Infrastructuur laat zich eenvoudig plat leggen

Het nieuwe kabinet steekt 95 miljoen euro per jaar in cyberveiligheid. Dat is fijn voor straks maar ondertussen is het prijsschieten. "Inbreken kan op alle fronten", stelt de ethical hacker.

Banken, overheden en wetenschappers waarschuwen ons vrijwel dagelijks: cybercrime grijpt om zich heen als een veenbrand. Is het echt zo erg? En geldt het ook voor de bouwsector? Om maar meteen met de deur in huis te vallen: het antwoord is in beide gevallen ja. Ook bouwbedrijven lopen met open ogen in de val. Dit stelt ethical hacker Sijmen Ruwhof (32), die al twaalf jaar actief is als IT-beveiliger en zo’n 500 ondernemingen heeft doorgelicht.

Onder meer woningbouwverenigingen, ingenieursbureau’s, VVE’s, banken, verzekeraars en zorginstellingen klopten bij Ruwhof aan voor een screening. Ruwhof: “Specifiek bouwbedrijven? Die zitten niet in mijn portefeuille. Maar de dreiging voor deze sector kan ik heel goed inschatten. Bouwbedrijven gebruiken namelijk dezelfde soft- en hardware als veel andere bedrijven, met precies dezelfde risico’s. Mijn kernboodschap? Ga er vanuit dat je systeem onveilig is en werk toe naar een veilige set-up. Betrek de interne IT-afdeling erbij en huur experts in voor risicoanalyses en inbraaktesten. En weet dat hackers gelegenheidsdieven zijn. Als jouw systeem minder veilig is dan dat van je buren, ben jij aan de beurt.”

Stoplicht en pinautomaat
Cybercrime staat hoog op de politieke agenda. Het nieuwe kabinet steekt 95 miljoen per jaar in cyberveiligheid, veel meer dan in de Miljoenennota was toegezegd. De bewustwording voor het probleem groeit op alle fronten: de Cyber Security Week, van 25 tot 29 september in Den Haag, trok 4.300 bezoekers uit 70 landen.

In Den Haag trokken zo’n honderd specialisten fel van leer over cyberdreiging en wat ertegen te doen. Nationaal Coördinator Terreurbestrijding en Veiligheid Dick Schoof was een van de sprekers. De dreiging komt volgens Schoof van criminelen èn van inlichtingendiensten van landen. Nu blijft het nog bij speldenprikjes, waarmee hackers willen aangeven waartoe ze in staat zijn. Maar, stelt Schoof, ze kunnen de elektriciteitsvoorziening platleggen, de bankwereld verstoren en bedrijfsgeheimen stelen.

Schoof’s verhaal werd onderschreven door Inge Philips van adviesbureau Deloitte. Zij werkte eerder voor inlichtingendienst AIVD en het Team High Tech Crime van de landelijke politie. Volgens Philips lopen echt alle voorzieningen gevaar die we dagelijks gebruiken: ”Van pinnen tot stoplichten.” Alles heeft een digitale basis en zonder voldoende beveiliging zijn we kwetsbaar in alle delen van de samenleving. Bovendien: een probleem op één plek kan uitdijen als een olievlek. De oplossing is volgens Philips ‘segmenteren’. Aparte systemen maken, met buffers ertussen, zodat een storing geen andere netwerken kan meesleuren.

Boekhoudpakket Oekraïne
Wat vindt Bouwend Nederland? De ondernemersvereniging is sinds twee jaar intensief bezig met bewustwording binnen bouwbedrijven. Volgens beleidsmedewerker Joppe Duindam, die cyberveiligheid in z’n portefeuille heeft, loopt de bouwsector zeker niet meer risico dan andere sectoren. Dat neemt niet weg dat het probleem ook voor de bouw groot genoeg is.

Duindam: “Onze sector heeft weinig intellectueel eigendom, weinig patenten of specifieke kennis en is dus niet speciaal interessant voor hackers. Maar ook in de bouw zien we wat we overal zien. Onze leden hebben last van phishing, ransomware en aanvallen die helemaal niet op hen gericht zijn maar waar ze wel last van hebben.” Duindam noemt een recente ransomware-aanval op een boekhoudpakket in de Oekraïne. Die aanval trof ook de Rotterdamse haven omdat daar dezelfde software werd gebruikt.

