Cybercriminaliteit te lijf
‘Kom maar op met die aangiftes’ Roermond • Dansers van dansgroep Benito uit Brunssum die tijdens keiharde hiphop beats hun maskers afwerpen. Symbool voor de ontmaskering van internetcriminelen? Wie schuilt er achter die misdadigers? Of hoe herken je een boeventronie? Het is maar welke betekenis je er aan wenst te geven. Het is in ieder geval de creatieve opmaat naar een boeiende namiddag over cybercrime. Wat is internetcriminaliteit? Hoe voorkom je het en hoe ga je om met de gevolgen? Of, zoals dagvoorzitter Wim Weijnen het formuleert: “aanwezigen die er nog niet van overtuigd zijn dat ze een probleem hebben, of er mogelijkerwijs tegen gaan oplopen die zullen als ze deze zaal hebben verlaten daar beslist anders over denken.” De toon is gezet. De ruim tweehonderdvijftig Limburgse ondernemers, verzameld in de Roermondse Oranjerie, gaan er op het jaarcongres van de LWV eens goed voor zitten. En ze worden niet teleurgesteld. Integendeel. Cybercrime is criminaliteit met computertechnologie als middel en doelwit. Eén op de acht mensen is wel eens slachtoffer geworden van cybercrime. Dit blijkt uit cijfers van het CBS. Deze vorm van misdaad treft vooral het bedrijfsleven. Driekwart van de jaarlijkse schade (8,8 miljard euro) wordt geleden door ondernemingen. Puur economisch gezien wordt het bedrijfsleven het zwaarst getroffen door internetboeven. ‘Dat overkomt mij toch niet, bij ons is niets te halen’ is allang een achterhaald cliché, ook bij Limburgse MKB bedrijven. Bijna een derde van alle MKB bedrijven heeft op een of andere wijze wel eens te maken gehad met cybercriminelen. Ofwel, cybercrime is geen ‘ver van mijn bed show’ meer voor Limburgse bedrijven. Vier cybercrime deskundigen geven deze middag acte de présence. Ieder vanuit hun eigen aandachtsgebied laten ze hun licht schijnen over criminaliteit via internet. Voormalig hacker Stan Hegt is sinds zeven jaar manager Information Protection Services bij KPMG. Christian Prickaerts is principal forensisch IT expert bij Fox-IT en dagelijks betrokken bij complexe security incidenten bij grote organisaties. Yolanda van Setten fungeert als cybercrime officier bij het Openbaar Ministerie en Godfried Klerkx is tactisch projectleider cybercrime bij de politie-eenheid Limburg. Stan Hegt -door Wim Weijnen aangekondigd als de ethische hacker- is vanaf zijn tiende levensjaar actief geweest als hacker. Hij kwam er op tijd achter dat hacken misschien toch niet de meest verstandige keuze zou zijn op zijn levenspad en besloot van zijn hobby zijn beroep te maken. “Ik wil hackers van u maken”, opent hij zijn betoog. “Ofwel zet die bril op van de cybercrimineel. Kijk door die bril naar je eigen onderneming. En stel je dan de vraag wat valt er eigenlijk te halen, waarom zou ik bij die organisatie digitaal inbreken.” Als ballen in een flipperkast schieten de antwoorden uit de zaal alle kanten op. Bedrijfsinformatie, klantgegevens, onderzoeksgegevens, geld, schade berokkenen, fun omdat het leuk is. “Allemaal legitieme redenen om te hacken”, constateert Hegt kwajongensachtig. De zaal lacht. “Sorry”, verontschuldigt Hegt zich. Niet legitiem natuurlijk, maar crimineel.” Om vervolgens antwoord te geven op de vraag wie is dat eigenlijk dat cybercrimegespuis? Hegt onderscheidt vier typen: scriptkiddies, de pubers die het ‘vak’ onder meer leren via YouTube. De digitale georganiseerde misdaad, aanvankelijk voornamelijk gesitueerd in Oost-Europa, maar door de olievlekwerking steeds dichter bij huis, de hacktivisten, activisten die hun doelstellingen willen realiseren via cybercrime en de national states hackers, digitale spionage waar een land achter zit. “Die laatste groep is voor ondernemers minder interessant. Dan wordt het een soort James Bond verhaal. “Daar gaan jullie maar voor naar de bioscoop.”
