Wanneer een collega-ondernemer gehackt is, denk dan niet dat het jou nooit zal overkomen. In elke sector vinden cyberincidenten plaats. En niet alleen grote en middelgrote organisaties zijn interessant voor cybercriminelen. Bij elke onderneming is voor hackers iets te halen. Sterker nog, kleinere organisaties zijn vaak juist kwetsbaar omdat ze vaak minder budget hebben voor een solide cyberweerbaarheid.
Hier bespreken we een aantal opvallende praktijkcases uit verschillende sectoren. Om een beeld te geven van wat zou kunnen gebeuren én welke lessen jouw organisatie hieruit kan trekken.
Transport: ton buitgemaakt met één belletje
In 2022 werd een Fries transportbedrijf slachtoffer van bankfraude. Een cybercrimineel deed zich voor als bankmedewerker, met als gevolg dat het bedrijf een ton overmaakte naar diens rekening. Zodra het bedrijf zich realiseerde dat ze waren opgelicht, namen ze contact met ons op. Uiteindelijk kregen ze het geld terug en kreeg de politie een verdachte op het oog.
Wat deze casus vooral laat zien, is hoe kwetsbaar een onderneming kan zijn op zowel het gebied van mensen als techniek. De tactiek van de dader(s) bestond uit het vertrouwen winnen van het slachtoffer, plus het digitaal kunnen meekijken met diens handelen.
De lessen:
- Weet dat de bank je nooit zal vragen om geld van je rekening te verplaatsen, en je zeker niet onder tijdsdruk zal zetten om dit te doen. Wanneer zulke kennis organisatiebreed bekend is, is de kans nihil dat iemand in deze truc trapt.
- Heb een protocol klaarliggen wanneer zo’n casus (en andere scenario’s) zich voordoen.
- Check geregeld je systemen op mogelijke malware en andere kwetsbaarheden die criminelen toegang kunnen geven.
Zorg: tandartsketen betaalt meer dan 2 miljoen aan losgeld na hack
In de zorg gaat veel privacygevoelige data rond. Dat is roofgoed voor hackers. In 2022 wisten cybercriminelen een grote hoeveelheid data te stelen van een tandartsketen waar 130 tandartsen bij waren aangesloten. Ze dreigden de gegevens vrij te geven, tenzij er losgeld betaald wordt. Back-ups bleken niet voldoende beschikbaar. Om ‘op korte termijn het risico voor alle betrokkenen te minimaliseren en de praktijkvoering relatief snel weer te herstellen’ koos de tandartsketen ervoor om het losgeld te betalen. De schade: meer dan 2 miljoen euro.
De lessen:
- Zorg er altijd voor dat je een back-up van je systemen en data hebt.
- Vaak krijgen cybercriminelen toegang tot de systemen dankzij met een eerdere hack buitgemaakte inloggegevens, die ze vervolgens kopen. Streng wachtwoordbeleid zoals tweestapsauthoristatie en passkeys ondervangt dit risico.
- Ook al heb je een back-up, dan kan losgeld betalen bij een hack alsnog de beste keuze zijn. In dit geval ging het om zeer veel patiëntgegevens, waarvan je niet wil dat deze openbaar worden gemaakt. Zou losgeld betalen voor jouw onderneming ook de enige optie zijn, dan is de enige oplossing jezelf hier op alle manieren tegen wapenen.
IT-leverancier: kwetsbare ketenpartner doelwit van aanval
Ook bedrijven in de IT-sector worden niet gespaard door cybercriminelen. Dit jaar werd het Nederlandse IT-bedrijf Centric slachtoffer van datadiefstal. De beruchte ransomwaregroep Clop publiceerde het op hun website. Gelukkig bleef de schade beperkt tot ‘een zeer beperkt aantal privacygevoelige gegevens’. Toch is het een alarmerend incident. Centric is een centrale ketenpartner die toegang heeft tot de persoonsgegevens van velerlei andere organisaties in onder andere de zorg-, financiële en overheidssector. De hack op Centric kon naar verluid slagen door een kwetsbaarheid in de software van een testsysteem, afkomstig van een externe softwareleverancier. Daardoor was er nog geen oplossing beschikbaar in geval van een hack.
De lessen:
- Niet alleen grote of belangrijke partijen zijn doelwit van cybercriminelen. Als ketenpartner- of leverancier-van ben je minstens zo kwetsbaar. Dit is dan ook de drijfveer achter de upgrade van de NIS naar NIS2. Zorg er als tussenspeler of ketenpartner voor dat jouw cyberweerbaarheid op een hoog niveau ligt. Voldoe je nog niet aan de eisen die de NIS2 van je stelt, ga hier dan nu mee aan de slag. Niet alleen omdat de NIS2 binnenkort van kracht gaat, maar vooral omdat jouw partners en klanten dan met een gerust hart met jou zaken kunnen blijven doen.
- Net als dat jij als leverancier verantwoordelijk bent voor een gedegen niveau van cyberweerbaarheid, mag je dat ook verwachten van jóuw leveranciers. Maar laat het niet bij slechts een verwachting. Je wilt idealiter zeker weten dat het op dit gebied ook bij de ander goed zit. Weet dus wie en wat je in huis haalt.
Leer van elk soort incident
Elke onderneming heeft zo haar digitale kwetsbaarheden. Elk incident is echter een leerervaring, of deze nu bij jouzelf, een collega of een totaal ander soort bedrijf plaatsvindt. Vraag jezelf af na een incident ‘bij de buren’: had dit ook mij kunnen overkomen? Is het antwoord geen volmondig ‘nee’, dan bestaan er nog duidelijk risico’s. Denk dus niet: dit overkomt mij niet’ en breng structuur en kwaliteit aan in jouw cyberweerbaarheid.
Hier hulp bij nodig? Schakel ons in voor passende maatregelen die jouw organisatie beschermen.
