2015 lwv cybercrime

advertisement
Cybercriminaliteit te lijf
‘Kom maar op met die aangiftes’
Roermond • Dansers van dansgroep Benito uit Brunssum die tijdens keiharde hiphop
beats hun maskers afwerpen. Symbool voor de ontmaskering van internetcriminelen?
Wie schuilt er achter die misdadigers? Of hoe herken je een boeventronie? Het is maar
welke betekenis je er aan wenst te geven. Het is in ieder geval de creatieve opmaat naar
een boeiende namiddag over cybercrime. Wat is internetcriminaliteit? Hoe voorkom je
het en hoe ga je om met de gevolgen? Of, zoals dagvoorzitter Wim Weijnen het
formuleert: “aanwezigen die er nog niet van overtuigd zijn dat ze een probleem hebben,
of er mogelijkerwijs tegen gaan oplopen die zullen als ze deze zaal hebben verlaten daar
beslist anders over denken.” De toon is gezet. De ruim tweehonderdvijftig Limburgse
ondernemers, verzameld in de Roermondse Oranjerie, gaan er op het jaarcongres van
de LWV eens goed voor zitten. En ze worden niet teleurgesteld. Integendeel.
Cybercrime is criminaliteit met computertechnologie als middel en doelwit. Eén op de acht
mensen is wel eens slachtoffer geworden van cybercrime. Dit blijkt uit cijfers van het CBS.
Deze vorm van misdaad treft vooral het bedrijfsleven. Driekwart van de jaarlijkse schade (8,8
miljard euro) wordt geleden door ondernemingen. Puur economisch gezien wordt het
bedrijfsleven het zwaarst getroffen door internetboeven. ‘Dat overkomt mij toch niet, bij ons
is niets te halen’ is allang een achterhaald cliché, ook bij Limburgse MKB bedrijven. Bijna
een derde van alle MKB bedrijven heeft op een of andere wijze wel eens te maken gehad met
cybercriminelen. Ofwel, cybercrime is geen ‘ver van mijn bed show’ meer voor Limburgse
bedrijven.
Vier cybercrime deskundigen geven deze middag acte de présence. Ieder vanuit hun eigen
aandachtsgebied laten ze hun licht schijnen over criminaliteit via internet. Voormalig hacker
Stan Hegt is sinds zeven jaar manager Information Protection Services bij KPMG. Christian
Prickaerts is principal forensisch IT expert bij Fox-IT en dagelijks betrokken bij complexe
security incidenten bij grote organisaties. Yolanda van Setten fungeert als cybercrime officier
bij het Openbaar Ministerie en Godfried Klerkx is tactisch projectleider cybercrime bij de
politie-eenheid Limburg.
Stan Hegt -door Wim Weijnen aangekondigd als de ethische hacker- is vanaf zijn tiende
levensjaar actief geweest als hacker. Hij kwam er op tijd achter dat hacken misschien toch
niet de meest verstandige keuze zou zijn op zijn levenspad en besloot van zijn hobby zijn
beroep te maken. “Ik wil hackers van u maken”, opent hij zijn betoog. “Ofwel zet die bril op
van de cybercrimineel. Kijk door die bril naar je eigen onderneming. En stel je dan de vraag
wat valt er eigenlijk te halen, waarom zou ik bij die organisatie digitaal inbreken.” Als ballen
in een flipperkast schieten de antwoorden uit de zaal alle kanten op. Bedrijfsinformatie,
klantgegevens, onderzoeksgegevens, geld, schade berokkenen, fun omdat het leuk is.
“Allemaal legitieme redenen om te hacken”, constateert Hegt kwajongensachtig. De zaal
lacht. “Sorry”, verontschuldigt Hegt zich. Niet legitiem natuurlijk, maar crimineel.” Om
vervolgens antwoord te geven op de vraag wie is dat eigenlijk dat cybercrimegespuis? Hegt
onderscheidt vier typen: scriptkiddies, de pubers die het ‘vak’ onder meer leren via YouTube.