Nee, wat Hegt voor ogen heeft is om de aanwezigen te laten denken in risico’s. En dan komt de grootste dreiging uit de groep digitale georganiseerde misdaad, die louter uit is op geld. Uit zijn eigen praktijk als voormalig hacker schetst hij hoe eenvoudig het is -relatief gesproken- om op technische wijze een geldautomaat te kraken. Of, in een ander praktijkvoorbeeld, door misleiding van de mens -social engineering- je doel te bereiken. De boodschap achter zijn voorbeelden is zonneklaar. De praktijk van cybercrime is bijna altijd een combinatie van techniek en social engineering. Een cybercrime aanval verloopt theoretisch gezien in drie stappen: eerste stap is het binnendringen in het systeem van het potentiële slachtoffer. Stap twee is om bij de gevoelige informatie te geraken die interessant is voor de hacker. Stap drie: wegsluizen van de gevoelige informatie. Cybercriminelen maken onder meer gebruik van Leakedin. Een website die datalekken bijhoudt ofwel creditcards- en wachtwoordgegevens, etc. opspoort. Hegt opent een website met een paar honderd e-mail adressen en wachtwoorden. “Datalekken zijn aan de orde van de dag”, legt hij uit. “Als je op zestig tot zeventig websites een account gebruikt met naam en wachtwoord is de kans groot dat het bij een van die websites een keer mis gaat en je gegevens op straat komen te liggen. Reden genoeg dus om wachtwoorden te veranderen. Hergebruik kan heel gevaarlijk zijn.” Ook het gebruik maken van phishing wordt toegepast door cybercriminelen. Waarbij vaak wordt ingespeeld op de hebzucht van de slachtoffers. Hegt staaft dat wederom met een voorbeeld uit de praktijk. “Geef ze een prijs, houd ze een worst voor.” Via een phishingmail, voorzien van een prijsvraag waarbij een Ipad te winnen viel, voerde zijn bedrijf voor klanten een test uit naar veiligheidsbewustzijn. Veertig procent van de benaderden trapt er in en laat gebruikersnaam en wachtwoord achter. “Beveiligingsbewustzijn is uitermate belangrijk”, aldus Hegt, “als je constateert dat bij onze beste klant toch nog 1 op 7 medewerkers zijn wachtwoord en gebruikersnaam achter laat.” Hij vervolgt met de constatering dat drive by download een belangrijk wapen is in vaak voorkomende aanvallen op internet. Het heeft allemaal te maken met reguliere software die op je computer staat. Hackers lokken je naar een website waar een kwaadaardige code op staat. Die code haalt een lek naar boven, waardoor op afstand je besturingssysteem kan worden overgenomen en malware op je computer kan worden geplaatst. Uw pc is gehackt en besmet met malafide software. “U voelt zich als Alice in Wonderland”, zegt Hegt poëtisch. “U heeft geen idee meer wat fictie is en realiteit.” Die realiteit is vaak dat criminelen u op die wijze uw zuurverdiende geld afhandig maken. Ransomware is een chantagemethode op internet door middel van malware. Letterlijk vertaald betekent ransom: losgeld. Ransomware is een programma dat een computer blokkeert en vervolgens van de gebruiker geld vraagt om de computer weer vrij te maken. U betaalt dan zogenaamd via een politie pc card –zeg maar een digitale cadeaubon- aan het politieapparaat. In werkelijkheid gaan de cyber gladjanussen er met uw geld vandoor. Een verbluffend staaltje van hoe kwetsbaar uw gegevens kunnen zijn toont Hegt aan op een website die gehackte gegevens verkoopt. “Als er iemand in de zaal aanwezig is met een creditcard Geleen 6161 CZ met alle gegevens inclusief vervaldatum, beveiligingscode en adresgegevens, dan kunt u zich bij mij melden. Uw creditcardgegevens staan voor twee dollar te koop.” Verbijsterend. Hegt wil de aanwezigen niet bang maken, maar vooral aansporen meer attent, oplettend te zijn. Daarbij is het in zijn visie belangrijk dat ondernemers investeren in een uitgebreid beschermingspakket. “Een standaard antiviruspakket doet niet zo veel. Daarnaast verdient het tijdig installeren van updates superprioriteit. “Van de helft van de Nederlanders is de pc lek omdat die niet tijdig is geüpdate.” Hij verwijst naar de campagne veiligzakelijkinternetten.nl
