De noodzaak om cyberweerbaar te worden staat bij steeds meer ondernemers op de radar. Maatregelen gericht op ‘menselijke kwetsbaarheden’ krijgen daarbij steeds meer aandacht. Deze ‘basishygiëne’ bestaat bijvoorbeeld uit het herkennen van phishing-mails of het gebruik van sterke wachtwoorden. Ook in de bouwnijverheid vergt cybercrime constante alertheid.
Cybercrime stelt het Nederlandse bedrijfsleven danig op de proef. Gemeenten, onderwijsinstellingen, ziekenhuizen en winkels worden het vaakst getroffen, maar ook bedrijven in de bouw en techniek zijn soms ‘aan de beurt’. Op 15 juni 2023 stuurde de Coen Hagedoorn Bouwgroep een bericht aan alle huurders van woningbouwcorporaties waarvan naam, adres, woonplaats, telefoonnummer of e-mailadres in het computersysteem stond. “Er heeft een cyberaanval op ons computersysteem plaatsgevonden. Wij hebben meteen het datalek gestopt om toegang tot gegevens tegen te houden. De kans is klein dat er gegevens zijn gelekt. Toch kunnen we dit niet voor 100 procent garanderen.”
Coen Hagedoorn Bouwgroep is niet de enige. Bij bouwbedrijf Heijmans probeerden hackers 1.300 accounts te kraken (wat niet lukte). Het Udenhoutse installatiebedrijf Hoppenbrouwers Techniek was slachtoffer van een aanval met gijzelsoftware (ransomware) op de beheersoftware van leverancier Kaseya (waarmee laptops en servers op afstand werden beheerd). Hoppenbrouwers kwam er niet zonder kleerscheuren vanaf. De totale kosten bedroegen 400.000 euro.
Volgens Pim Takkenberg, directeur van beveiligingsbedrijf Northwave, zijn gehackte bedrijven gemiddeld drie weken uit de lucht. De kosten kunnen zitten in de inzet van externe specialisten, gederfde inkomsten doordat systemen tijdelijk niet functioneren (of klanten niet bediend kunnen worden), extra kosten voor eigen medewerkers, juridische claims en de aanschaf van nieuwe (minder kwetsbare) hardware. Takkenberg: “En dan tel ik het betalen van losgeld niet eens mee. In vijftig procent van de gevallen die ons bekend zijn, wordt losgeld betaald.”
Gijzelsoftware in de bouwnijverheid
Volgens gegevens van DataLekt.nl wordt de bouwnijverheid relatief vaak getroffen door gijzelsoftware (ransomware) met 7,1 procent van alle incidenten sinds 2016. In totaal 17 bedrijven zijn gegijzeld, waaronder Coen Hagedoorn Bouwgroep, De Groot Installatiegroep, Hoppenbrouwers Techniek, Hemmink, Quadrant Architecten, Van der Helm, Abeko, Knipmeijer & Blok en Rollecate.
De criminele organisaties die onze bedrijven in de bouw en techniek op de korrel nemen, dragen illustere namen als LockBit, Black Basta, PLAY, Royal en Hive. Met hun kwaadaardige software maken ze gegevens of systemen ontoegankelijk. Naast de traditionele methode waarbij data wordt versleuteld, zijn er situaties waarin gedreigd wordt data te lekken als er niet wordt betaald (meestal met cryptocurrency). De belofte dat de situatie wordt hersteld na betaling, is natuurlijk flinterdun.
De schade door gijzelsoftware is breed en kan leiden tot financieel verlies door het betalen van losgeld en de kosten voor het herstellen van systemen, tot aan dataverlies en reputatieschade toe. Organisaties kunnen operationele verstoringen en juridische problemen ondervinden, zoals boetes vanwege het overtreden van gegevensbeschermingsregels. Het is essentieel voor zowel organisaties als individuen om de risico’s van gijzelsoftware te begrijpen en maatregelen te nemen ter preventie.
Om aanvallen door gijzelsoftware te voorkomen, en de impact ervan te minimaliseren, is het belangrijk om regelmatig back-ups te maken van belangrijke data, software bijgewerkt te houden, medewerkers te onderwijzen over cyberdreigingen en beveiligingsoplossingen te implementeren, zoals antivirussoftware en firewalls. Pro-actief handelen en het vergroten van bewustzijn zijn sleutels tot het verminderen van risico’s en het verbeteren van bescherming.
Meer aandacht voor ‘stommiteiten’
Steeds meer ondernemers zijn zich bewust van de noodzaak om cyberweerbaar te worden. Uit een recente enquête van ABN AMRO en onderzoeksbureau MWM2 onder 895 organisaties blijkt dat inmiddels de overgrote meerderheid van de ondervraagden maatregelen treft. Onder zzp’ers is dit percentage met 82 procent wat lager dan onder respondenten uit het midden- en kleinbedrijf (95 procent) en grootbedrijf (97 procent).
De meeste ondernemingen kiezen voor technologische maatregelen: virusscanners, het versleutelen van gegevens en het toepassen van firewalls.
Volgens de enquête wordt ook aan het voorkomen van menselijke kwetsbaarheden (plat gezegd: stommiteiten) meer aandacht besteed. Het percentage bedrijven dat op dit vlak maatregelen neemt, steeg van 40 procent in 2022 naar 53 procent in 2024. Voorbeelden zijn trainingen om basishygiëne op het gebied van cybersecurity bij medewerkers tussen de oren te krijgen of het simuleren van phishing-aanvallen om de kennis van phishing te vergroten. “Zulke oefeningen moet je maandelijks laten terugkeren”, adviseert Arwi van der Sluijs, algemeen directeur van cybersecuritydienstverlener NFIR. “Koppel er ook een toets aan om de opgedane kennis te monitoren. En laat de afdeling HR de resultaten bijhouden.”