De digitale georganiseerde misdaad, aanvankelijk voornamelijk gesitueerd in Oost-Europa,
maar door de olievlekwerking steeds dichter bij huis, de hacktivisten, activisten die hun
doelstellingen willen realiseren via cybercrime en de national states hackers, digitale
spionage waar een land achter zit. “Die laatste groep is voor ondernemers minder interessant.
Dan wordt het een soort James Bond verhaal. “Daar gaan jullie maar voor naar de bioscoop.”
Nee, wat Hegt voor ogen heeft is om de aanwezigen te laten denken in
risico’s. En dan komt de grootste dreiging uit de groep digitale
georganiseerde misdaad, die louter uit is op geld. Uit zijn eigen praktijk als voormalig hacker
schetst hij hoe eenvoudig het is -relatief gesproken- om op technische wijze een geldautomaat
te kraken. Of, in een ander praktijkvoorbeeld, door misleiding van de mens -social
engineering- je doel te bereiken. De boodschap achter zijn voorbeelden is zonneklaar. De
praktijk van cybercrime is bijna altijd een combinatie van techniek en social engineering. Een
cybercrime aanval verloopt theoretisch gezien in drie stappen: eerste stap is het binnendringen
in het systeem van het potentiële slachtoffer. Stap twee is om bij de gevoelige informatie te
geraken die interessant is voor de hacker. Stap drie: wegsluizen van de gevoelige informatie.
Cybercriminelen maken onder meer gebruik van Leakedin. Een website die datalekken
bijhoudt ofwel creditcards- en wachtwoordgegevens, etc. opspoort. Hegt opent een website
met een paar honderd e-mail adressen en wachtwoorden. “Datalekken zijn aan de orde van de
dag”, legt hij uit. “Als je op zestig tot zeventig websites een account gebruikt met naam en
wachtwoord is de kans groot dat het bij een van die websites een keer mis gaat en je gegevens
op straat komen te liggen. Reden genoeg dus om wachtwoorden te veranderen. Hergebruik
kan heel gevaarlijk zijn.” Ook het gebruik maken van phishing wordt toegepast door
cybercriminelen. Waarbij vaak wordt ingespeeld op de hebzucht van de slachtoffers. Hegt
staaft dat wederom met een voorbeeld uit de praktijk. “Geef ze een prijs, houd ze een worst
voor.” Via een phishingmail, voorzien van een prijsvraag waarbij een Ipad te winnen viel,
voerde zijn bedrijf voor klanten een test uit naar veiligheidsbewustzijn. Veertig procent van
de benaderden trapt er in en laat gebruikersnaam en wachtwoord achter.
“Beveiligingsbewustzijn is uitermate belangrijk”, aldus Hegt, “als je constateert dat bij onze
beste klant toch nog 1 op 7 medewerkers zijn wachtwoord en gebruikersnaam achter laat.”
Hij vervolgt met de constatering dat drive by download een belangrijk wapen is in vaak
voorkomende aanvallen op internet. Het heeft allemaal te maken met reguliere software die
op je computer staat. Hackers lokken je naar een website waar een kwaadaardige code op
staat. Die code haalt een lek naar boven, waardoor op afstand je besturingssysteem kan
worden overgenomen en malware op je computer kan worden geplaatst. Uw pc is gehackt en
besmet met malafide software. “U voelt zich als Alice in Wonderland”, zegt Hegt poëtisch.
“U heeft geen idee meer wat fictie is en realiteit.” Die realiteit is vaak dat criminelen u op die
wijze uw zuurverdiende geld afhandig maken. Ransomware is een chantagemethode op
internet door middel van malware. Letterlijk vertaald betekent ransom: losgeld. Ransomware
is een programma dat een computer blokkeert en vervolgens van de gebruiker geld vraagt om
de computer weer vrij te maken. U betaalt dan zogenaamd via een politie pc card –zeg maar
een digitale cadeaubon- aan het politieapparaat. In werkelijkheid gaan de cyber gladjanussen
er met uw geld vandoor.