die ondernemers de kans biedt de veiligheid van hun digitale bedrijfsomgeving op de proef te stellen. “Ik ben begonnen met jullie hackers te maken. Op het moment dat je snapt wat de bedreiging is, heb je ook de eerste stap gezet om te snappen wat je er tegen kunt doen”, besluit Hegt. Een klaterend applaus is zijn deel. Maar als het dan toch mis gaat, als een cyberprobleem de organisatie binnendringt, is het zaak snel te handelen. Christian Prickaerts: “Computer security is gebaat bij een snelle respons. Anders is het huis al afgebrand voordat we kunnen blussen. Cybersecurity incidenten bij u als ondernemer zijn voor ons een feestje.” Waarmee hij maar wil aantonen hoe gedreven zijn medewerkers zijn om de cyberproblematiek op te lossen. Zoals gezegd, bij cyberincidenten is de factor tijd leidinggevend. “Houd er rekening mee als u een week te laat bent, dan is het ook echt te laat”, houdt Prickaerts zijn gehoor voor. Het reageren op incidenten is in de ogen van Prickaerts geen reguliere IT taak. “Er is een duidelijk verschil tussen mensen die weten hoe het systeem werkt en mensen die ervaring hebben met hoe ze onderzoek moeten doen. Medewerkers die weten hoe het systeem werkt zijn bij een incident snel geneigd de fout à la minute te herstellen. Logisch vanuit hun oogpunt, dat begrijp ik ook wel want de focus ligt op de organisatie, dus snel weer aan de slag. Maar door die stap te zetten vernietig je misschien belangrijke sporen die ons kunnen helpen om vast te stellen hoe een en ander heeft kunnen gebeuren en wat u moet doen aan preventie. Maar ook als u besluit gerechtelijke stappen te ondernemen is het belangrijk middelen aan te reiken om criminelen op te sporen.” Het opsporen van cybercrime begint met een digitale reconstructie. “Wat we dan vaak zien, is dat we bij klanten een bepaald incident onderzoeken waarbij we sporen aantreffen van andere incidenten waarvan de opdrachtgever geen weet heeft. Vanzelfsprekend eigenlijk, want de cybercrimineel wil niet hebben dat u ontdekt dat hij in uw netwerk actief is. Het is van belang dat u weet wat er in uw netwerk gebeurt, dat u er zicht op heeft. Dat is beduidend, want bij een incident zijn dat vragen die wij ook aan u stellen. Weet dus wat er in uw digitale omgeving gebeurt. Bewaar die informatie ook enige tijd. Wanneer vindt een incident plaats en wanneer wordt het gedetecteerd? De praktijk wijst uit dat het gemiddelde ligt op een aantal weken. De cybercrimineel is binnen een dag klaar.” Prickaerts ervaart dat bij cybercrime incidenten conflicterende bedrijfsbelangen kunnen ontstaan binnen afdelingen van een organisatie. In de ogen van Prickaerts is ‘een incident nooit zo groot als het lijkt, het is groter.’ Waarmee hij maar wil zeggen dat een dergelijk incident een moment moet zijn om een fundamentele verandering te bewerkstelligen binnen de organisatie. “Wij leggen een vergrootglas op uw infrastructuur en zien het probleem waardoor het incident is ontstaan. In de loop van ons onderzoek komen we vaak nog andere problemen tegen die een risicofactor met zich meedragen. Regelmatig betreft dat een vorm van achterstallig onderhoud. Denk daar over na, laat dat checken door professionals. Een incident is vaak het begin van een traject dat wat langer gaat duren. Een spaarzaam moment waarin de onderneming in staat is om fundamentele veranderingen door te voeren in de eigen organisatie. Cybersecurity is tegenwoordig part of the business. Het is geen optie om het niet te doen. Sterker nog, vanaf 1 januari 2016 treedt de wetswijziging ‘Meldplicht van datalekken en uitbreiding bestuurlijke boetebevoegdheid College Bescherming Persoonsgegevens (CBP) in werking en moet een datalek worden gemeld bij het CBP en bij de betrokkenen indien het lek nadelige gevolgen kan hebben voor hun persoonlijke levenssfeer. Wie een datalek niet vermeldt riskeert een boete die kan oplopen tot maximaal € 810.000,- Overigens, het ligt in de lijn van verwachtingen dat het CBP richtsnoeren opstelt die meer duidelijkheid geven over de daadwerkelijke handhaving van deze wetswijziging. Neemt niet weg dat het van groot belang is een duidelijk actieplan achter de hand te hebben hoe te handelen bij cybercrime. Je kunt er maar beter goed op zijn voorbereid.”
