Tijdens een goed verzorgde lunch bij Best Western Plus Hotel Restaurant Aduard bespreken vijf experts de gevolgen van cybercrime en het voorkomen ervan. Jenze Kingma van het Aduarder familiebedrijf verzekert de aanwezigen ervan dat zijn horecagelegenheid de zaken ook op dat gebied piekfijn in orde heeft. Na enig doorvragen komen ook de andere heren tot die conclusie.
Zij zijn: salesmanager Jan Tammeling van CJ2 Hosting in Groningen, directeur Henk Gomis van Gomis Cybersecurity Management & Consultancy in Drachten, directeur Andrew van der Haar van Datacenter Groningen in Zuidbroek, directeur Anne Bergsma van Assurantiebedrijf Froonacker in Franeker en projectleider Cyber@Work Renze Tjoelker van ROC Friese Poort in Leeuwarden.
,,Voor Datacenter Groningen is cybersecurity een hot item”, bijt Andrew van der Haar de spits af. ,,Wij bieden onze klanten dataruimte, ook kunnen zij met vraagstukken op het gebied van ICT en cybersecurity uitstekend bij ons terecht. Ik ben ook directeur van de Fiber Carrier Association; de FCA verbindt netwerkoperators op het gebied van betrouwbare glasvezelverbindingen met elkaar. Security zit zodoende in mijn genen.”
Ook het hart van Renze Tjoelker gaat sneller kloppen van ‘cyber’. ,,Ik ben niet alleen projectleider Cyber@Work, maar ook manager van het Centrum Excellent Vakmanschap ICT & Cyber van ROC Friese Poort. Onze scholengemeenschap investeert fors in cyber-awareness: er wordt lesmateriaal ontwikkeld, cyber-awareness wordt geïntegreerd in de beroepsopleidingen en we leiden mbo-studenten op voor banen in de ICT en cybersecurity. In ons ‘hacklab’ hacken onze studenten op verzoek bedrijven, om hen te kunnen adviseren over betere beveiliging.”
Bewustwording
Jan Tammeling zou graag zien dat de klanten van CJ2 Hosting actiever bezig zouden zijn met cybersecurity, maar vooralsnog is dat niet het geval. ,,Onze dienstverlening is enigszins vergelijkbaar met die van Datacenter Groningen. Ook wij bieden datacenter-diensten. Klanten huren bij ons servercapaciteit, ook kunnen ze met hun vragen op het gebied van ICT-beheer en cybersecurity bij ons terecht. Maar wat het laatste betreft blijkt dat men algauw tevreden is met een certificaat en er op vertrouwt ‘dat het wel goed zit’. Wat ‘awareness’ betreft is er nog behoorlijk wat winst te behalen.”
Volgens Tammeling wordt er iets te gauw en gretig een vinkje gezet op een certificaat, maar Van der Haar bestrijdt dat: ,,Mijn ervaring is dat het auditen serieus en inhoudelijk goed gebeurt; er wordt echt goed gecheckt.”
Henk Gomis weet: ,,Als je goed kunt checken, kun je ook hacken!”
Hij heeft bij Defensie en Justitie al behoorlijk wat meegemaakt op het gebied van cybercrime en adviseert nu bedrijven. ,,De discussie die jullie voeren is mijn verdienmodel; bewustwording kweken. Het gaat niet om certificering, het gaat erom hoe je met je eigen data en portemonnee omgaat: de continuering van je organisatie staat op het spel als je de zaken niet goed beveiligt.”
Noodzaak van investeren
Anne Bergsma: ,,Precies: de continuïteit van het bedrijf en het beschermen van de gegevens van klanten zou de motivatie moeten zijn, niet het krijgen van een certificaat.” Tammeling: ,,Ik heb de indruk dat veel bedrijven niet het idee hebben dat zij verantwoordelijk zijn voor de veiligheid van hen toevertrouwde gegevens, maar dat zijn ze natuurlijk wel.”
Gomis: ,,Vaak krijgt een IT-manager het ‘er niet door’ bij de directie; dan is het een kwestie van geld. De directie ziet dan niet direct de noodzaak van het investeren in een veilig systeem. ‘Er is immers nog niks aan de hand, we hebben onze ICT toch ‘weggezet’ bij het hostingbedrijf?’ Schrik niet, ook bij grote bedrijven en overheden wordt zo gedacht.”