Een verbluffend staaltje van hoe kwetsbaar uw gegevens kunnen zijn toont Hegt aan op een
website die gehackte gegevens verkoopt. “Als er iemand in de zaal aanwezig is met een
creditcard Geleen 6161 CZ met alle gegevens inclusief vervaldatum, beveiligingscode en
adresgegevens, dan kunt u zich bij mij melden. Uw creditcardgegevens staan voor twee dollar
te koop.” Verbijsterend.
Hegt wil de aanwezigen niet bang maken, maar vooral aansporen meer attent, oplettend te
zijn. Daarbij is het in zijn visie belangrijk dat ondernemers investeren in een uitgebreid
beschermingspakket. “Een standaard antiviruspakket doet niet zo veel. Daarnaast verdient het
tijdig installeren van updates superprioriteit. “Van de helft van de Nederlanders is de pc lek
omdat die niet tijdig is geüpdate.” Hij verwijst naar de campagne veiligzakelijkinternetten.nl
die ondernemers de kans biedt de veiligheid van hun digitale
bedrijfsomgeving op de proef te stellen. “Ik ben begonnen met jullie
hackers te maken. Op het moment dat je snapt wat de bedreiging is, heb je ook de eerste stap
gezet om te snappen wat je er tegen kunt doen”, besluit Hegt. Een klaterend applaus is zijn
deel.
Maar als het dan toch mis gaat, als een cyberprobleem de organisatie binnendringt, is het zaak
snel te handelen. Christian Prickaerts: “Computer security is gebaat bij een snelle respons.
Anders is het huis al afgebrand voordat we kunnen blussen. Cybersecurity incidenten bij u als
ondernemer zijn voor ons een feestje.” Waarmee hij maar wil aantonen hoe gedreven zijn
medewerkers zijn om de cyberproblematiek op te lossen. Zoals gezegd, bij cyberincidenten is
de factor tijd leidinggevend. “Houd er rekening mee als u een week te laat bent, dan is het ook
echt te laat”, houdt Prickaerts zijn gehoor voor. Het reageren op incidenten is in de ogen van
Prickaerts geen reguliere IT taak. “Er is een duidelijk verschil tussen mensen die weten hoe
het systeem werkt en mensen die ervaring hebben met hoe ze onderzoek moeten doen.
Medewerkers die weten hoe het systeem werkt zijn bij een incident snel geneigd de fout à la
minute te herstellen. Logisch vanuit hun oogpunt, dat begrijp ik ook wel want de focus ligt op
de organisatie, dus snel weer aan de slag. Maar door die stap te zetten vernietig je misschien
belangrijke sporen die ons kunnen helpen om vast te stellen hoe een en ander heeft kunnen
gebeuren en wat u moet doen aan preventie. Maar ook als u besluit gerechtelijke stappen te
ondernemen is het belangrijk middelen aan te reiken om criminelen op te sporen.” Het
opsporen van cybercrime begint met een digitale reconstructie. “Wat we dan vaak zien, is dat
we bij klanten een bepaald incident onderzoeken waarbij we sporen aantreffen van andere
incidenten waarvan de opdrachtgever geen weet heeft. Vanzelfsprekend eigenlijk, want de
cybercrimineel wil niet hebben dat u ontdekt dat hij in uw netwerk actief is. Het is van belang
dat u weet wat er in uw netwerk gebeurt, dat u er zicht op heeft. Dat is beduidend, want bij
een incident zijn dat vragen die wij ook aan u stellen. Weet dus wat er in uw digitale
omgeving gebeurt. Bewaar die informatie ook enige tijd. Wanneer vindt een incident plaats en
