Infrastructuur laat zich eenvoudig plat leggen

Het nieuwe kabinet steekt 95 miljoen euro per jaar in cyberveiligheid. Dat is fijn voor straks maar ondertussen is het prijsschieten. "Inbreken kan op alle fronten", stelt de ethical hacker.

Banken, overheden en wetenschappers waarschuwen ons vrijwel dagelijks: cybercrime grijpt om zich heen als een veenbrand. Is het echt zo erg? En geldt het ook voor de bouwsector? Om maar meteen met de deur in huis te vallen: het antwoord is in beide gevallen ja. Ook bouwbedrijven lopen met open ogen in de val. Dit stelt ethical hacker Sijmen Ruwhof (32), die al twaalf jaar actief is als IT-beveiliger en zo’n 500 ondernemingen heeft doorgelicht.

Onder meer woningbouwverenigingen, ingenieursbureau’s, VVE’s, banken, verzekeraars en zorginstellingen klopten bij Ruwhof aan voor een screening. Ruwhof: “Specifiek bouwbedrijven? Die zitten niet in mijn portefeuille. Maar de dreiging voor deze sector kan ik heel goed inschatten. Bouwbedrijven gebruiken namelijk dezelfde soft- en hardware als veel andere bedrijven, met precies dezelfde risico’s. Mijn kernboodschap? Ga er vanuit dat je systeem onveilig is en werk toe naar een veilige set-up. Betrek de interne IT-afdeling erbij en huur experts in voor risicoanalyses en inbraaktesten. En weet dat hackers gelegenheidsdieven zijn. Als jouw systeem minder veilig is dan dat van je buren, ben jij aan de beurt.”

Stoplicht en pinautomaat
Cybercrime staat hoog op de politieke agenda. Het nieuwe kabinet steekt 95 miljoen per jaar in cyberveiligheid, veel meer dan in de Miljoenennota was toegezegd. De bewustwording voor het probleem groeit op alle fronten: de Cyber Security Week, van 25 tot 29 september in Den Haag, trok 4.300 bezoekers uit 70 landen.

In Den Haag trokken zo’n honderd specialisten fel van leer over cyberdreiging en wat ertegen te doen. Nationaal Coördinator Terreurbestrijding en Veiligheid Dick Schoof was een van de sprekers. De dreiging komt volgens Schoof van criminelen èn van inlichtingendiensten van landen. Nu blijft het nog bij speldenprikjes, waarmee hackers willen aangeven waartoe ze in staat zijn. Maar, stelt Schoof, ze kunnen de elektriciteitsvoorziening platleggen, de bankwereld verstoren en bedrijfsgeheimen stelen.

Schoof’s verhaal werd onderschreven door Inge Philips van adviesbureau Deloitte. Zij werkte eerder voor inlichtingendienst AIVD en het Team High Tech Crime van de landelijke politie. Volgens Philips lopen echt alle voorzieningen gevaar die we dagelijks gebruiken: ”Van pinnen tot stoplichten.” Alles heeft een digitale basis en zonder voldoende beveiliging zijn we kwetsbaar in alle delen van de samenleving. Bovendien: een probleem op één plek kan uitdijen als een olievlek. De oplossing is volgens Philips ‘segmenteren’. Aparte systemen maken, met buffers ertussen, zodat een storing geen andere netwerken kan meesleuren.

Boekhoudpakket Oekraïne
Wat vindt Bouwend Nederland? De ondernemersvereniging is sinds twee jaar intensief bezig met bewustwording binnen bouwbedrijven. Volgens beleidsmedewerker Joppe Duindam, die cyberveiligheid in z’n portefeuille heeft, loopt de bouwsector zeker niet meer risico dan andere sectoren. Dat neemt niet weg dat het probleem ook voor de bouw groot genoeg is.

