Logo

Ene hack na de andere: ‘Huidige manier van beveiligen stuk’

Volgens deze expert komt er nog lang geen einde aan alle cyberaanvallen, als organisaties vasthouden aan de huidige aanpak.

Published on January 30, 2025

padlock

Alles wat nieuw is, is razend interessant! Dat is het motto van onze DATA+ expert Elcke Vels. Ze schrijft verhalen over AI en hoe dat onze maatschappij beïnvloedt, heeft een serie over cyber security en interviewt Nederlandse innovatie maestro’s. Ook onderzoekt ze in haar ‘What if…’ column intrigerende scenario's die afwijken van de status quo.

De politie, DigiD, en recentelijk de Technische Universiteit Eindhoven (TU/e) en andere onderwijs- en zorginstellingen; de ene na de andere organisatie wordt doelwit van een cyberaanval. Volgens Ruben van Vreeland, medeoprichter van cybersecuritybedrijf Securely, komt daar nog lang geen einde aan als organisaties vasthouden aan  de huidige aanpak. “Wil je het probleem écht goed aanpakken”, zo pleit hij, “dan moeten we stoppen met steeds weer een zondebok aanwijzen.” Tijd voor sociale innovatie in de IT-wereld.

Laatst haalde de TU/e haar gehele digitale netwerk offline na een cyberaanval die alle digitale infrastructuur van de universiteit ontoegankelijk maakte. Hackers bleken over de inloggegevens van ten minste een medewerker en een student te beschikken, en wisten daarmee in te breken in de online omgeving. Het gevolg? De  universiteit moest noodgedwongen een week lang haar deuren sluiten. Helaas is dit geen losstaande gebeurtenis. 

Dat cybercriminaliteit een steeds grotere dreiging vormt, weet van Vreeland al lang. Hij waarschuwt bedrijven al jaren voor de gevolgen. Al op negenjarige leeftijd begon hij met programmeren, en op veertienjarige leeftijd was hij actief als ethisch hacker. Door de jaren heen hielp hij bedrijven zoals eBay, LinkedIn en Marktplaats door hun systemen te testen en kwetsbaarheden te melden.

Ruben van Vreeland

Ruben van Vreeland

‘Het oude paradigma werkt niet meer’

Dergelijke giganten, maar ook de reguliere mkb's, goede doelen en overheidsinstellingen in Nederland, zijn continu doelwit van cybercriminelen. Dat is voor Van Vreeland geen verrassing. "Bedrijven en organisaties pakken beveiliging namelijk nog steeds aan op de ouderwetse manier.” 

Dat zit zo: in de oude wereld was de IT-wereld statisch. Mensen werkten op kantoor, en IT’ers konden een stevige muur om hun systemen heen zetten. Ze wisten precies waar en wanneer iemand werkte en welke software ze gebruikten. Het was relatief eenvoudig om processen in beton te gieten. 

Maar de wereld verandert snel. Neem bijvoorbeeld de TU/e, daar worden de systemen voortdurend bijwerkt om studenten van de beste functionaliteit te voorzien. Dat betekent dat de bescherming ook telkens opnieuw moet worden ingericht. Het is alsof de ramen in je huis telkens op een andere plek zitten, waardoor de camera’s voortdurend verkeerd staan afgesteld. Criminelen vinden op die manier altijd wel een manier om ongemerkt binnen te komen.

‘Daar komt de zondebok weer aan’

Te vaak blijven degenen die echt verantwoordelijk zijn voor een beveiligingslek buiten schot. Van Vreeland herinnert zich een opvallende situatie: "Securely ontdekte een beveiligingslek. Nadat er een half jaar geen actie werd ondernomen, deelden wij de bevindingen over het bedrijf op LinkedIn. Later bleek dat het hoofd beveiliging elk jaar van baan wisselde.” In plaats van het probleem op te lossen, wees het bedrijf een zondebok aan die ze ontsloegen. Het daadwerkelijke lek verhielpen ze niet. "Dit patroon zien we vaker, het oorspronkelijke probleem wordt er natuurlijk niet mee opgelost."

Cyberaanvallen écht tegengaan

Hoe moet het dan wel? “Door iedereen die belangrijke kennis in huis heeft mede-verantwoordelijk te maken.”  Een goed voorbeeld is de gemeente Den Haag. Het beveiligingsteam blokkeerde laatst een webpagina van de gemeente automatisch vanwege het woord "handhaving". De codetaal "having" wordt namelijk ook in cyberaanvallen gebruikt. Hierdoor werd de website voor alle burgers geblokkeerd.

Een medewerker die bekend was met het belang van de pagina voor burgers, zag echter dat deze blokkade onterecht was. "Handhaving" had hier een legitieme betekenis en was essentieel voor de inhoud van de pagina. In plaats van blindelings het beveiligingsprotocol te volgen, nam de medewerker contact op met het beveiligingsteam en legde de juiste context uit. Op basis hiervan werd de blokkade opgeheven. Dit incident toont volgens Van Vreeland aan waarom kennis van de product owner belangrijk is: "De ervaring en kennis van medewerkers die dagelijks met de systemen werken, zijn cruciaal om beveiligingsmaatregelen effectief toe te passen zonder de functionaliteit van de website in gevaar te brengen."

Ook de gemeente Utrecht, waar het bedrijf van Van Vreeland mee samenwerkt, past kennis van de medewerkers toe in haar digitale systeem. Vaak moeten beveiligingsteams wat leren over communicatie. “In plaats van algemene waarschuwingsmeldingen, zoals 'je download Skype, dit kan een Russische ransomware aanval zijn’, maken we de meldingen contextspecifiek.”  Wanneer een medewerker regelmatig Skype gebruikt, is er bijvoorbeeld geen reden tot zorg. Bij een medewerker die normaal gesproken nooit Skype gebruikt, is dit juist wél een alarmsignaal. 

Of de TU/e innoveert door medewerkers meer verantwoordelijkheid te geven in haar IT-systeem, valt nog te bezien. “Maar ik hoop dat we deze aanpak bij steeds meer bedrijven en instanties zullen tegenkomen."

Tot slot benadrukt Van Vreeland dat de verschuiving van verantwoordelijkheid slechts één van de nodige maatregelen is. “Europese normen zoals ISO zijn al van kracht, en de NIS2-richtlijn kan daar nog aan worden toegevoegd, mocht de overheid daarvoor kiezen.” Het is nog onduidelijk of deze regelgeving ook voor het onderwijs zal gelden. “Maar de aanval op de TU/e laat zien dat dit een verstandige keuze zou zijn.”

coding-1841550_1280.jpg

De 'zeer verontrustende' politiehack moet wake-upcall zijn voor elk bedrijf

In de serie Cracked by Jordens kijken we naar de cyberveiligheid van consumenten en bedrijven in Nederland. Vandaag behandelen we de recente politiehack.