wanneer wordt het gedetecteerd? De praktijk wijst uit dat het gemiddelde ligt op een aantal
weken. De cybercrimineel is binnen een dag klaar.” Prickaerts ervaart dat bij cybercrime
incidenten conflicterende bedrijfsbelangen kunnen ontstaan binnen afdelingen van een
organisatie. In de ogen van Prickaerts is ‘een incident nooit zo groot als het lijkt, het is
groter.’ Waarmee hij maar wil zeggen dat een dergelijk incident een moment moet zijn om
een fundamentele verandering te bewerkstelligen binnen de organisatie. “Wij leggen een
vergrootglas op uw infrastructuur en zien het probleem waardoor het incident is ontstaan. In
de loop van ons onderzoek komen we vaak nog andere problemen tegen die een risicofactor
met zich meedragen. Regelmatig betreft dat een vorm van achterstallig onderhoud. Denk daar
over na, laat dat checken door professionals. Een incident is vaak het begin van een traject dat
wat langer gaat duren. Een spaarzaam moment waarin de onderneming in staat is om
fundamentele veranderingen door te voeren in de eigen organisatie. Cybersecurity is
tegenwoordig part of the business. Het is geen optie om het niet te doen. Sterker nog, vanaf 1
januari 2016 treedt de wetswijziging ‘Meldplicht van datalekken en uitbreiding bestuurlijke
boetebevoegdheid College Bescherming Persoonsgegevens (CBP) in werking en moet een
datalek worden gemeld bij het CBP en bij de betrokkenen indien het lek nadelige gevolgen
kan hebben voor hun persoonlijke levenssfeer. Wie een datalek niet vermeldt riskeert een
boete die kan oplopen tot maximaal € 810.000,- Overigens, het ligt in de lijn van
verwachtingen dat het CBP richtsnoeren opstelt die meer duidelijkheid geven over de
daadwerkelijke handhaving van deze wetswijziging. Neemt niet weg dat het van groot belang
is een duidelijk actieplan achter de hand te hebben hoe te handelen bij cybercrime. Je kunt er
maar beter goed op zijn voorbereid.”
LWV werkt intensief samen met andere werkgeversorganisaties in
Limburg. Bijvoorbeeld in het Regionaal Platform
Criminaliteitsbestrijding (RPC). Daaruit is ook een nauwe samenwerking ontstaan met zowel
het openbaar ministerie als met de politie eenheid Limburg.
“Nou denkt u natuurlijk mevrouw de officier is er, het komt allemaal goed. Toch?”
introduceert Yolanda van Setten zichzelf. Ze is ontegenzeggelijk een topper in haar
vakgebied, gezien ook het gezag dat ze uitstraalde in de serie ‘De beste in zijn vak’ in het
tijdschrift Vrij Nederland waarin Coen Verbraak haar portretteerde. Ze windt er geen
doekjes om. “Als u alles op orde heeft, kunnen wij, openbaar ministerie en politie aan de slag
gaan. Maar heel veel mensen en bedrijven hebben hun cyberzaken niet in orde. Wat zie ik als
officier en wat bespeuren mijn politieagenten? Nou, we zien de kwajongens achter hun
laptopje in de woonkamer. Terwijl pa geen idee heeft wat ze aan het doen zijn leggen ze op
een ochtend even de website van de ABN bank plat. Natuurlijk zien we ook de criminele
groeperingen, niet alleen uit Nederland, maar ook uit Afrika, Wit-Rusland, Oekraïne, China.
Een internationaal gezelschap dus en dat vraagt om een internationale samenwerking.
