Niet grote bedrijven en de overheid worden het vaakst slachtoffer van cybercrime, maar het MKB. Beveiliging komt vaak in actie als een incident wordt gesignaleerd. Het is echter ook mogelijk om eerder te interveniëren. Er komen steeds meer maatregelen tegen witwassen. Toch zijn er nog heel veel trucjes om die te omzeilen, waarbij legitieme bedrijven het risico lopen strafrechtelijk vervolgd te worden. Deze onderwerpen stonden centraal tijdens een door Jan van Toorn georganiseerde netwerkbijeenkomst in Ridderkerk.

Erwin Hotting van ThreadStone Cyber Security waarschuwde dat organisaties gemiddeld 1636 keer per week worden aangevallen, waarbij bepalend is of men kwetsbaarheden in de beveiliging heeft of niet. Hackers zoeken meestal niet bepaalde ‘targets’, maar veelal bekende kwetsbaarheden. Als ze eenmaal ‘binnen’ zijn, kijken ze of er iets te verdienen valt.
De cybercriminaliteit is de laatste jaren sterk geprofessionaliseerd. Hackers zoeken naar lekken, datahandelaren en dataverrijkers maken van de gestolen gegevens bruikbare informatie en witwassers zorgen er tot slot voor dat de winsten een legitieme herkomst krijgen. Daarnaast zijn er ‘dienstverleners’ die helpen bij phishing- en ransomware-aanvallen.
Hotting waarschuwde de aanwezigen om terughoudend te zijn met het delen van informatie op internet. Want elk gegeven kan helpen bij het bouwen van waardevolle profielen, die criminelen onderling verhandelen. Bewustmaking van gebruikers is net zo belangrijk, want nog altijd klikt 30 procent zonder na te denken op kwaadaardige linkjes in e-mails. Verder mag niet vergeten worden om continu het netwerkverkeer te monitoren. Hackers slaan gemiddeld pas toe 200 dagen nadat zij zijn binnengekomen. Al die tijd hebben zij kunnen gebruiken om gegevens te stelen en ransomware te installeren, ook op de back-upsystemen. Met actieve monitoring is dat te signaleren.

Normafwijkend gedrag
Andre Minderman van Security adviesgroep en de trainers Marco Wiedeman en Benny Walta gingen in op het signaleren van normafwijkend gedrag om te kunnen reageren voordat een dreiging in een incident ontaardt. Met wat oefening is het volgens Wiedeman te zien dat iemand zich niet in zijn comfortzone bevindt. Vervolgens is het de kunst om in te schatten wat iemand van plan is. Met deze methode waren grote criminele incidenten uit het verleden eenvoudig te voorkomen geweest. Walta ging wat meer in op de planningscyclus van criminelen. Het kan bijvoorbeeld al verdacht zijn als iemand via LinkedIn informatie verzamelt over medewerkers. Met een betaald account op het sociale netwerk is dat na te gaan. Medewerkers dienen hierop geattendeerd te worden. Vergeten mag ook niet worden om hiervoor een meldpunt in te richten.

Witwassen
Als laatste gingen Inge den Hollander van Factual Corporate Investigations en André Arink van ING Wholesale Banking en Transaction Services in op de manier waarop criminelen nog altijd grote sommen geld kunnen witwassen. Den Hollander legde uit hoe het geldverkeer werkt en wat de rol is van Payment Service Providers. Overheden maken het criminelen lastig om hun contante geld uit te geven. Dus moeten criminelen op zoek naar methodes om dat geld op een ‘legitieme’ manier op de bank te krijgen. Dat gebeurt op verschillende manieren en veelal via PSP’s, waar vanwege de miljarden transacties moeilijk zicht op is te krijgen. De administratieve stromen lopen via webshops, terwijl de geldstroom via PSP’s gaat. De PSP heeft een relatie met de webshop, maar niet met de klant, wat controle verder bemoeilijkt. De overheid heeft de banken opgedragen om witwassen te signaleren en te melden, maar ook de banken kunnen de steeds weer nieuwe methodes nauwelijks bijbenen. De Nederlandsche Bank moet de PSP’s, controleren, maar heeft daarvoor onvoldoende capaciteit. Er wordt gebruik gemaakt van cadeaukaarten, tegoeden bij Klarna, casinotegoeden, krasloten, retourpinnen, geldezels en tal van andere trucs om illegale inkomsten wit te wassen. Populair zijn ook bedrijven die zich laten betalen voor diensten die nooit geleverd worden. Dit bestrijden vergt volgens Arink nauwe samenwerking tussen overheidsdiensten en bedrijven, maar die samenwerking wordt belemmerd door privacywetten, die het delen van bepaalde persoonsgegevens onmogelijk maken. Het lijkt een probleem voor de overheid, maar ook voor bedrijven is deze ontwikkeling iets om waakzaam over te zijn. Wie al of niet bewust meewerkt aan witwaspraktijken loopt kans op strafrechtelijke vervolging. Denk aan een winkelier die duizend cadeaukaarten aan één persoon verkoopt. Bewustwording over witwassen is dus voor iedereen van belang.