30 JUN, 2022 • Achtergrond
Beste minister Yesilgöz, redt u ondernemers van cybercriminelen?
Gehackt worden begint een normaal bedrijfsrisico. Politie en justitie reageren vaak vriendelijk, zegt ondernemer Henny de Haas van technisch installatiebedrijf Hoppenbrouwers uit ervaring. Hij schreef een brief aan minister Yesilgöz van Justitie en Veiligheid, want vriendelijk is niet genoeg. ‘Cybercrime is een franchise-model.’
Beste minister Yesilgöz,
Mijn naam is Henny de Haas en ik ben ceo van installatiebedrijf Hoppenbrouwers Techniek. Ons bedrijf heeft 20 vestigingen in Nederland en er werken zo’n 1.600 mensen, met het hoofdkantoor in Udenhout. Wij hebben elkaar nog nooit ontmoet, maar ik wil u graag vertellen over mijn ervaringen met cybercrime.
Weekendsnuffelaars
In juli van vorig jaar werd mijn bedrijf binnengedrongen door hackers in de wereldwijde Kaseya-hack. De aanval werd vrijdags rond 18.00 uur geactiveerd. Waarschijnlijk omdat de criminelen dachten dat er niet meer gewerkt zou worden en zij het hele weekeinde de tijd hadden om door de data te snuffelen. Toevallig waren er bij ons nog mensen aan het werk, die merkten dat er iets misging omdat een collega niet kon inloggen. We hebben meteen alle systemen uitgeschakeld.
Cybercriminelen
Ik vind het belangrijk te vermelden dat de cyberaanval geen gerichte aanval was op ons bedrijf. De criminelen kwamen bij ons binnen via een hack bij softwarebedrijf Kaseya waar wij een product van gebruikten. Daar zat een achterdeur in die werd gebruikt om ook ongemerkt bij ons binnen te komen. Achteraf bleek dat bedrijf daarvan te weten en ik moet u zeggen dat ik wel even baalde dat ze ons dat niet hadden verteld. Had ik het geweten, dan had ik mij kunnen voorbereiden.
Twee weken dicht?
Wij konden door alles op alles te zetten, met 200 medewerkers en een cyberteam, in precies twee dagen onze systemen weer veilig online helpen. Dat ging om 200 servers in 20 vestigingen en ruim 2000 laptops. In eerste instantie was ons verteld dat zoiets twee tot wel drie weken kan duren voor een onderneming van ons formaat. Kunt u zich indenken wat dat betekent voor een bedrijf? Twee tot drie weken geen inkomsten, wel uitgaven. Het lukte ons door een grote gok te nemen en zaken parallel te doen die normaalgesproken elkaar opvolgen. Die gok durfden wij te wagen omdat dit een bedrijf is waar meer dan gemiddelde it-kennis is van software en met initiatiefrijke medewerkers. Iedereen die dacht dat hij of zij nuttig kon zijn, mocht meedenken. Uiteindelijk waren er dat weekeinde 200 mensen fulltime aan het werk.
‘Kunt u zich indenken wat dat betekent voor een bedrijf?’
115 bij gehackt bedrijf
Nu het allemaal afgelopen is, kan ik wel tevreden terugkijken. Maar toch, we hebben alles ter plekke moeten verzinnen. Vooral kleinere bedrijven hebben denk ik niet de resources waar wij over konden beschikken. Dan is een stappenplan wel handig. Er zou een soort brandweer moeten komen waar je als bedrijf naartoe kunt bellen, die je door de hack heen helpt. Een soort 112, een ‘115 Voor een Gehackt Bedrijf’, zou een begin zijn. En hoe goed de politie ons hier ook bejegende, ik denk dat het ook goed is als op een politiebureau assistentie is bij een digitaal ongeval. Zoals ze ook de weg afzetten en zaken regelen bij een ongeluk. De politie repareert jouw auto niet, maar ze helpen je wel uit de eerste problemen met raad en daad.
Het is een keten
Beste mevrouw Yesilgöz, ik denk dat we het er wel over eens zijn dat de problemen van digitale criminaliteit niet afkomstig zijn van 17-jarige jongetjes op zolderkamers, maar van internationale georganiseerde misdaadorganisaties. Het is een keten van franchises die inkopen, organiseren, hacken en het geld innen. Dat is een serieus probleem. Als een bedrijf wordt gehackt heb je allerlei vormen van schade. Het bedrijf ligt plat, er is imagoschade, soms ook vermogensschade en vertrouwelijke gegevens liggen op straat. Dat is een probleem voor het bedrijf, maar ook voor de maatschappij.
‘Cybercriminaliteit is een probleem voor de hele maatschappij’
Internet wacht niet
Ik denk dat dingen sneller kunnen, het internet wacht namelijk niet op politie en justitie. Zodra de veiligheidsdiensten weten dat er een groep actief is in Nederland, zou dat zo snel mogelijk breed gedeeld moeten worden om optimale alertheid in de samenleving te krijgen. Als minister kunt u met uw buitenlandse collega’s ervoor zorgen dat softwarebedrijven worden verplicht om te communiceren na een hack. Ik zou zeggen, zet daar een groep mensen op om te inventariseren wat nodig is voor een snel alert en hoe dat het snelst bereikt kan worden.
Onderhoud
Als technisch installatiebedrijf zou ik willen adviseren om precies te zijn met regelgeving. Hoe goed de softwarebeveiliging ook is, veel hangt af van de implementatie en het onderhoud door de gebruikers. Je kunt de timmerman verplichten om een stevige deur te maken met een goed slot erin, maar hij kan niet verantwoordelijk worden gehouden dat die deur ook daadwerkelijk netjes op slot wordt gezet. Niet elke hack is de schuld van de softwareontwikkelaar. Al die bedrijven die nog op een oude versie van Windows draaien, daar is Microsoft niet schuldig aan. Een gebruiker moet zelf ook zijn systeem veilig houden met up to date software.
‘Het internet wacht niet op politie en justitie’
Praat met uw collega
Een deel van het probleem is dat er op managementniveau te weinig voeling is met ict. Eigenlijk moet iedereen zich verdiepen in die materie, zoals we ook Engels krijgen op school. Praat daar eens goed over met uw collega-minister van Onderwijs. Als veel meer mensen weten hoe de cyberwereld achter de schermen werkt, wordt het ook digitaal veiliger.
Deltaplan ict
Beste minister, tot slot, data en digitalisering wordt steeds belangrijker. Elk bedrijf heeft zijn robots aan het internet hangen, de overheid haar sluizen en beweegbare bruggen. Het belang om daar serieus op in te spelen wordt steeds urgenter. Er is een langetermijnplan nodig met een visie waar we naartoe gaan. De digitale wereld is een 20-koppig monster. Om Nederland daar veilig bij te houden is een Deltaplan voor de ict hoognodig.
Op de hoogte blijven van onze beste artikelen? Schrijf je dan gratis in voor onze nieuwsbrief.
Handig: de wekelijkse Forum-alert
Handig: de wekelijkse Forum-alert