“Vooral bedrijven onderschatten cybercriminaliteit”

Volgens Fox-IT-voorman Christiaan Prickaerts lopen Nederlandse ondernemers een groot risico online doordat zij onvoldoende investeren in goede beveiliging. Kwaadwillende hackers lopen volgens de expert jaren voor op het bedrijfsleven. Hij verwacht komende jaren een enorme toename in het aantal incidenten en daarmee een miljardenstrop voor de Nederlandse economie als gevolg van cybercriminaliteit.

Vanuit China schiet een serie lichtflitsen richting het Oosten van de Verenigde Staten. Doel van de digitale raketten: de staat Virginia. Waarschijnlijk het hoofdkantoor van inlichtingendienst CIA. Snel na de eerste aanval volgt nog een bundel. En daarna nog een. Dan komt Pakistan in actie. Kwaadwillende hackers schieten vanuit midden-Azië op het technologische centrum in Sillicon Valley. De wereldkaart op de site van het Amerikaanse bedrijf Norsecorp geeft een fascinerend beeld van de cyberaanvallen die ieder moment van de dag plaatsvinden. Tegelijkertijd maakt de realistische livestream-uitzending, waarin nog niet eens kleinschalige elektronische inbraken zijn meegenomen, pijnlijk duidelijk hoe ernstig het gesteld is met internetcriminaliteit. “Het is oorlog”, aldus Christiaan Prickaerts van het Delftse IT-beveiligingsbedrijf Fox-IT.

Ongelijke strijd

Criminelen hebben het in hun strijd niet alleen gemunt op miljardenbedrijven, inlichtingendiensten en overheden. “Zo’n beetje iedereen die aangesloten is op het net, is potentieel slachtoffer”, meent Prickaerts. De belangrijkste doelwitten op de Norsecorp-kaart blijken in de praktijk relatief goed bestand tegen grootschalige aanvallen. Zorgwekkender vindt Prickaerts de staat van verdediging van kleinere bedrijven. “De meeste ondernemers onderschatten het gevaar van cybercriminaliteit. Nederlanders vormen daarin helaas geen uitzondering”, aldus de IT-beveiliger.

Prickaerts baseert zich op zijn eigen ervaring in het bedrijfsleven: in krap zestien jaar tijd is het Fox-IT, opgericht door whizzkids Menno van der Marel en Ronald Prins, uitgegroeid tot de grootste internetbeveiliger in de Benelux. Het bedrijf heeft zo’n 2.000 techneuten in dienst die voortdurend in de weer zijn om internetcriminelen de pas af te snijden. Dat lukt volgens Prickaerts ten dele: “Absolute veiligheid kunnen wij niet bieden. Het is een ongelijke strijd: Hackers investeren veel meer dan bedrijven.”

Fox-IT heeft inmiddels niet alleen de overheid als klant, ook vele honderden bedrijven in de retail, de telecombranche en de medische sector rekenen op ondersteuning van Prickaerts en zijn collegae. Dat er zoveel vraag is naar de diensten van het beveiligingsbedrijf komt naar eigen zeggen vooral door de spectaculaire toename aan het aantal online-incidenten. Daarbij meegerekend dat Fox-IT een van de weinigen in het vakgebied is die zich heeft gespecialiseerd in cryptografie – het versleutelen van digitale bedrijfsgegevens.

Schade en schande

Dat er in de Nederlandse media – uitgezonderd enkele grappig-bedoelde voorlichtingsfilmpjes op televisie – relatief weinig aandacht is voor cybercriminaliteit, en er zelfs geen officiële statistieken over internetinbraken beschikbaar zijn, wil volgens Prickaerts niet zeggen dat de schade in ons land als gevolg van cyberaanvallen beperkt is. “Op basis van gegevens van onze klanten weten wij dat de meeste organisaties er bijna dagelijks mee te maken krijgen. De schade als gevolg van internetcriminaliteit loopt mogelijk op tot miljarden per jaar.”

Online inbraken kunnen leiden tot schade aan organisaties, door diefstal van bedrijfsgeheimen en markt- en productinformatie. En zelfs tot een daling van de omzet.

Falende beveiliging tast ook het vertrouwen aan dat klanten in organisaties hebben, legt Prickaerts uit. Enkele jaren terug werd het Nederlandse bedrijf Diginota, de leverancier van online certificaten, slachtoffer van een grootschalige cyberaanval. Prickaerts: “Na het nieuws van de inbraak liepen klanten weg bij het bedrijf. Klanten voelden zich niet veilig bij het bedrijf. Diginota is uiteindelijk op de fles gegaan.”

Open deur

Het risico van internetaanvallen vermindert komende jaren volgens Prickaerts niet. “Ik verwacht eerder een toename aan incidenten.” Een toename aan het aantal tools waarmee werknemers, relaties en klanten toegang kunnen krijgen tot bedrijfsinformatie draagt daaraan bij. “Bedrijven zijn 24 uur per dag benaderbaar via de computer maar ook smartphones en tablets.” Beveiliging van bedrijfsinformatie wordt veelal onnodige kostenpost gezien, omdat deze investeringen niet bijdragen aan de omzet. “Het effect van zware maatregelen is niet te meten. Pas als het fout gaat, wordt duidelijk hoe belangrijk passende beveiliging eigenlijk is.”

E-politie

“Het internet is een vrijstaat”, vervolgt Prickaerts. “Dat biedt natuurlijk heel veel voordelen. Maar het beperkt ook de mogelijkheden om met een internet-politie criminelen op te sporen. Wanneer kwaadwillende hackers toch gepakt worden, is vervolging ingewikkeld omdat niet te bepalen is onder welke jurisdictie crimineel gedrag valt.”

Daarbij kunnen bedrijven ook maar beperkt gedwongen worden om gegevens van werknemers, klanten en relaties te beveiligen. Aansprakelijkheid is nogal vaag geregeld, meent Prickaerts. “Wanneer een inbraak heeft plaatsgevonden en gevoelige informatie op straat is komen te liggen, kunnen bedrijven alleen gedwongen worden om hierover naar buiten te treden wanneer het gaat om persoonsgegevens, medische informatie en financiële documentatie van Nederlandse ingezetenen.”

Uitdagende werkomgeving

Er is veel vraag naar hoogopgeleide IT-experts, meent Prickaerts. Het aantrekken van goede krachten voor internetbeveiliging is daarom niet een, twee, drie gedaan. “Bedrijven moeten investeren in een aantrekkelijke omgeving voor data-beveiligers. Door hen voldoende verantwoordelijkheid te geven en te investeren op een aantrekkelijke en uitdagende werkomgeving.” Bedrijven die niet in staat zijn om de hoge kosten voor eigen IT-personeel te dragen, moeten volgens Prickaerts met anderen in de sector in gesprek moeten gaan over gedeelde veiligheidskwesties: “MKB’ers werken nog veel te weinig samen; iedereen gaat op eigen kracht met de veelal complexe materie aan de slag. De resultaten van deze aanpak zijn vanzelfsprekend teleurstellend.”

Daarbij zouden bedrijven in gesprek met leveranciers cybersecurity een veel belangrijkere rol moeten laten spelen, meent Prickaerts: “zijn deze partners in staat om mijn gegevens op een acceptabele manier te beschermen?” Ook klanten zouden zich deze vraag volgens de IT-man vaker moeten stellen.