Sinds kort kunnen bedrijven die hun digitale beveiliging beter op orde willen krijgen, terecht op de Brainport Industries Campus bij het Cyber Weerbaarheid Centrum Brainport. Hier krijgen ze advies, kunnen ze hun bedrijf laten checken en delen ze veiligheidsinformatie met elkaar. Een van de leden van dit centrum is IP4Sure, een ict-bedrijf dat ook specialiseert in de beveiliging van kleinere bedrijven. Rob Buddingh mede-eigenaar en vertelt waarom zij lid zijn. “ We zijn een techneutenclubje dat de kleinere bedrijven helpt hun ict-veiligheid op orde te brengen. We zagen dat er hier in de regio nog maar weinig partijen voor deze groep zijn. Grote partijen als ASML hebben hier een goed budget voor, maar de ‘kleine broertjes’ hebben dat niet. Maar meer digitale veiligheid hoeft niet superduur te zijn.”

Buddingh komt de gekste dingen: post-its met wachtwoorden, gevoelige data die overal en nergens wordt opgeslagen, oude systemen met Windows-95 en serverruimtes zonder slot. “Je kunt een systeem nog zo goed beveiligen, maar meestal gaat het fout bij mensen. Iemand raakt een USB-stick kwijt of klikt op een linkje waar hij niet op zou moeten klikken. Dit gebeurt ook regelmatig: bedrijven die hun server via internet helemaal dichttimmeren, maar de kamer waar de server staat kan niet eens op slot.”

Hier zijn ervaringen en lessen:

  • Weet waar je data is

“Veel bedrijven beseffen niet hoe ontzettend veel data ze al jaren verzamelen. Oude deals, klantgegevens, afspraken. Noem het allemaal maar op. Vaak weten ze niet eens dat ze het nog hebben, gegevens overal en nergens opgeslagen. Wij proberen bedrijven te helpen orde op zaken te stellen. Spreek met elkaar af waar je wat opslaat. Stel een goed protocol op waar iedereen zich binnen het bedrijf aan houdt. Krijgt iedereen toegang? Worden er back-ups gemaakt en hoe vaak?”

“Geef ook nooit maar één iemand de inloggegevens van de server. Wij hebben het meegemaakt dat we voor een klant systemen moesten updaten, maar dit niet voor elkaar kregen omdat een wraakzuchtige ex-medewerker de wachtwoorden niet wilde afstaan.”

  • Stop je hoofd niet in het zand

“Veel managers binnen bedrijven zijn van de struisvogelpolitiek, ze doen net alsof het probleem niet bestaat. Alsof zij geen slachtoffer kunnen worden. ‘ah, mij gebeurt zoietst niet!’ Dat komt ook omdat het geen tastbaar probleem is. Terwijl het risico er wel degelijk is. Ook voor lagen onder de grote jongens als Philips, NXP of ASML. De realiteit is dat niemand ooit 100 procent veilig is, dat kun je nooit garanderen.”

“Twintig jaar geleden legde ik uit waarom een firewall belangrijk was, dat snapt iedereen tegenwoordig. Maar nu is eigenlijk hetzelfde gaande, alleen de problemen zijn anders. Mensen komen er vaak pas achter dat het probleem echt bestaat als ze zelf niet meer bij hun bestanden kunnen.”

  • Laat je bedrijf onder de loep nemen

Lachend: “Systeembeheerders zijn een beetje bang voor ons. Wij zijn die techneuten die ze komen vertellen dat zij hun werk niet goed hebben gedaan.”

“Die angst is nergens voor nodig, als je gaat graven in ICT-structuren vind je altijd wel kwetsbaarheden. Maar beter dat wij iets vinden dan iemand met kwade bedoelingen, toch? Wij zijn er niet om systeembeheerders te vertellen dat ze slecht werk leveren. We brengen risico’s in kaart en geven advies hoe ze dit het beste kunnen oplossen. We weten ook dat dit nooit in één keer opgelost kan worden, dat kan best in kleine stapjes gaan. Leidinggevenden die ervoor zorgen dat werknemers niet zomaar USB-sticks vol medische gegevens in de trein laten slingeren, dat kan al een begin zijn.”

  • Maak een plan voor als het misgaat

“Bedrijven weten vaak totaal niet wat ze te doen staat als er bijvoorbeeld data lekt. Gaat het om persoonsgegevens? Waar moeten we dit melden? Vraag je af wat je kunt doen als je gegevens kwijtraakt. Net als je moet weten waar je data in het bedrijf is opgeslagen, moet je er ook goed over nadenken welke stappen je neemt als je data kwijtraakt of als er gegevens worden gestolen.”

  • Maak een back-up van bestanden

“Als je dit hoort denk je: ‘ja, ja natuurlijk. Dat is logisch dat doet toch iedereen?’ Maar je zult ervan versteld staan hoeveel bedrijven dit niet doen. Je hebt meer opslagruimte nodig, kost weer extra geld. ‘Gaan we niet doen, want we worden toch niet gehackt’ hoor ik regelmatig eigenaars zeggen.”

“Bedrijven die betalen om gegijzelde gegevens weer terug te krijgen, hebben de boel vaak niet goed op orde. Ze maken hun personeel er niet genoeg op attent dat je niet op iedere link kunt klikken of ze hebben geen back-ups van gegevens.”

  • Meld een lek of aanval

“Uit angst voor boetes of imagoschade zijn er veel ondernemers die datalekken of aanvallen onder het tapijt proberen te schuiven. Door naar buiten te brengen waar het misgegaan is, kunnen andere bedrijven er ook iets aan hebben. Dat is ook hoe we informatie delen in het Brainport Centre. Het gaat dan niet om waar aanvallers naar op zoek zijn, maar meer om de aanvalsmethodes en tactieken die ze gebruiken. Zo kunnen anderen misschien nog maatregelen nemen.”

Speuren naar de dader

Buddingh en zijn ‘techneutenclubje’ helpen bedrijven waar het is misgegaan, zoeken naar de dader. “Soort online detectivewerk”, lacht Buddingh. Waar Sherlock Holmes met een vergrootglas naar sporen zoekt, gebruikt Buddingh analysesoftware om in digitale logboeken aanwijzingen te vinden. “Soms heb je snel beet en probeer je alle linkjes te leggen tot je bij een dader uitkomt.”

Maar andere keren heeft hij minder geluk. Buddingh: “Criminelen worden steeds geraffineerder en zijn beter in staat zichzelf te verstoppen. Soms kom je via een VPN-server in Senegal terecht en loopt het spoor dood.” Frustrerend, maar dat hoort erbij volgens hem. “Het is als schaken, waar je constant probeert om je tegenstander te slim af te zijn. Ook leren we veel van de onderzoeksmethodes van Bellingcat. Ongelooflijk wat zij aan details naar boven weten te krijgen.”