Anne Bergsma: ,,Bedrijven lopen risico. Dat risico is dan wel virtueel, de schade is wel degelijk echt. Froonacker is een verzekeringsbedrijf; wij bieden onder andere cyberverzekeringen. Bedrijven kunnen bij ons een polis afsluiten om zich te verzekeren tegen de schade die een cyberaanval kan aanrichten. Iedereen loopt het risico gehackt te worden, dan kun je maar beter maatregelen treffen. Om een polis te krijgen wordt er een audit gedaan, een quick scan om te beoordelen of je aan de voorwaarden voldoet. Natuurlijk moet je je bedrijf actief blijven beschermen tegen cyberaanvallen; met alleen een verzekering voorkom je een hack niet.”
Kennissessies
Tammeling: ,,En daar gaat het vaak mis: directies sluiten zo’n polis af en denken: we zijn ingedekt, waarom zouden we nog investeren in cybersecurity?” Van der Haar: ,,Op een seminar dat wij hierover hebben georganiseerd, bleek dat veel ondernemers zich wel bewust zijn van de risico’s, maar nog niet goed weten wat ze er mee moeten doen.”
Aan tafel wordt geknikt: bewustwording en actie ondernemen moet nog op gang komen, vooral in het mkb. Bergsma: ,,Ik ken een bedrijf dat gehackt is en gechanteerd werd met ransomware (gijzelingssoftware, red.) en maar gewoon het gevraagde bedrag heeft betaald.”
Tjoelker: ,,Precies daarom heeft de Friese Poort de handen ineengeslagen met een aantal bedrijven en kennisinstellingen om een Digital Trust Centre op te richten in Friesland. Connect.frl neemt hierin het voortouw en het doel is kennissessies, opleidingen en trainingen te verzorgen voor het mkb. We kunnen studenten van de Noordelijke Hogeschool Leeuwarden (NHL) en Friese Poort audits laten uitvoeren bij bedrijven. Ook vanuit onderwijsperspectief erg aantrekkelijk, want er ligt een enorm potentieel op dit gebied en wij sluiten graag aan bij de arbeidsmarkt.”
Henk Gomis is geïnteresseerd: ,,Ontzettend goed, want hier is veel behoefte aan en het mkb kan het zelf niet financieren.” Van Tammeling komt een kanttekening: ,,Wij organiseren ook kennissessies voor onze klanten, over allerlei onderwerpen. Maar zodra het over cybersecurity gaat, is de belangstelling bedroevend.”
De andere aanwezigen vinden dat jammer want zij weten hoe eenvoudig het is om digitaal in te breken. Gomis: ,,Net als gewone inbrekers zijn cybercriminelen opportunisten eerste klas: waar een deur openstaat, in dit geval een digitale poort, komen ze binnen.” Tjoelker bevestigt: ,,Het is echt kinderspel, op YouTube staan zelfs tutorials waarmee je kunt leren hacken. Een hacker kan zelf via een babyfoon met camera de poorten van je router openen. Zo komen ze wel héél gemakkelijk binnen, je moet jezelf weerbaar maken.”
Maatregelen treffen
Als je wordt gehackt is het vaak een onbegonnen zaak de daders te achterhalen. Gomis: ,,Er gaat ontzettend veel geld in om. De georganiseerde misdaad investeert gerust een paar ton als men denkt dat er miljoenen te halen zijn.” Van der Haar: ,,Bovendien komt het, als de daders al gevonden worden, vaak niet eens tot een rechtszaak. De grote jongens worden niet gepakt, de kleine ‘spelers’ komen er vanaf met een kleine geldboete of een taakstraf.”
Bergsma: ,,Het enige dat je zelf kunt doen om een cyberaanval te voorkomen, is ervoor te zorgen dat het de cybercrimineel teveel moeite kost om binnen te komen. Je kunt vrij simpele maatregelen treffen.”
Aan tafel sommen de aanwezigen, tijdens de heerlijke lunch, gezamenlijk een aantal maatregelen op: zorg ervoor dat je regelmatig updates van je systemen uitvoert, gebruik geen openbare WiFi-hotspots maar kies voor 4G of een VPN-connectie als je onderweg bent, wees zorgvuldig in wat je op social media zet en versleutel je wachtwoorden. Open deuren misschien, deze tips, maar laat dat nu net zijn waar cybercriminelen van houden. Een gewaarschuwd mens telt voor twee.
