nieuws

Lando te Molder: ‘Bewustzijn van cyberrisico’s is er, maar urgentie ontbreekt’

Schade 1561

Bedrijven moeten aan de slag, een rampenplan schrijven en hun medewerkers vertellen wat ze wel en niet moeten doen bij een cyberaanval. “Cyberrisico’s zijn namelijk geen it-probleem, het is een probleem van de bestuurstafel en van de mensen in de organisatie”, zei Lando te Molder, directeur van Van Lanschot Chabot, dinsdag tijdens het evenement BNR Cyber Knights in Utrecht.

Lando te Molder: ‘Bewustzijn van cyberrisico’s is er, maar urgentie ontbreekt’

Een betere timing voor het ondernemersevent Cyber Knights, van intermediairbedrijf Van Lanschot Chabot en radiostation BNR, was bijna ondenkbaar. Eerst was er vorige week de onthulling dat de AIVD Russische hackers had gehackt die de Amerikaanse verkiezingen wilden beïnvloeden. Vervolgens hadden afgelopen dagen verschillende banken en de Belastingdienst te lijden onder DDoS-aanvallen. Of er een verband tussen die twee gebeurtenissen bestaat, is twijfelachtig, meende Ronald Prins, oprichter van IT-beveiligingsbedrijf Fox-IT. “Een DDoS-aanval zou ook van jongetjes kunnen komen die kattenkwaad uithalen.”

Rampenplan schrijven

Aan Van Lanschot Chabot-directeur Te Molder vroeg BNR-presentator Rens de Jong of cyberaanvallen eigenlijk wel te verzekeren zijn. “Of is het als een orkaan, daar kun je je ook niet tegen beschermen?” Die vergelijking ging Te Molder een stap te ver. “Het is een nieuw risico en wat de impact precies inhoudt, weten we niet. Inderdaad, die impact is groot. Maar we kunnen ‘m wel kleiner maken als je je goed voorbereidt.”

Alleen zijn veel bedrijven nog niet zover, zei hij tegen de ondernemers in De Fabrique in Utrecht. “Er is awareness, maar nog weinig urgentie om echt wat te doen. Bedrijven moeten aan de slag: een rampenplan schrijven en het bewustzijn bij medewerkers vergroten. Cyber is geen it-probleem, maar een probleem van de bestuurstafel en de mensen in je organisatie. Zorg dat ze weten wat ze wel en niet moeten doen bij een cyberaanval.”

Netwerkkabel eruit

Te Molder vertelde dat Van Lanschot Chabot zelf nooit is gehackt. “Maar we zijn zeker niet 100% veilig.” De helft van de ondernemers in de zaal liet in een peiling weten te verwachten zijn bedrijf nog dit jaar te maken zou krijgen met een hack.

“Het eerste dat je moet doen als je merkt dat je slachtoffer bent van een cyberattack, is je netwerkkabel eruit trekken. Het grootste risico is namelijk dat een virus zich verspreidt via je netwerk”, aldus Prins. Je computer uitzetten, noemde hij onverstandig, want dat verkleint de kans dat je beschadigde of versleutelde bestanden ooit nog terugziet. “Overigens merk je een hack meestal pas als je de melding krijgt dat iemand al je bestanden heeft versleuteld. Dan ben je dus al te laat.”

Bestanden terugkopen

Een Overijsselse ondernemer vertelde hoe hij slachtoffer werd van zo’n cyberaanval, vermoedelijk doordat een werknemer per ongeluk op een phishingbericht had geklikt. Hij betaalde ruim 10 bitcoins, destijds ruim € 8.600, om weer bij zijn bestanden te kunnen. “Nog een geluk dat de bitcoin toen nog maar op € 860 stond”, merkte presentator De Jong op. Van Prins wilde hij weten of betalen verstandig is. “Het Openbaar Ministerie zegt: betaal nooit. Dan gaat het businessmodel van cybercriminelen kapot”, reageert hij. “Maar ik kan me voorstellen dat als je als ondernemer voor een paar honderd euro je bedrijf weer terugkrijgt, dat je dat doet.”

Bewustzijn

Prins vindt het te makkelijk om alleen naar de mensen te wijzen die op foute links klikken. “In veel gevallen hebben bedrijven ook hun netwerk niet op orde, of zijn ze laat met updaten.”

Volgens Te Molder is het belangrijk al die risico’s te benoemen. “Alles met elkaar connecten biedt veel voordelen, maar de uitdaging is hoe je de risico’s minder groot maakt. Die risico’s zijn nog in ontwikkeling en dus zijn we nog zoekende hoe we die met elkaar moeten oplossen. Maar met awareness moeten we zeker aan de slag.”

AVG en de financieel dienstverlener

Ook aan bod tijdens het cyberevent kwam de nieuwe privacyrichtlijn AVG. Het tegengaan en vroeg melden van datalekken speelt in die wet een belangrijke rol. Volgens beveiligingsexpert Brenno de Winter heeft de AVG vooral impact vanwege de omgekeerde bewijslast die erin is opgenomen. “Je moet kunnen aantonen dat je je aan de wet houdt.”

De Winter besprak het voorbeeld van een financieel dienstverlener met honderd klanten. “Je moet van iedereen op een rijtje zetten welke persoonsgegevens je bewaart en waarom je die verzamelt. Daar moet je een verwerkingsregister voor hebben. Maar bedenk ook dat als je nieuwe software ontwerpt, dat die zo min mogelijk invloed op de privacy mag hebben. In feite moet je als bedrijf een soort milieueffectrapportage maken voor privacy”, aldus De Winter.

Hoofdpijn

Hoe bepaal je welke gegevens je wel en niet bewaart, wilde De Jong weten. “Alles wat je niet nodig hebt, geeft alleen maar hoofdpijn en maakt de buit voor datacriminelen aantrekkelijker. Denk dus goed na over welke gegevens je echt nodig hebt”, luidde De Winters advies.

“Dat is veel werk, een grote belasting”, vertaalde de beveiligingsexpert het sentiment onder de ondernemers in de zaal. “Maar bedenk wel dat we in feite jarenlang dingen met persoonsgegevens hebben gedaan zonder er goed bij na te denken.” Hij vindt niet dat bedrijven onnodig bang worden gemaakt voor de AVG, want de impact is groot. “Het is belangrijk dat je er in mei (als de wet ingaat, red.) klaar voor bent.”

Reageer op dit artikel