Het advies van Bouwend Nederland? Duindam: “Zorg voor je firewall en antivirus-software. Haal op tijd updates binnen, maak goede backups, voer tests uit en maak een rampenplan, zodat je weet wat er gebeurt als het mis gaat. En misschien nog belangrijker: maak je medewerkers bewust. Kijk, als ik in het verkeer door rood rijd, vraag ik om problemen. Onverantwoord gedrag op internet is net zoiets. Doe geen domme dingen! Een mailtje van International Card Services? Die mailen niet, dus klik er niet op. Geld opnemen via het openbare WIFI-netwerk van het winkelcentrum? Ik zou het niet doen.”

Patchkast hacken
Terug naar ethical hacker Sijmen Ruwhof. Die beweert op basis van zijn 500 bedrijfsscans dat 80 procent van de opgeleverd IT-systemen onveilig is. Ruwhof: “Inbreken kan ik vaak in websites, interne kantoornetwerken, email-communicatie, smartphones, WIFI en beveiliging van persoonsgegevens in databases. Het grote probleem is dat cybersecurity onzichtbaar is. En er is nauwelijks toezicht vanuit de overheid. Als een IT-bedrijf een systeem oplevert dat functioneert, met knoppen, formulieren en schermen die werken, is de klant al tevreden. De klant ziet de slechte beveiliging en datalekken niet. Het IT-bedrijf komt ermee weg omdat de factuur na oplevering al betaald is en succesvolle juridische vervolging voor nalatigheid zeldzaam. Bijna de hele IT-sector is onbewust onbekwaam. Die weet niet hoe beveiliging werkt. IT-security is een specialistisch vak.”

Ruwhof heeft het over beveiliging van organisaties en bedrijven. Hoe zit het eigenlijk met de beveiliging van tunnels, bruggen en infrastructurele projecten? Ruwhof: “Die werken allemaal op besloten interne netwerken, waarvoor tientallen kilometers netwerkkabels worden aangelegd. Dat lijkt misschien veiliger, maar geloof me, het is helemaal niet zo moeilijk om ’s nachts buiten zo’n patchkast open te maken en met je laptop in te prikken op het interne netwerk van bijvoorbeeld een brug. En dan wordt het leuk! Wat als de controlekamer gehackt wordt? Brug open, brug dicht. De schade is niet te overzien.”

Ruwhof is niet de enige ethical hackers die beweert dat problemen detecteren vaak simpel is. Ik kom altijd binnen, zegt ethical hacker Ruben van Vreeland van BitSensor. Hacken is kinderlijk eenvoudig, hoe simpeler hoe leuker, beweert Wouter van Rooij, wiens vak het is hackers een stap voor te blijven door programma’s, apps, websites en webshops op de proef te stellen om te zien of ze hackable zijn.  

Wachtwoord: qwerty
Voor degene die de moed in de schoenen is gezakt na het lezen van het voorafgaande, hebben we ook goed nieuws. Onzorgvuldig menselijk gedrag is weliswaar de zwakste schakel in de veiligheidsketen, gedrag is ook het makkelijkst te veranderen. “Weak passwords are like dirty socks. Change them!”, liet ethical hacker Jatin Sehgal van Ernst & Young al in 2009 optekenen. Welnu, een sterk wachtwoord maken kan iedereen. Dus werkgevers in de bouw, maak korte metten met simpel te onthouden wachtwoorden als ‘12345678’, ‘welkom01’ of ‘qwerty’.

Ook Sijmen Ruwhof ziet ze nog veel, de onveilige wachtwoorden: “Wat mij opvalt is dat standaard wachtwoorden vaak niet gewijzigd zijn. Nou, dat is wat hackers als eerste uitproberen.” Een veel voorkomend probleem is volgens Ruwhof ook dat autorisaties te ruim staan ingesteld (waardoor medewerkers meer rechten hebben dan strikt noodzakelijk) en beheeraccounts die niet worden gebruikt. Allemaal potentiële risico’s die makkelijk te voorkomen zijn.

