlichtingsavond voor het MKB.
De avond was op initiatief van de gemeenten Alblasserwaard, Barendrecht en Ridderkerk georganiseerd door het Centrum voor Criminaliteitspreventie en Veiligheid (CCV) en werd voorgezeten door de bekende journalist Peter R. de Vries. “Ondernemers hebben veel redenen om niets aan beveiliging te doen”, stelde ethisch hacker Laurence Baardman van beveiligingsbedrijf Computest. “Ze vinden zichzelf niet interessant voor hackers, ze gebruiken geen Windows en ze kijken altijd goed uit welke websites zij bezoeken.” Allemaal onzin, aldus de beveiligingsspecialist. “Veel hackers schieten met hagel om zoveel mogelijk slachtoffers te maken. Ook Apple-computers zijn kwetsbaar en malware kan via de meest onschuldige websites worden verspreid.” Als voorbeeld noemde Baardman nu.nl. “Hackers kunnen daar advertenties met schadelijke inhoud op plaatsen.”
Nauwelijks risicobewust
Burgemeester Jan van Belzen vertelde de avond georganiseerd te hebben omdat vooral ondernemers uit het MKB nauwelijks risicobewust zijn, terwijl binnen het MKB verreweg de meeste slachtoffers vallen van cybercrime en het MKB de belangrijkste motor is van de economie. “De ondernemers, maar ook hun klanten en leveranciers lijden grote schade door cybercrime.” Bij deze vorm van misdaad gaat het volgens De Vries niet meer om puisterige tieners die op hun zolderkamertje op netwerken proberen in te breken. “Er zitten serieuze, professionele organisaties achter en er gaat enorm veel geld in om. Wie slachtoffer wordt van gijzelsoftware kan een helpdesk bellen, die keurig uitlegt hoe het gevraagde bedrag in bitcoins kan worden voldaan. En wie zonder technische kennis iemand te grazen wil nemen, kan met hetzelfde gemak een hacker inhuren.”
Geen geld voor beveiliging
Dat het MKB zo vaak slachtoffer wordt komt volgens Baardman omdat er geen geld en interesse is voor goede beveiliging. Vooral dat laatste is merkwaardig, omdat in enquêtes 52 procent van de ondernemers zeggen wel eens met cyberaanvallen te maken te hebben gehad. En geslaagde aanvallen leveren het MKB een gemiddelde schade op van 78.700 euro. Dat is een bedrag dat veel kleinere bedrijven niet meer te boven komen. Vooral gijzelsoftware, ofwel ransomware, is een snel groeiend probleem. Dit vormt nu al 61 procent van wat er in totaal aan cybercrime wordt gepleegd. “Veel ellende is te voorkomen door goede back-ups te maken, updates van software niet uit te stellen, lange wachtwoorden te gebruiken en voor elke toepassing een ander wachtwoord te kiezen”, adviseerde de beveiligingsspecialist. “Als Windows met een update komt, betreft het vaak het dichten van een veiligheidslek, dat in de hackers community al breed bekend is!”
Schade en schande
Xander Koppelmans werd letterlijk door schade en schande wijzer. In 1990 startte hij in Goes het reclamebureau PHGR dat uiterst succesvol werd en campagnes maakte voor zo’n 400 bedrijven en overheidsorganisaties, waaronder heel grote. Tot 2 april 2015. Medewerkers merkten dat ineens heel veel data van de servers verdween. In paniek belde Koppelmans zijn ICT-dienstverlener die de servers direct uitschakelde. Maar het was al te laat. Niet alleen de dataserver en de opslagservers voor fotografie en video waren vrijwel geheel leeggehaald, ook de data op de back-upserver was vernietigd. Er werd een herstelbedrijf ingeschakeld dat nog 80 procent van de data kon terughalen, maar omdat alle bestanden beschadigd waren, had niemand daar meer iets aan. Het was geen ransomware en er is nooit contact opgenomen voor losgeld. Koppelmans denkt dat de aanval is uitgevoerd in opdracht van iemand die een hekel aan hem of zijn bedrijf heeft, maar hij heeft geen concrete verdenking.
