In Nederland kennen we de Q-park hack misschien wel als meest opvallende voorbeeld: de systemen van het parkeerbedrijf waren in mei van dit jaar zo besmet, dat het dagen duurde voordat de automaten van veel garages van Q-park weer naar behoren werkten. Gevolg: voor miljoenen euro’s aan schade. En dat allemaal dankzij ransomware, software die je computer gijzelt. Hoe kan dit?

“Negen van de tien succesvolle aanvallen ontstaan doordat mensen of bedrijven zelf grote fouten maken”, stelt Tijs Hofmans, journalist en cybersecurity-expert van onder meer PCMWeb en ComputerIdee. “Crappy, slecht ondersteunde software is een groot probleem in het bedrijfsleven. Upgraden vinden ze vaak te duur en te ingewikkeld, en zelfs als de kosten van een aanval daar tegenop wegen, vindt het management goede security vaak een overbodige kostenpost. Dat moet echt anders.”

Wiard Gorter, directeur van cybersecurity specialist YaWorks, sluit zich daarbij aan. “Bij veel grote bedrijven zijn er nog veel kwetsbaarheden. Het probleem wordt nog altijd ontzettend onderschat.”

En dat terwijl het een onderwerp is dat al sinds de komst van het internet een grote rol speelt, meent Jan van den Berg, hoogleraar Cyber Security aan de TU-Delft en Universiteit Leiden. “Wie alleen al de afgelopen jaren de kranten heeft gelezen weet van een lange reeks aan incidenten.” Hij noemt onder meer Wikileaks en Diginotar als bekende internationale voorbeelden. Met de KPN-hack in 2012 kende Nederland een leermoment, toen een 17-jarige hacker uit Barendrecht op relatief eenvoudig wijze in honderden systemen van de provider terecht kon. “Er is nu wat meer aandacht in de media, daardoor gaat het grote publiek inzien dat er aan de digitalisering soms grote risico’s zitten. Experts wisten dit allang.”

Toch lijkt er in het bedrijfsleven maar weinig aandacht aan veiligheid te worden gegeven. “Ransomware is een lucratieve business. De georganiseerde misdaad is steeds harder online aan het investeren. Kijk je op de Dark Web, dan zijn er zelfs complete partijen die 24/7 ondersteuning voor ransomware-aanvallen bieden”, voegt Gorter daaraan toe. “Dan moeten bedrijven daar ook rekening mee houden. Veiligheid moet een integraal onderdeel binnen je bedrijfsvoering zijn. Net als een huisjurist, heb je ook standaard een partij voor cybersecurity nodig. “

Het bestrijden van ransomware is niet eenvoudig, maar de basis is simpel. “Maak back-ups van back-ups, en daarna nog eens back-ups van die back-ups”, grinnikt journalist Hofmans. “En zorg vervolgens dat je dat proces stroomlijnt. Bedrijven zijn vaak dagen kwijt aan het herstellen van back-ups - dat kost soms meer dan het losgeld, dus is het in sommige gevallen lijkt het dan lucratiever te betalen, zelfs als je wel back-ups hebt.”

Ook is een verandering van gedrag is essentieel. “Leer je medewerkers phishing te herkennen en zorg ervoor dat ze niet zomaar iedere usb-stick in hun PC stoppen”, zegt Hofmans. “Vaak is phishingmail de reden van verspreiding. Dan kun je daar als bedrijf maar beter op inspelen.”

Hoogleraar Van Den Berg: “Train de gebruikers van je IT-systeem op ‘cyber hygiëne’. Zorg dat ze niet zomaar overal op klikken.” Wederom is hierbij een goede voorlichting van belang.

“Veel aanvallen gebeuren nog altijd via social engineering: een hacker belt met een medewerker en doet zich anders voor”, voegt Wiard Gorter daar tot slot aan toe. “Wij Nederlanders zijn trouwhartig: als iemand ons vraagt om wat gegevens, dan geven we die. Terwijl je je eigenlijk moet afvragen: waarom wil die persoon die gegevens en mag ik die wel geven?”