Duindam: “Onze sector heeft weinig intellectueel eigendom, weinig patenten of specifieke kennis en is dus niet speciaal interessant voor hackers. Maar ook in de bouw zien we wat we overal zien. Onze leden hebben last van phishing, ransomware en aanvallen die helemaal niet op hen gericht zijn maar waar ze wel last van hebben.” Duindam noemt een recente ransomware-aanval op een boekhoudpakket in de Oekraïne. Die aanval trof ook de Rotterdamse haven omdat daar dezelfde software werd gebruikt.

Het advies van Bouwend Nederland? Duindam: “Zorg voor je firewall en antivirus-software. Haal op tijd updates binnen, maak goede backups, voer tests uit en maak een rampenplan, zodat je weet wat er gebeurt als het mis gaat. En misschien nog belangrijker: maak je medewerkers bewust. Kijk, als ik in het verkeer door rood rijd, vraag ik om problemen. Onverantwoord gedrag op internet is net zoiets. Doe geen domme dingen! Een mailtje van International Card Services? Die mailen niet, dus klik er niet op. Geld opnemen via het openbare WIFI-netwerk van het winkelcentrum? Ik zou het niet doen.”

Patchkast hacken
Terug naar ethical hacker Sijmen Ruwhof. Die beweert op basis van zijn 500 bedrijfsscans dat 80 procent van de opgeleverd IT-systemen onveilig is. Ruwhof: “Inbreken kan ik vaak in websites, interne kantoornetwerken, email-communicatie, smartphones, WIFI en beveiliging van persoonsgegevens in databases. Het grote probleem is dat cybersecurity onzichtbaar is. En er is nauwelijks toezicht vanuit de overheid. Als een IT-bedrijf een systeem oplevert dat functioneert, met knoppen, formulieren en schermen die werken, is de klant al tevreden. De klant ziet de slechte beveiliging en datalekken niet. Het IT-bedrijf komt ermee weg omdat de factuur na oplevering al betaald is en succesvolle juridische vervolging voor nalatigheid zeldzaam. Bijna de hele IT-sector is onbewust onbekwaam. Die weet niet hoe beveiliging werkt. IT-security is een specialistisch vak.”

Ruwhof heeft het over beveiliging van organisaties en bedrijven. Hoe zit het eigenlijk met de beveiliging van tunnels, bruggen en infrastructurele projecten? Ruwhof: “Die werken allemaal op besloten interne netwerken, waarvoor tientallen kilometers netwerkkabels worden aangelegd. Dat lijkt misschien veiliger, maar geloof me, het is helemaal niet zo moeilijk om ’s nachts buiten zo’n patchkast open te maken en met je laptop in te prikken op het interne netwerk van bijvoorbeeld een brug. En dan wordt het leuk! Wat als de controlekamer gehackt wordt? Brug open, brug dicht. De schade is niet te overzien.”

Ruwhof is niet de enige ethical hackers die beweert dat problemen detecteren vaak simpel is. Ik kom altijd binnen, zegt ethical hacker Ruben van Vreeland van BitSensor. Hacken is kinderlijk eenvoudig, hoe simpeler hoe leuker, beweert Wouter van Rooij, wiens vak het is hackers een stap voor te blijven door programma’s, apps, websites en webshops op de proef te stellen om te zien of ze hackable zijn.  

Wachtwoord: qwerty
Voor degene die de moed in de schoenen is gezakt na het lezen van het voorafgaande, hebben we ook goed nieuws. Onzorgvuldig menselijk gedrag is weliswaar de zwakste schakel in de veiligheidsketen, gedrag is ook het makkelijkst te veranderen. “Weak passwords are like dirty socks. Change them!”, liet ethical hacker Jatin Sehgal van Ernst & Young al in 2009 optekenen. Welnu, een sterk wachtwoord maken kan iedereen. Dus werkgevers in de bouw, maak korte metten met simpel te onthouden wachtwoorden als ‘12345678’, ‘welkom01’ of ‘qwerty’.

Ook Sijmen Ruwhof ziet ze nog veel, de onveilige wachtwoorden: “Wat mij opvalt is dat standaard wachtwoorden vaak niet gewijzigd zijn. Nou, dat is wat hackers als eerste uitproberen.” Een veel voorkomend probleem is volgens Ruwhof ook dat autorisaties te ruim staan ingesteld (waardoor medewerkers meer rechten hebben dan strikt noodzakelijk) en beheeraccounts die niet worden gebruikt. Allemaal potentiële risico’s die makkelijk te voorkomen zijn.