Volgens Ruwhof richt de huidige generatie hackers zich vooral op ransomware, het versleutelen van bestanden waarna slachtoffers moeten betalen (om hun bestanden ontsleuteld te krijgen), platleggen van websites via DDoS-aanvallen, fraude en bedrijfsspionage. Ruwhof’s aanpak is grondig. Eerst praat hij met de directie over de ‘kroonjuwelen’ van het bedrijf. Ofwel: waarmee wordt het geld verdiend? Zijn het klantgegevens? Bouwtekeningen? Het archief? Speciale kennis? Als dat duidelijk is, gaat hij doorlichten. Hoe worden updates binnengehaald? Hoe veilig is de configuratie afgesteld? Zijn er veiligheidslekken te vinden? Tot slot schrijft hij een rapport met aanbevelingen en gaat hij weer in gesprek met de directie. Zo wordt de boel dichtgetimmerd en kan de onderneming in kwestie zich richten op het eigenlijke werk: huizen bouwen.

recente artikelen

gepubliceerd in diverse (vak)media

Mentale begeleiding voor jonge schaatstoppers

‘Niet zeuren’ is de norm in topsport. In de schaatswereld komt men daarvan terug. Coaches Jetske Wiersma (KNSB) en Wouter van der Ploeg (RTC Noord) geloven heilig in mentale begeleiding van schaatstalenten.

Lees artikel »

Burn-out onder techneuten komt steeds vaker voor

Een burn-out wordt wel omschreven als ‘mentale en emotionele uitputting’. Dat je daardoor niet of slecht functioneert is een open deur. Het goede nieuws? Een burn-out is te voorkomen.

Lees artikel »

zeldzaam ambacht: natuursteenbewerker

Voor steenhouwers heeft Nederland nog één opleiding, die jaarlijks een handjevol vakmensen aflevert. Bij Slotboom Steenhouwers staan klanten in de rij. “Jemig, bestaat dat vak nog?”

Lees artikel »

Broodfonds redding voor zzp'er Mario van Kemenade

Mario van Kemenade, zzp'er in de bouw, kon een jaar niet werken vanwege een ernstig bedrijfsongeval. “Zonder broodfonds was het voor mijn bedrijf einde oefening geweest.”

Lees artikel »

Recruiter, check gamingskills in sollicitatie

“Ingewikkelder dan schaken”, beweren sommigen. Dat games speciale skills vragen, leidt geen twijfel. HR-managers zouden standaard naar gamingskills moeten vragen in sollicitatiegesprekken.

Lees artikel »

Brandweer-coach Biesot over mentale weerbaarheid

Als je ergens klappen moet kunnen verwerken is het wel bij de brandweer. Willem Biesot, coach van De Zwerm Groep, weet er alles van. Al vele jaren traint hij brandweermensen om mentaal weerbaar te worden.

Lees artikel »

Digital natives retailen zonder tussenschakels

De keten kan korter. Dat is de overtuiging van digital natives, bedrijven die online zijn geboren, gegroeid en succesvol geworden. 'Cut out the middle man!'

Lees artikel »

Fujitsu over smart society

Het Japanse tech-bedrijf Fujitsu denkt dat artificial intelligence nu pas rijp is voor ontginning. Een gesprek met Pacal Huijbers.

Lees artikel »

Infrastructuur laat zich eenvoudig plat leggen

Het nieuwe kabinet steekt 95 miljoen euro per jaar in cyberveiligheid. Dat is fijn voor straks maar ondertussen is het prijsschieten. "Inbreken kan op alle fronten", stelt de ethical hacker.

Lees artikel »

Klussers bedienen doe je zo

Intergamma, de franchiseorganisatie van Gamma en Karwei, trekt online twee miljoen bezoekers per week. Hoe krijgt Lieke Luttmer, directeur e-commerce, dat voor elkaar?

Lees artikel »