Samen Digitaal Veilig is een initiatief van MKB-Nederland en VNO-NCW

Veilig samenwerken
in de keten

De kunst van het ethisch hacken

Wouter van Dongen is al sinds zijn kindertijd gefascineerd door technologie en computersystemen. Zijn passie voor hacken begon als een hobby, maar groeide al snel uit tot een professionele carrière. In zijn rol als ethisch hacker helpt hij bedrijven beveiligen tegen kwaadwillende hackers. In dit artikel deelt hij waardevolle lessen waarmee elke organisatie zijn voordeel kan doen.

Jong geleerd

Als kind was Wouter al enorm geïnteresseerd in hoe dingen werken. En dan vooral hoe hij door alledaagse dingen na te maken mensen om de tuin kon leiden. Wouter: “Ik vond het fascinerend om te zien hoe alledaagse dingen zó gewoon waren voor mensen dat ze er eigenlijk niet meer bij nadachten. Bijvoorbeeld een buskaartje. Kun je dat namaken? En dan zo goed namaken dat het ook werkt?”

Wouter probeerde het en het lukte. Het ging hem niet om het gratis reizen maar om de kick dat hij, een tiener, zoiets kon namaken. Al snel werden zijn ogen getrokken naar internet. “Vrijwel niemand hield zich destijds bezig met de beveiliging van systemen en websites, de nadruk lag op de functionaliteit.”

Wouter: “Zonder technische kennis heb ik op mijn dertiende een casino gehackt door simpelweg de handleiding van het betaalsysteem te lezen en nieuwsgierig te zijn. Ik kwam erachter dat ik met een trucje de valuta kon aanpassen bij een betaling. De 1000 lire die ik overmaakte werden geregistreerd als 1000 dollar. Het was niet mijn doel om geld te verdienen, ik wilde gewoon indruk maken op mijn vriendjes. ”

Iedereen kan slachtoffer worden

Tegenwoordig helpt Wouter als ethisch hacker met zijn bedrijf grote en kleine organisaties met hun IT-beveiliging. Dagelijks ontdekt hij kwetsbaarheden en meldt deze bij de desbetreffende organisaties.

Wouter: “Je ziet dat vooral het mkb nog een enorme inhaalslag te maken heeft. Zij hebben niet de kennis en de middelen om zich te beschermen tegen hackers. Daarbij denken ze vaak dat een cyberaanval hen niet zal overkomen, wat een grote misvatting is. De kans is juist groot dat je slachtoffer wordt. En omdat alles tegenwoordig met elkaar verbonden is, kunnen jouw gestolen gegevens een cruciale rol spelen bij cyberaanvallen op andere organisaties. Je bent dan de zwakke schakel in de keten, waardoor andere bedrijven slachtoffer worden.”

Hackers zijn geen wiskundige genieën

Volgens Wouter schieten hackers tegenwoordig niet gericht, maar met hagel. Ze downloaden een stukje code op het Darkweb, drukken op start en eigenlijk gaat het hacken dan vrijwel vanzelf.

“Hacken kan makkelijk zijn, je hoeft hier geen wiskundig genie voor te zijn zoals veel mensen denken. Criminelen zijn met name op zoek naar de kwetsbaarheden die eenvoudig uitgebuit kunnen worden om makkelijk hun slag te kunnen slaan. Er zijn hele marktplaatsen voor hackers waarin gegevens met elkaar worden uitgewisseld. Voor veel geld uiteraard. Het zou zomaar kunnen dat jouw e-mailadres en wachtwoord worden verhandeld. En via jouw e-mail kan er dan verder gezocht worden naar zwakheden in systemen.

Er is zelfs zoiets als Ransomware-as-a-Service (RaaS). Criminelen maken gebruik van deze dienst en als ze dan losgeld krijgen, staan ze een percentage af aan de maker van deze ransomware. Er is zo een hele economie ontstaan rondom internetcriminaliteit.”

Leer denken als een hacker

Wouter checkt regelmatig systemen en websites op veiligheid.

“Soms zie ik al binnen een paar minuten of een organisatie goed bezig is of niet. Ik denk als een hacker, dus ik let natuurlijk op specifieke zwakheden, maar vooral welke gevolgen deze kwetsbaarheid kan hebben voor de gehele organisatie. Dat raad ik bedrijven ook aan: leer denken als een hacker. Wat zou een hacker met mijn informatie willen doen en hoe kan diegene bij die informatie kunnen komen? Als je dat doet zul je merken dat je een aantal basismaatregelen kunt nemen die je direct veel onaantrekkelijker maken voor hackers. Een inbreker zal ook sneller zoeken naar een onbeveiligd huis.

Allereerst: bewustwording. Dat is echt het belangrijkste. Systemen kunnen technisch nog zo veilig zijn, er is altijd de menselijke component. Dus, bijvoorbeeld, niet zomaar op links of bijlagen klikken in een e-mail.