Cybercrime is grensoverschrijdend, mijn bevoegdheden helaas niet. Krijgt u een beetje een
beeld van hoe ik moet werken? Wat hebben we nou nog meer? De hacktivisten natuurlijk en
de ouderwetse oplichter die vroeger nog wel aan de deur kwam maar nu warm en droog
achter zijn computer met een sigaretje en een biertje u een loer probeert te draaien,
bijvoorbeeld op Marktplaats.nl. Dat zijn de groeperingen die we zien en waar we ons mee
bezig houden. Bij bedrijven is er vooral sprake van hacken en defacing, DDos aanvallen,
phishing en malware. Stel uw telefooncentrale is gehackt en u vraagt of ik onderzoek wil
doen, dan ben ik over een half jaar tot een jaar nog niet klaar. Als ik niet de eerste IP heb
waarmee gehackt is, kom ik helemaal nergens uit. Dus vanaf vandaag: verander altijd uw
standaard pincode. Het lijkt zo eenvoudig, maar het gebeurt heel veel en we spreken bij deze
praktijken over grof geld. U kunt sinds vanmiddag ook hacken. Ik ook. Het staat allemaal op
internet, ik kan ook uw website aanpassen. Zo simpel is het soms. Mijn advies: vertrouw
helemaal niets meer. Kijk goed naar uw mail. Waar komt hij vandaan? Is ie wel
betrouwbaar? Zeker als er veel geld mee is gemoeid is mijn aanbeveling: bel even. Gewoon
even checken. Heel veel websites worden platgelegd door overvraging van een dienst
waardoor die dienst niet meer functioneert. Dat gaat vaak in combinatie met afpersing.
Kinderlijk eenvoudig, het wordt u uitgelegd op YouTube. De boodschap van vandaag is ook,
ondanks vaak onze beperkte mogelijkheden, dat als we eenmaal aangiftes hebben en we
kunnen die matchen met andere aangiftes dan hebben we soms heel veel data bij elkaar
waarmee we uit de voeten kunnen. En ook boeven maken fouten. Vaak leiden hun fouten uit
het verleden tot goede resultaten in de toekomst. En bent u helaas daadwerkelijk slachtoffer
van cyberboeven dan komt u terecht bij mijn politie.” “Inderdaad”, beaamt Godfried Klerkx.
Als politie concentreren we ons op drie zaken: intake, informatiepositie en opsporing. Wat
kunt u doen als u bent aangevallen door cybercriminelen? U kunt de schade herstellen, de
beveiliging aanscherpen. Vanuit de overheid is een campagne opgestart, Alert Online, doe er
uw voordeel mee. U kunt aangifte doen, een strafrechtelijke procedure starten. Dat vraagt van
onze kant om samenwerking met u. Wij willen graag weten wat er speelt in uw onderneming
als het gaat over cybercrime waarbij samenwerking met u evident is. Meld cybercrime op
www. politie.nl en deel het met uw collega’s. Als u een keuze maakt voor een
opsporingsverzoek, beslist het openbaar ministerie over daadwerkelijke opsporing en
vervolging.”
In de zuidelijke provincies spreken we dan over meer dan drieduizend aangiftes per jaar.
Opsporing in de cybercrime is vaak een kwestie van lange adem. Stroperige procedures in
verre landen zijn daar mede debet aan. Van de andere kant vallen ook
internationale rechtshulpverzoeken bij van Setten op het bureau en
vervolgens op het bordje van de politie.
Als het gaat om het straffen van daders pleit van Setten voor ontneming en
schadevergoeding. Want waar draait het om zegt ze met stemverheffing: geld! “Dat geld wil
ik hebben, daar zetten we nadrukkelijk op in als openbaar ministerie als ik in de rechtbank
sta.” Gedecideerd: “Kom maar op met die aangiftes. Ik ga ze niet allemaal oplossen, dat gaat
me niet lukken. Maar alle informatie gezamenlijk geeft mij wel voldoende beeld om
internationaal weer verder te kunnen opereren.”
Wim Weijnen sluit de avond af met de mededeling dat ondernemers die de kans willen
grijpen hun cybersecurity gratis te verbeteren terecht kunnen in de naast de Oranjerie
geparkeerde KPN bus van Veilig Zakelijk Internetten, een initiatief van MKB Nederland.
Maar eerst is het tijd voor een hapje en een drankje. En, verkondigt Weijnen als uitsmijter niet
zonder trots aan, “vandaag lanceren we ook onze LWV app, boordevol informatie.”
Ongetwijfeld hackersproof.
Frans Hermans
Download