Pagina 30 van: Marktvisie November – 11 2018
Internet
NR 11 | NovembeR 201830
Cybercrime in het mkb
Volgens Dataprovider.com is driekwart van de 500.000 websites in het
mkb onveilig. Hoogleraar Lokke Moerel (Universiteit van Tilburg en
Cyber Security Raad) onderschrijft deze schatting. Maar er is hoop.
Ethische hackers zijn minstens zo slim als hun criminele opponenten.
In dit artikel geven ze tips: “Hackers zijn gelegenheidsdieven. Als
jouw systeem minder veilig is, ben jij aan de beurt.”
Tekst: Ton Verheijen
Ethisch hacker Loran Kloeze kroop als 4-jarige achter de computer van zijn
ouders en er ging een wereld voor hem
open. Zijn eerste computer, een Philips
P3105 met MS-DOS 3.11, moest het met-
een ontgelden. Hij liet hem expres vastlo-
pen of te heet worden, soldeerde lampjes
aan de poorten, haalde diskettes, toetsen-
borden en harde schijven uit elkaar, of
desnoods de hele computer. Als het ding
zijn geheimen maar prijsgaf.
Risico’s
Met 28 jaar ervaring is Kloeze (32) een
oude rot in het vak. In 2015 richtte hij
Ralon Cybersecurity op en sindsdien helpt
hij kleine ondernemers. Kloeze schrikt
vaak van het gemak waarmee hij gegevens
boven water krijgt, en dat heeft volgens
hem alles te maken met een gebrek aan
bewustzijn: “Kleine ondernemers zijn zich
totaal niet bewust van de risico’s die ze
lopen. Echt, ze hebben geen idee. Ik krijg
zelden een concrete vraag. Ze weten niet
wat ze met cybersecurity aan moeten.”
Sijmen Ruwhof, al 12 jaar actief als IT-be-
veiliger, geeft een soortgelijk signaal af.
Ruwhof beweert op basis van 500 bedrijfs-
scans dat 80 procent van de opgeleverde
IT-systemen onveilig is. Hij weet zelf hoe
in te breken in websites, interne kantoor-
netwerken, e-mailprogramma’s, smart-
phones, wifi en beveiliging van
persoonsgegevens in databases. Ruwhof:
“En het bizarre is: alle trucs worden op in-
ternet door de hackers zelf uitgelegd.”
Ook Ruben van Vreeland van de Eindho-
vense startup BitSensor, sinds zijn 14e ac-
tief als hacker, geeft weinig reden voor
optimisme: “Ik kom altijd binnen.” Geluk-
kig doet Van Vreeland het “om de ‘bad
guys’ een hak te zetten”.
Rampenplan
Veel kleine bedrijven hebben hun web-
site jaren geleden laten bouwen door
‘een mannetje’ dat wel wist hoe dat
moest. Het resultaat laat zich raden. On-
dertussen groeide de website, moest soft-
ware worden aangepast, kwamen nieuwe
functies beschikbaar en werd nieuwe ap-
paratuur aan de computer gekoppeld. En
inmiddels weet intern niemand meer
hoe het zit. Security? Schiet mij maar lek.
Ruwhof ziet een chronisch gebrek aan
kennis bij zijn klanten. Hij werkt voor za-
kelijke dienstverleners, woningbouwver-
enigingen, ingenieursbureaus, VvE’s,
banken, verzekeraars en zorginstellingen.
Ruwhof: “Mijn kernboodschap? Ga ervan
uit dat je systeem onveilig is en werk toe
naar een veilige set-up. Huur een expert
in voor risicoanalyses en inbraaktesten.
En weet dat hackers gelegenheidsdieven
zijn. Als jouw systeem minder veilig is
dan dat van je buren, ben jij aan de
beurt.”
Brancheverenigingen als Uneto-VNI, MKB
Nederland en Bouwend Nederland onder-
kennen het probleem. Bouwend Neder-
land is sinds twee jaar bezig met
bewustwording binnen bouwbedrijven.
Volgens beleidsmedewerker Joppe Duin-
dam, die cyberveiligheid in z’n portefeuille
heeft, loopt de bouwsector niet méér risico
dan andere sectoren. Desalniettemin: het
probleem is groot genoeg. Duindam: “Onze
leden hebben last van phishing, ransom-
ware en aanvallen die helemaal niet op
hen gericht zijn maar waar ze wel last van
hebben. Mijn advies? Zorg voor je firewall
en antivirussoftware, haal op tijd updates
binnen, maak goede back-ups, voer tests
uit en maak een rampenplan, zodat je
weet wat er moet gebeuren als het toch
mis gaat.”
Kroonjuwelen beschermen
Terug naar ‘oude rot’ Kloeze. Die komt in
zijn dagelijkse praktijk nogal wat ‘klunzig-
heid’ tegen. In bijna elk kantoor is het
raak. Op bureaus vindt hij gele briefjes
met wachtwoorden, naw-gegevens en fi-
nanciële gegevens van klanten. Ook in de
buurt van de printer is het vaak feest: een
vergeten uitdraai van een jaarrekening,
een factuur, een salarisstrook. Of twee. Of
Ethische hackers over slordigheden en stommiteiten
30-31_cybercrime.indd 30 24-10-18 11:31