LWV werkt intensief samen met andere werkgeversorganisaties in Limburg. Bijvoorbeeld in het Regionaal Platform Criminaliteitsbestrijding (RPC). Daaruit is ook een nauwe samenwerking ontstaan met zowel het openbaar ministerie als met de politie eenheid Limburg. “Nou denkt u natuurlijk mevrouw de officier is er, het komt allemaal goed. Toch?” introduceert Yolanda van Setten zichzelf. Ze is ontegenzeggelijk een topper in haar vakgebied, gezien ook het gezag dat ze uitstraalde in de serie ‘De beste in zijn vak’ in het tijdschrift Vrij Nederland waarin Coen Verbraak haar portretteerde. Ze windt er geen doekjes om. “Als u alles op orde heeft, kunnen wij, openbaar ministerie en politie aan de slag gaan. Maar heel veel mensen en bedrijven hebben hun cyberzaken niet in orde. Wat zie ik als officier en wat bespeuren mijn politieagenten? Nou, we zien de kwajongens achter hun laptopje in de woonkamer. Terwijl pa geen idee heeft wat ze aan het doen zijn leggen ze op een ochtend even de website van de ABN bank plat. Natuurlijk zien we ook de criminele groeperingen, niet alleen uit Nederland, maar ook uit Afrika, Wit-Rusland, Oekraïne, China. Een internationaal gezelschap dus en dat vraagt om een internationale samenwerking. Cybercrime is grensoverschrijdend, mijn bevoegdheden helaas niet. Krijgt u een beetje een beeld van hoe ik moet werken? Wat hebben we nou nog meer? De hacktivisten natuurlijk en de ouderwetse oplichter die vroeger nog wel aan de deur kwam maar nu warm en droog achter zijn computer met een sigaretje en een biertje u een loer probeert te draaien, bijvoorbeeld op Marktplaats.nl. Dat zijn de groeperingen die we zien en waar we ons mee bezig houden. Bij bedrijven is er vooral sprake van hacken en defacing, DDos aanvallen, phishing en malware. Stel uw telefooncentrale is gehackt en u vraagt of ik onderzoek wil doen, dan ben ik over een half jaar tot een jaar nog niet klaar. Als ik niet de eerste IP heb waarmee gehackt is, kom ik helemaal nergens uit. Dus vanaf vandaag: verander altijd uw standaard pincode. Het lijkt zo eenvoudig, maar het gebeurt heel veel en we spreken bij deze praktijken over grof geld. U kunt sinds vanmiddag ook hacken. Ik ook. Het staat allemaal op internet, ik kan ook uw website aanpassen. Zo simpel is het soms. Mijn advies: vertrouw helemaal niets meer. Kijk goed naar uw mail. Waar komt hij vandaan? Is ie wel betrouwbaar? Zeker als er veel geld mee is gemoeid is mijn aanbeveling: bel even. Gewoon even checken. Heel veel websites worden platgelegd door overvraging van een dienst waardoor die dienst niet meer functioneert. Dat gaat vaak in combinatie met afpersing. Kinderlijk eenvoudig, het wordt u uitgelegd op YouTube. De boodschap van vandaag is ook, ondanks vaak onze beperkte mogelijkheden, dat als we eenmaal aangiftes hebben en we kunnen die matchen met andere aangiftes dan hebben we soms heel veel data bij elkaar waarmee we uit de voeten kunnen. En ook boeven maken fouten. Vaak leiden hun fouten uit het verleden tot goede resultaten in de toekomst. En bent u helaas daadwerkelijk slachtoffer van cyberboeven dan komt u terecht bij mijn politie.” “Inderdaad”, beaamt Godfried Klerkx. Als politie concentreren we ons op drie zaken: intake, informatiepositie en opsporing. Wat kunt u doen als u bent aangevallen door cybercriminelen? U kunt de schade herstellen, de beveiliging aanscherpen. Vanuit de overheid is een campagne opgestart, Alert Online, doe er uw voordeel mee. U kunt aangifte doen, een strafrechtelijke procedure starten. Dat vraagt van onze kant om samenwerking met u. Wij willen graag weten wat er speelt in uw onderneming als het gaat over cybercrime waarbij samenwerking met u evident is. Meld cybercrime op www. politie.nl en deel het met uw collega’s. Als u een keuze maakt voor een opsporingsverzoek, beslist het openbaar ministerie over daadwerkelijke opsporing en vervolging.” In de zuidelijke provincies spreken we dan over meer dan drieduizend aangiftes per jaar. Opsporing in de cybercrime is vaak een kwestie van lange adem. Stroperige procedures in
verre landen zijn daar mede debet aan. Van de andere kant vallen ook internationale rechtshulpverzoeken bij van Setten op het bureau en vervolgens op het bordje van de politie. Als het gaat om het straffen van daders pleit van Setten voor ontneming en schadevergoeding. Want waar draait het om zegt ze met stemverheffing: geld! “Dat geld wil ik hebben, daar zetten we nadrukkelijk op in als openbaar ministerie als ik in de rechtbank sta.” Gedecideerd: “Kom maar op met die aangiftes. Ik ga ze niet allemaal oplossen, dat gaat me niet lukken. Maar alle informatie gezamenlijk geeft mij wel voldoende beeld om internationaal weer verder te kunnen opereren.” Wim Weijnen sluit de avond af met de mededeling dat ondernemers die de kans willen grijpen hun cybersecurity gratis te verbeteren terecht kunnen in de naast de Oranjerie geparkeerde KPN bus van Veilig Zakelijk Internetten, een initiatief van MKB Nederland. Maar eerst is het tijd voor een hapje en een drankje. En, verkondigt Weijnen als uitsmijter niet zonder trots aan, “vandaag lanceren we ook onze LWV app, boordevol informatie.” Ongetwijfeld hackersproof.
Frans Hermans