Te ingewikkeld
Koppelmans was verzekerd tegen schade door cybercrime en deed daarom aangifte bij de politie. “Of ik een signalement van de dader had of dat die op camerabeelden stond, vroeg de agent mij die het proces verbaal moest opmaken. Het leek wel alsof de politie nog nooit van cybercrime had gehoord. Ik had al 60.000 euro schade geleden, maar kreeg niet het gevoel dat ik serieus werd genomen.” De directeur van PHGR kreeg wel een document mee, maar hoorde al snel dat de politie het dossier niet ging oppakken. Grensoverschrijdend en veel te ingewikkeld. Een bevriende specialist wist te ontdekken dat de aanval via Rusland vanuit China was uitgevoerd. “De schade was inmiddels opgelopen tot 249.000 euro. We werkten dag en nacht om zoveel mogelijk te herstellen. Veel werk van de afgelopen jaren moest opnieuw worden gedaan. De verzekering dekte alleen de 18.000 euro voor nieuwe servers en programmatuur.” Koppelmans kreeg een burn-out. Korte tijd later adviseerde zijn accountant om faillissement aan te vragen, voordat er hoge schulden gingen ontstaan. De meeste medewerkers waren intussen al vertrokken en de schade – onder andere door vele rechtszaken – was opgelopen tot 769.000 euro. De ondernemer raakte alles kwijt. Zijn bedrijfspand en zelfs zijn huis, omdat de bank na het faillissement direct de hypotheekschuld opeiste. Zijn huwelijk liep op de klippen en zo ging hij naar eigen zeggen in 2 jaar van zorgeloos naar dakloos. Inmiddels heeft hij met behulp van zijn accountant een nieuwe start kunnen maken en heeft beveiliging de hoogste prioriteit gekregen.
Geluk
Ten overvloede waarschuwde Baardman om regelmatig back-ups te maken en ervoor te zorgen dat deze op een andere locatie ‘offline’ worden bewaard. Het ontbreken van die laatste maatregel was voor PHGR de nekslag. Toen Koppelmans zijn ICT opzette, was hij nog afhankelijk van ISDN en dat maakte het onmogelijk om de vele terabytes aan data extern op te slaan. Baardman: “Bij containerterminal APM, een dochter van Maersk, hadden ze geluk. Het bedrijf werd gered door een stroomstoring in Ghana. Over de hele wereld had ransomware de ICT van het overslagbedrijf lamgelegd. Er waren wel back-ups, maar herstel was niet mogelijk omdat ook de domainservers waren aangetast. De server in Ghana was dankzij de stroomstoring nog wel in tact en werd de hele wereld overgevlogen om overal de systemen weer te kunnen herstellen. Niettemin heeft de hele geschiedenis Maersk 200 tot 300 miljoen euro schade opgeleverd. Dat is exclusief de claims van reders die door de storing vertraging hebben opgelopen.”
Tips
Baardman had nog wat tips. “Vertrouw niet op wachtwoorden. De meeste zijn binnen enkele minuten te kraken. Kies daarom voor combinaties van technieken, zoals een wachtwoord met sms-verificatie. Sla wachtwoorden ook op in een wachtwoordenkluis, zoals 1password of LastPass. Dan kan je lange en ingewikkelde wachtwoorden gebruiken, terwijl je maar één wachtwoord hoeft te onthouden. En dat kan het beste een lange zin zijn.” De specialist adviseerde ook om goed te letten op spam, die tegenwoordig niet meer altijd aan de taalfouten of het gebruik van de Engelse taal is te herkennen. “Word je gebeld door de bank. Bel dan zelf terug. Dan weet je zeker dat je bank aan de lijn hebt. Let ook op wie er binnenkomt. Een vreemde Sinterklaas op bezoek is leuk, maar niet als Zwarte Piet intussen keyloggers in usb-poorten van computers plaatst. En als je back-ups maakt, test die dan ook! En ga na waar je data in de cloud wordt opgeslagen en of dat veilig gebeurt. Wordt de software van je leveranciers wel getest?” Baardman adviseerde verder om een meldpunt in te stellen, waar medewerkers zonder angst voor sancties cyberincidenten kunnen melden.
Politie
Jaap Schouten van het Cybercrimeteam van de Nationale Politie, mocht reageren op de kritiek die zijn organisatie te verduren kreeg tijdens het symposium. “Het is waar dat toen ik in 2003 begon, er in de opleiding geen seconde aan cybercrime werd besteed. Ook nu is daar nog weinig aandacht voor, maar we zijn wel bezig met een inhaalslag.” Peter R. de Vries merkte op dat van alle aangiftes van cybercrime uiteindelijk maar 1,4 procent tot een strafzaak leidt. Schouten sprak dat niet tegen, maar merkte wel op dat ook successen worden behaald, zoals het uit de lucht halen van de website webstresser.org. Daar kon men terecht om DDoS-aanvallen te laten uitvoeren op organisaties waar men een hekel aan had. Zowel de mensen achter deze website als veel van hun klanten werden opgepakt en veroordeeld. “Doe in ieder geval altijd aangifte. We kunnen niet elke zaak oplossen, maar het helpt ons wel om de problematiek en de trends in kaart te brengen, zodat wij daar ons beleid op kunnen afstemmen.” De politie trekt intussen ook vrijwilligers aan die bij ICT-beveiligingsbedrijven werken en die iets voor de maatschappij willen betekenen. Bijvoorbeeld in de strijd tegen kinderporno. “We zijn er nog lang niet, maar we doen ons best.”
Auteur: Vincent Vreeken