Terugblik op Kenniscafé "Gehackt! Wat nu?'

‘Ik zie dat bestuurders in de paniekstand schieten, soms de stekkers er meteen uit trekken of gaan formatteren. Dat moet je niet doen’ aldus Mark Jansen, IT-advocaat bij Dirkzwager. Hij was als advocaat betrokken bij de hack bij de HAN (Hogeschool Arnhem Nijmegen). Daarbij ging het om gegevens van 500.000 mensen. Wat doe je dan? ‘Rustig kijken, waar is hulp nodig? Ik zorg voor orde, overzicht creëren en rust bewaren. Bijvoorbeeld een korte melding doen bij de Autoriteit Persoonsgegevens. Gewoon een eerste pro forma melding dat er iets is gebeurd.’  

Marjoleine ten Velde, cybercrime officier van justitie van het Openbaar Ministerie Oost-Nederland, merkt nog steeds de gevolgen van de hack bij het OM. Ze is niet betrokken bij het onderzoek ernaar. ’We moesten afsluiten van internet want dat is de enige manier om de gevoelige informatie waarmee we werken, te kunnen waarborgen. We konden niks, niet inloggen, niet de mail openen op een andere plek dan bij het OM. Ik pakte maar een schriftje, een pen en liep naar het kopieerapparaat om te printen. Zo kon je werken. Sommige collega’s voelden zich helemaal onthand en wisten niet wat ze moesten doen zonder telefoon.’ 

Cees van Tent, hoofd van het Cybercrimeteam van politie Oost-Nederland: ‘Het overkomt nu het OM, het is de politie ook gebeurd. Het brengt onrust en onveiligheid. Het probleem is dat je je niet kunt beveiligen tegen de rekenkracht van de criminelen, want die is zó hoog. Stel je probeert ergens binnen te komen en je zoekt een poortje. Poortje voor poortje proberen duurt lang. Maar de criminelen kunnen met hun rekenkracht miljoenen poortjes tegelijk proberen. Mijn boodschap is: mooi dat we technologie ontwikkelen maar het brengt met zich mee dat het ook steeds gevaarlijker wordt. Er komen heel veel dingen op de markt zonder dat goed nagedacht is over de veiligheid.’

Wat zijn de ontwikkelingen?

Marjoleine ten Velde: ‘Ik zie dat er steeds meer geld in omgaat, de criminele netwerken worden internationaler.’ Cees Van Tent: ‘Waar het eerst vaak ging om gijzelsoftware is nu boardroomfraude een fenomeen. Daarbij moet je denken aan pyramidespellen die technisch zijn gemaakt. Het gaat om grote criminele groepen die mensen laten investeren met hoge bedragen.’

Marjoleine ten Velde: ‘Een crimineel is niet per se cyberkundig. Ze gebruiken digitale tools net als je een honkbalknuppel kunt gebruiken. Daar kun je mee honkballen maar die kun je ook lelijk inzetten. Zoals mails. Je kunt een school ‘DDos-en’. Dan stuur je heel veel mails en dan loopt de boel vast. Heel veel mensen hebben niet eens door wat er is gebeurd. Dat is ook zo bij bankhelpdeskfraude.’ Cees van Tent: ‘Er zit een vorm van schaamte achter. Ik zou bijna vragen ‘wie is er niet een keer opgelicht via Marktplaats of heeft niet een keer een foute sms gehad over een DHL-levering van een pakketje? Cybercrime is een modewoord. Hacken en datalekken is maar een klein deel van wat we zien en aanpakken. Heel veel aangiftes gaan over gedigitaliseerde criminaliteit. Dat is bijvoorbeeld phishing, bankhelpdeskfraude en whatsappfraude.’ 

Aangifte doen? Losgeld betalen? 

Er wordt niet veel aangifte gedaan van hacking door het bedrijfsleven. Mark Jansen: ‘De reden om wel aangifte te doen is communicatie en soms een opsporingsbelang.’ En losgeld betalen of niet? Zoals ook bij de universiteit van Maastricht? ’Je hebt geen zekerheid of je je bestanden terugkrijgt of nog een keer opgelicht wordt.’  Marjoleine ten Velde: ’In Noorwegen is het strafbaar gesteld om geld te betalen. Het aantal aangiftes is daar gedaald.’ 

Wie draait op voor de schade? 

Mark Jansen: ‘Vaak draait het slachtoffer voor de schade op. Softwareleveranciers hebben disclaimers zodat je de schade niet op ze kunt verhalen. De dader zit vaak in het buitenland. Je kunt je verzekeren via een cyberpolis. Maar dekking voor de praktische afhandeling van een datalek - forensische opsporing, communicatie en herstel - is duur. Het is een soort kansberekening die verzekeraars maken. Voor brand kan een redelijke inschatting gemaakt worden, hiervoor is het lastiger.’ 

Wetgeving verruimen of niet? 

Wat politie en OM betreft zou de wetgeving iets verruimd moeten worden zodat de politie meer mogelijkheden zou krijgen. Whatsapp-fraudeurs opsporen met een simpele hacktool die criminelen lokaliseert, zoals Kees van der Spek doet, dat mag de politie niet. Marjoleine ten Velde: ‘We hacken niet, maar we kunnen wel bijvoorbeeld data weghalen die door criminelen gestolen is, vlak voordat ze weer verkocht zouden worden. Je kunt wel ingrijpen in het criminele proces en data afvangen. Dan moet je dat vertalen naar wie erachter kan zitten. We doen dit met instemming van de rechter-commissaris. Maar internationaal zijn we niet gelijkwaardig. Kortgezegd: wij mogen meer tappen, maar in het buitenland mogen ze meer hacken’. Cees van Tent vult aan: ‘Hacken is binnendringen bij een andere partij. Als je het afvangt, ben je niet aan het hacken. In Nederland is het wel heel erg strikt geregeld, er is maar 1 politieteam wat meer mag dan de rest.’ 

Welke adviezen geven de gasten mee?

Mark Jansen: ‘Zorg dat hacking op tafel komt bij de directie. Het is een bestuursonderwerp. Zit je in het bestuur? Zorg dat je het snapt! Het is niet alleen voor whizzkids. Straks ligt er beslag op je huis. Het moet voortdurend op de bestuurstafel besproken worden’.

Cees van Tent: ‘Maak, nu het rustig is voor je bedrijf of afdeling, een protocol met stappen wat te doen als je slachtoffer wordt van een hack. Als je eenmaal gehackt bent, ben je in crisis.’ 

Marjolein ten Vulde vult aan: ‘Ik zie nu vaak pure paniek. En maak een communicatieplan. Wees transparant: dit is er gebeurd, dat betekent dat en dat. Want als het gebeurt: ‘je bent ontredderd.’ 

Ybo Buruma, namens het bestuur van Legal Valley, vatte aan het eind de bijeenkomst nog eens samen en sloot af met ‘maak het Chef-Sache!’ . 

Met dank aan het Centrum voor Digitalisering en Veiligheid voor de gastvrijheid en het beschikbaar stellen van de locatie in Apeldoorn voor het kenniscafé.