Personeelstekorten en cybercrime zijn zaken waar menig beveiligingsondernemer zich grote zorgen over maakt. Reden om deze onderwerpen te kiezen als hoofdthema’s tijdens de vijfde editie van Security Café. AI Agents lijken het antwoord te vormen op het tekort aan medewerkers. En wie nog dacht dat cybercrime niet zo’n vaart zal lopen, zal door een van de sprekers beslist op andere gedachten zijn gebracht.

Security Café is een initiatief van Alphatronics en wordt ondersteund door een groot aantal fabrikanten en importeurs. Het evenement is nadrukkelijk niet bedoeld om producten te promoten. Volgens algemeen directeur Jos Herrebrugh is Security Café juist in het leven geroepen om te helpen bij het verspreiden van voor beveiligingsbedrijven essentiële kennis. Dat dit een succesformule is, bleek wel uit de enorme opkomst. Want hoewel veel beveiligingsondernemers nauwelijks weten waar zij de tijd vandaan moeten halen, kwamen ze in grote getalen naar Hart van Holland in Nijkerk, waar Security Café op 15 april plaatsvond.

Transformatie van arbeidsmarkt
Televisiepresentatrice Evelien Bosch trad op als dagvoorzitter en introduceerde Joep Baks die uitlegde hoe met kunstmatige intelligentie (AI) iets aan het structurele tekort aan arbeidskrachten te doen is. AI kan natuurlijk deels menselijke arbeid vervangen, maar nog veel geschikter is het om bestaande medewerkers efficiënter in te zetten. Verder kan AI worden gebruikt om personeel te zoeken. Dat is volgens Baks echter niet een kwestie van invoeren maar. “We praten over een transformatie van de arbeidsmarkt en dat vraagt veel van de structuur en werkwijzen van bedrijven.” Vooral op het gebied van service kan AI veel betekenen. Baks demonstreerde het reserveren van een tafel in een restaurant met allerlei bijzondere wensen, zoals veganistisch voedsel en het meenemen van een hond. De chatbox aan de andere kant van de lijn maakte dat prima in orde. Door automatische verwerking van feedback, worden dergelijke programma’s in de loop van de tijd steeds slimmer, zonder dat menselijke interventie nodig is.

Vak sexyer maken
Met AI is ook snel naar nieuwe medewerkers te zoeken. Er wordt gezocht naar personeel dat zich aanbiedt via vacaturebanken, maar ook naar de juiste LinkedIn-profielen. Dit proces is vergaand te automatiseren, tot en met het sturen van handgeschreven kaartjes naar geïnteresseerden. Een panel van vier personen ging in discussie over de inleiding van Baks. Jan Schipper van ATS Beheer Groep ziet veel in zijinstromers, maar dan moet de branche het vak wel eerst wat sexyer maken. Frank Meester van Meester Electronics vindt dat scholen veel te slecht inspelen op de behoeftes in het bedrijfsleven. Kees Verspui denkt dat technische oplossingen uitkomst bieden, als die het mogelijk maken om minder gekwalificeerd personeel op gekwalificeerde klussen in te zetten. Strateeg Wim Davidse merkt op dat iedereen tegenwoordig minimaal hbo wil doen en dat daardoor het grote tekort aan technici is ontstaan. Het is nu aan de branche om het vak veel aantrekkelijker te maken en te kijken hoe je mensen blijvend aan je kan bieden. Variatie van werkzaamheden is volgens Meester een voorwaarde daarvoor. Hij benadrukte dat werkgever zijn ook een vak is. Davidse vindt het tijd om bureaucratische regeltjes opzij te zetten, die instroom van nieuwe medewerkers blokkeren. Het gaat niet alleen om diploma’s, maar ook om zogenoemde softskills, die iemand geschikt maken voor een baan.

Ten gronde gericht
Er zijn veel redenen om niets aan cybersecurity te doen. Als iemand je wil hacken lukt dat toch wel. Een ander is er verantwoordelijk voor. Je beschouwt jezelf niet interessant voor hackers. Etc…. Ondernemer Xander Koppelmans dacht er niet zo over, maar werd toch gehackt. Dit veroorzaakte zo enorm veel gevolgschade dat niet alleen zijn succesvolle reclamebureau ten gronde werd gericht, maar dat hij ook zijn woning en zijn echtgenote kwijtraakte na jaren van enorme stress. De helft van alle ondernemers kan volgens Koppelmans zo worden gehackt. De criminelen beschikken al over de benodigde toegangsgegevens, maar kunnen – ook vanwege personeelsgebrek – niet direct al hun potentiële slachtoffers te grazen nemen. De komende jaren zal 95 procent van alle organisaties doelwit zijn. “Jullie maken je druk om inbraken”, zei hij. “Daarvan vinden er 30.000 per jaar plaats. Cybercrime kent echter 2,3 miljoen slachtoffers per jaar!” Veelal wordt gebruik gemaakt van verhandelde inloggegevens, die bijvoorbeeld via het hacken van LinkedIn zijn verkregen. “De sleutels van jullie digitale voordeuren worden voor een paar centen op internet verhandeld.”