Mix van maatregelen nodig
Maarten Roerink, CEO van cybersecuritydienstverlener MMOX, onderstreept het belang van een mix aan maatregelen. Roerink: “Van oudsher worden vooral vanuit IT en technologie maatregelen getroffen. Maar als je een risicogestuurde aanpak hanteert, merk je al gauw dat er ook ingrepen nodig zijn op procesniveau en op menselijk vlak. Welke bedrijfsdata zijn bijvoorbeeld gevoelig of waardevol? En welke medewerkers hebben toegang tot die data? Juist voor hen moeten extra opleidings- en beveiligingsmaatregelen gelden, anders moet hun toegang tot een bepaald systeem worden ingetrokken.”
‘Mijn oproep is simpel: maak wachtwoorden lang, minimaal 13 tekens’
Groeiende lijst van incidenten
Het cyberbewustzijn bij ondernemers groeit, net als de lijst met incidenten. DataLekt.nl rapporteerde sinds 2016 al 667 datalekken en 241 aanvallen met gijzelsoftware in Nederland. Totale schade: 108 miljoen euro. De meest recente slachtoffers sinds de afronding van dit artikel waren gemeente Nijmegen (28 juni), Bunq (27 juni), Dienst Uitvoering Onderwijs (24 juni), gemeente Geertruidenberg (19 juni), gemeente Amsterdam (18 juni), WinSys (15 juni) en Hoog- heemraadschap Schieland-Krimpenerwaard (13 juni).
Van alle incidenten vond 1,7 procent plaats in de bouwnijverheid. Dat valt mee in vergelijking met gemeenten (12,3 procent), IT-bedrijven (11,0 procent) en zorginstellingen (10,4 procent). Maar toch: ook bedrijven in de bouw en techniek zijn slachtoffer.
Zwakke wachtwoorden
Cybersecuritydienstverleners staan in de rij om assistentie te verlenen. Heel goed natuurlijk, maar ook kostbaar, en soms helemaal niet nodig. Immers: voor de meest basale maatregelen is vooral gezond boerenverstand nodig. Wat te denken van het gebruik van makkelijk te kraken wachtwoorden? Wat te denken van ‘banaan’, ‘w8woord’, of’1234567’? Kraken is een peulenschil. Daar hoef je als hacker niet eens je best voor te doen.
Onderzoeksjournalist Maria Genova schreef boeken over cybercrime zoals ‘Komt een vrouw bij de h@cker’, ‘What the h@ck’ en ‘Snel geleerd, slim online’. Genova waarschuwt al jaren voor makkelijk te kraken wachtwoorden. “Bij gemeente Hof van Twente werd vier jaar geleden het wachtwoord ‘welkom2020’ gekraakt. Dat kostte hen 4 miljoen euro. Mijn oproep is simpel: maak wachtwoorden lang, minimaal 13 tekens. De nieuwste hackprogramma’s kunnen miljoenen bewerkingen per seconde aan en wachtwoorden van 8 tekens zijn vaak snel gekraakt. Tegen wachtwoorden van 13 tekens zijn de programma’s nog niet echt bestand want dan gaat het al om miljarden mogelijkheden. Ook adviseer ik het gebruik van simpel te onthouden zinnen. De zin ‘Ik_hou_van_groene_worteltjes’ is in honderd jaar niet te hacken. Nou ja, nu wel.”
‘Stop met praten en rapporten schrijven’
Het vorige kabinet gaf in de Miljoenennota voor 2023 volop aandacht aan ICT met implementatie van de Nederlandse Cybersecurity Strategie en de doorontwikkeling van het Nationaal Cyber Security Centrum (NCSC) in de richting van een ‘toekomstbestendig cybersecuritystelsel’. Het budget van het NCSC werd verhoogd van 7 naar 23 miljoen euro en groeit door naar 42 miljoen euro in 2027.
De verhoging van de budgetten klinkt geruststellend, maar onderzoeksjournalist Maria Genova wordt niet warm of koud van hoge budgetten als tegelijkertijd de verkeerde maatregelen worden toegepast. Genova: “Waar gaat dat geld naartoe? Gaan ze weer nieuwe werkgroepen opzetten? Nog meer praten en rapporten schrijven? Ik ben een pragmaticus en geloof in dingen uitproberen. Organisaties worden gehackt omdat de IT-afdeling geen updates uitvoert of omdat medewerkers stomme dingen doen.”
Genova ziet een vicieuze cirkel waarin organisaties gevangen zitten: “Echt bizar wat er gebeurt. Mensen blijven maar klikken op verkeerde links. Phishing wordt steeds realistischer. Maar vergis je niet, ook op hele slechte phishing-mails wordt nog steeds geklikt. Geef medewerkers trainingen over hoe ze foute mails of kwaadaardige QR-codes kunnen herkennen. Geef ze concrete tips, bijvoorbeeld om honderd verschillende wachtwoorden te kunnen onthouden. En geef het mkb toegankelijke en gratis e-learning. Daarmee schieten ondernemers echt iets op.”
Dit artikel is eerder gepubliceerd in Aannemer 6 – 2024.
Lees ook:
Discussie zien we graag op Aannemervak, maar wel met respect voor elkaar. Wij vragen daarom om onder volledige naam te reageren. Lees onze andere regels voor discussie hier. Met het plaatsen van een reactie verklaart u zich akkoord met deze regels.