Ten tweede: wachtwoorden. Mensen blijven daar slordig mee omgaan terwijl het de eerste muur is waar hackers tegenaan lopen. Wachtwoorden zijn vaak makkelijk te raden of staan zonder dat mensen het weten al op internet. Het is daarom belangrijk om tweestapsverificatie te gebruiken, dan bouw je extra veiligheid in.

Als derde: zorg dat je je updates uitvoert. De ontwikkelingen gaan zo snel, er worden steeds nieuwe zwakheden in software ontdekt. Gelukkig repareren softwarebedrijven deze kwetsbaarheden meestal snel, maar dan moet je ze wel installeren.”

Het grootste veiligheidsrisico: ransomware

‘Al uw bestanden zijn versleuteld! Betaal losgeld’. Steeds meer ondernemers ontvangen zo’n bericht. Met ransomware gijzelen hackers je bestanden en vragen serieus geld om alles weer terug te krijgen.

Wouter: “Het is een echte pandemie, dagelijks lees je in het nieuws dat bedrijven worden gegijzeld. Het uitvoeren van dit soort aanvallen wordt dus helaas steeds eenvoudiger. Daarom is het ontzettend belangrijk om voor goede back-ups te zorgen. Mocht je onverhoopt toch een keer slachtoffer worden van een ransomware-aanval dan voorkom je dat de hele organisatie mogelijk langdurig plat komt te liggen.

Heel belangrijk daarbij is dat je de back-ups regelmatig controleert. Ik heb meerdere malen meegemaakt dat bedrijven een back-up hadden, maar dat ze de gegevens niet konden terugzetten. Soms vergaten ze belangrijke gegevens of waren de back-upbestanden op de een of andere manier verbonden met het netwerk waar de hackers toegang toe hadden. Je moet ervoor zorgen dat je regelmatig proefhersteltests uitvoert. Alleen dan weet je zeker dat de gegevens teruggezet kunnen worden in geval van een aanval.”

De zwakste schakel

“Veel mensen denken dat alleen “belangrijke” computersystemen goed beveiligd moeten worden. Echter is het zo dat je zo sterk bent als de zwakste schakel.”

Als voorbeeld vertelt Wouter over een fout die hij had ontdekt bij Schiphol in 2019, toen hij een klacht wilde indienen vanwege last van laag overvliegende vliegtuigen in zijn woonplaats.

“Ik zag dat die website de beveiliging niet op orde had. Ik probeerde wat en al snel had ik toegang tot alle data in het systeem, NAW-gegevens, klachten, emailadressen en leesbare wachtwoorden van alle gebruikers. Naast de gegevens van melders stonden er ook gegevens in van stakeholders, zoals mensen die werkzaam waren bij Schiphol en luchtvaartmaatschappijen. Daarom had ik in theorie de gegevens van het klachtensysteem kunnen gebruiken om ‘door te hoppen’ naar belangrijkere systemen binnen Schiphol die beter beveiligd zijn. Deze fout heb ik direct bij Schiphol gemeld natuurlijk.

Het zorgelijke is dat je via zo’n relatief onbelangrijk systeem toch schade kan aanrichten bij belangrijke systemen. Beveiliging moet als een geheel gezien worden, niet als losse eilandjes.”

Aansprakelijkheid in de keten

Dat brengt ons op de nieuwe Europese cybersecuritywet NIS2, die voor veel meer bedrijven gaat gelden, ook voor delen van het mkb.

“De NIS2-richtlijn zal impact hebben op veel organisaties. Bijvoorbeeld als je zakendoet met essentiële of belangrijke bedrijven. Als organisatie moet je aantoonbaar aan bepaalde voorwaarden voldoen. De ontwikkelingen gaan zo snel. Het is lastig als ondernemer bij te benen aan welke nieuwe richtlijnen en wetgeving moet worden voldaan. En ondernemers zijn al ontzettend druk met het draaiende houden van hun bedrijf. Dan begrijp ik wel dat je niet zit te wachten op nog meer regeltjes. Maar het is natuurlijk niet voor niets. 100% veilig is niet haalbaar, maar je kunt wel heel veel doen om hackers te ontmoedigen.”

Doe mee met het webinar: “Leer denken als een hacker”

In dit webinar gaat Wouter van Dongen dieper in op de hacker en zijn werkwijze. Hoe denkt hij, wat zijn de gevaren voor jouw bedrijf, hoe gaat hij te werk, waar let hij op als hij in wil breken? Wouter is een enthousiast spreker die zijn verhaal doorspekt met anekdotes en interessante feitjes.

TechOne: ‘Nieuwe regelgeving zoals NIS2 wetgeving helpt om cybersecurity op de agenda van de directie te zetten’
Impact NIS2 vooral op directie, medewerkers en leveranciers
René van Etten, ThreadStone Cybersecurity: ‘Informatiebeveiliging is geen project, maar een proces!’
De NIS2 komt eraan: Tekort aan cybersecurity specialisten
Interview met Johan van Slooten, Director Cybersecurity & Risk management bij Hoffmann: ‘Laat cyberdreigingen niet het laatste woord hebben, neem zelf actie!’