Foute reactie
Koppelmans adviseerde de bezoekers van Security Café om eens hun e-mailadres in te voeren op de website Have I Been Pwned. Daarop staan niet minder dan 15 miljard gehackte accounts. Vervolgens ging hij in op zijn eigen casus. Op een ochtend ontdekte hij dat verschillende datamappen waren verdwenen en dat er steeds meer verdwenen. Zijn eerste ingeving was het uitschakelen van alle computers, niet wetende dat dit fatale gevolgen zou hebben. Daardoor mislukte het versleutelen van de bestanden, waardoor deze vrijwel onmogelijk nog terugverkregen konden worden. De hackers merkten dat ook, waardoor het geen zin meer had om losgeld te eisen. Ze hadden toegang verkregen door geautomatiseerd het systeemwachtwoord te raden, wat slechts 4,5 uur had geduurd. Met een langer wachtwoord en 2-factorauthenticatie was het probleem te voorkomen geweest, maar dat zijn dingen die je meestal achteraf pas hoort. Tegenwoordig gebruikt Koppelmans wachtwoorden van 128 tekens, maar dat is de bekende put die gedempt is. De spreker heeft enorm veel geleerd van het voorval en deelt zijn kennis nu met ondernemers waarvan hij hoopt dat die niet hetzelfde gaan meemaken als hij.

Zelf voor veiligheid zorgen
Daders zijn vrijwel nooit te achterhalen. De dienstdoende politieagent vroeg de ondernemer of hij een signalement van de hacker had. Op zo’n moment weet je dat je niet veel hoeft te verwachten, al heeft de politie volgens Koppelmans de laatste jaren wel een flinke inhaalslag gemaakt en worden nu regelmatig hackers opgespoord en vervolgd. “Je kan echter niet verwachten dat de overheid jou beschermt. Neem zelf maatregelen en begin in ieder geval met een noodplan, zodat je weet wat je moet doen als het gebeurt. Denk ook niet dat het jou niet overkomt. Het zijn niet mensen die daarover beslissen, maar computers die continu op zoek zijn naar kwetsbaarheden. Een casino werd gehackt via een slimme aquariumpomp, waarvan de software niet werd geüpdatet. Alleen een buitenschil, zoals een firewall helpt niet. Dan heb je een ei. Maak van dat ei een ui met meerdere schillen en liever nog een knoflook met meerdere segmenten met ieder hun eigen schillen. Dan gaat het de goede kant op. 100 procent veilig is niet mogelijk, maar met 9 maatregelen is 95 procent haalbaar. Dat gaat dan om een noodplan, moeilijke wachtwoorden, 2-factorauthenticatie, goede back-ups, antivirus-software, monitoren van het netwerk, segmenteren en de toegang beperken. Techniek kan daarbij helpen, maar de hoofdzaak is het verbeteren van ons eigen gedrag! Want cybersecurity is geen afdeling. Het is iets waar we allemaal zelf verantwoordelijk voor zijn.”

Continuïteit borgen
Ook het betoog van Koppelmans werd gevolgd door een paneldebat. Hieraan namen deel Bart Scholten van Kiwa, Henri Beek van Data Expert, Tom Meurs van het team Cybercrime van de politie en Robert-Jan Sips van TKH Artificial Intelligence. Meurs vertelde dat bij de politie inmiddels behoorlijk wat kennis is over cybercrime. Hij adviseerde om altijd aangifte te doen en dat kan bij elk bureau in de buurt. Men zal niet meer naar het signalement van de hacker informeren. Sips waarschuwde voor AI, dat misbruikt kan worden om computers veel sneller te hacken. Scholten ging in op NIS2, dat de vitale infrastructuur in Europa meer bescherming moet bieden. “Het is goed dat het er is, maar er is meer nodig als je de continuïteit van je organisatie wilt borgen.” Meurs liet weten dat van de grotere organisaties nu 40 procent aangifte doet bij cyberincidenten, al heeft dat vaak ook met verzekeringen te maken. De politie helpt ook met preventie, onder andere door potentiële slachtoffers te waarschuwen dat zij bij hackersgroepen als doelwit zijn gemarkeerd. Ook worden organisaties gewaarschuwd als de politie een datalek ontdekt. Beek waarschuwde voor het toenemende aantal gratis tools, waarmee elke crimineel zonder noemenswaardige ICT-kennis cyberaanvallen kan initiëren. Sips pleitte ervoor om de hele bevolking te trainen tegen cybercrime. De maatschappij is volgens hem veel te kwetsbaar geworden. Meurs vertelde dat de meeste incidenten ontstaan door het ontbreken van 2-factorauthenticatie, het niet updaten van software en phishing. Bij dat laatste gaat het om kwaadaardige linkjes in e-mails.

Hoewel veel professionals uit de fysieke beveiliging cybersecurity niet als hun terrein beschouwen, bleef het publiek tot op het laatste moment met volle aandacht luisteren. Velen stelden alvast snel even 2-factorauthenticatie in op hun LinkedIn- en WhatsApp-accounts. “We willen dat mensen iets hebben aan deze bijeenkomsten”, zei Herrebrugh tot slot. Het was duidelijk dat die opzet wel geslaagd was.