Volgens Ruwhof richt de huidige generatie hackers zich vooral op ransomware, het versleutelen van bestanden waarna slachtoffers moeten betalen (om hun bestanden ontsleuteld te krijgen), platleggen van websites via DDoS-aanvallen, fraude en bedrijfsspionage. Ruwhof’s aanpak is grondig. Eerst praat hij met de directie over de ‘kroonjuwelen’ van het bedrijf. Ofwel: waarmee wordt het geld verdiend? Zijn het klantgegevens? Bouwtekeningen? Het archief? Speciale kennis? Als dat duidelijk is, gaat hij doorlichten. Hoe worden updates binnengehaald? Hoe veilig is de configuratie afgesteld? Zijn er veiligheidslekken te vinden? Tot slot schrijft hij een rapport met aanbevelingen en gaat hij weer in gesprek met de directie. Zo wordt de boel dichtgetimmerd en kan de onderneming in kwestie zich richten op het eigenlijke werk: huizen bouwen.

recente artikelen

gepubliceerd in diverse (vak)media

Hoogleraar Michaéla Schippers ziet kansen

Hoogleraar Michaéla Schippers schreef een paper met John Ioannidis van Stanford University. Zij zien een samenleving in verval maar hebben ook oplossingen.

Lees artikel »

Securityproject Melissa hackt Russische hackers

Na Deadbolt en Genesis Market werd onlangs de hackersgroep Qakbot opgerold, mede dankzij het cybersecurityproject Melissa. Arwi van der Sluijs is er trots op en vertelt.

Lees artikel »

Pfas-zaak Dordrecht zet forever chemicals op radar

Het gevaar van pfas voor de volksgezondheid is niet meer te bagatelliseren door de recente rechtszaak tegen Chemours in Dordrecht. Maar pfas is here to stay. Hoe nu verder?

Lees artikel »

Het wonder van geperst, verhit en gefilterd gras

Start-up Grassa claimt meer eiwit uit gras te kunnen halen dan de koe. Gras is niets minder dan een wonderplantje volgens directeur Rieks Smook: "Er kan zoveel méér met gras."

Lees artikel »

Moleculair bioloog over gedrag en kwantumfysica

Moleculair bioloog en therapeut Lianne Hermers gebruikt de kwantumfysica om bewustzijnskracht te ontdekken. Haar cliënten lossen mentale problemen zelf op zonder pillen.

Lees artikel »

Overvolle binnensteden hunkeren naar fresh air

Bedrijfsbussen op diesel mogen vanaf 2025 veel Nederlandse stadscentra niet meer in. Met elektrische steps, cargo-bikes en (bak)fietsen vinden monteurs hun weg in de binnenstad.

Lees artikel »

Google wil onze medische data, maar wat willen wij?

Care Studio van Google Health heeft aangekondigd in de VS patiëntendossiers te willen gaan beheren. Huisarts Huib Rutten ziet risico's: "De regie moet altijd bij de patiënt blijven."

Lees artikel »

Bouwvallig Blackpool, walhalla voor kansarmen

De Engelse badplaats Blackpool werd onlangs belachelijk gemaakt door minister Helen Wheeler. Ze bood haar excuses aan maar met financiële steun schiet de stad meer op.

Lees artikel »

Mark Soetman levert de primeur: rauw krabbenvlees

Start-up Crustalicious heeft een machine ontwikkeld die kleine krabben in zes stappen ontdoet van pcb's, zware metalen, ingewanden en schaal. Een wereldprimeur!

Lees artikel »

Meneer Parkinson gaat niet weg, maar boksen helpt wel

Parkinson dendert als een epidemie door Europa. Om het ziektebeeld te vertragen worden steeds meer bokstrainingen speciaal voor Parkinson-patiënten verzorgd.

Lees artikel »