40 EVO magazine oktober 2014 transport RISICO CYBERCRIME ONDERSCHAT Afpersing anno 2014 Bedrijven kunnen niet meer zonder computers. Ze zijn nodig voor de administratie, het bijhouden van de klantgegevens en de planning voor het vervoer van producten. Computers maken een bedrijf echter ook kwetsbaar, want cybercriminelen liggen op de loer. Cybercriminelen hielden onlangs een Australisch bedrijf gegijzeld. Niet fysiek, maar door een inbreuk op de bedrijfscomputer. De hackers zetten alle tablets van het bedrijf op non-actief en wilden dit alleen ongedaan maken in ruil voor een afkoopsom. Een fraai staaltje afpersing anno 2014. De frequentie en ernst van dit soort praktijken zullen in de toekomst alleen maar toenemen, verwachten Mark Buningh en Kees Starrenburg van financieel dienstverlener Aon. Als adviseurs maken ze bedrijven bewust van het feit dat ICT gepaard gaat met de nodige risico’s. Buningh: ‘Het heeft allemaal te maken met de zogeheten digitale transformatie van offline naar online en de opkomst van ‘the internet of things’: steeds meer alledaagse communicatiemiddelen en gebruiksvoorwerpen zijn ver- bonden met het internet en wisselen continu gegevens met elkaar uit. Zowel particulieren als bedrijven maken steeds meer gebruik van data en het internet. De toenemende afhankelijkheid van ICT brengt echter risico’s met zich mee. Die worden nogal eens onderschat.’ Aftappen De groeiende digitalisering zorgt ook voor een enorme groei van cybercriminaliteit, zegt Buningh. ‘In toenemende mate verschuift de criminaliteit van de fysieke naar de virtuele wereld. Dit komt doordat het simpelweg veel makkelijker is om deze vorm van criminaliteit te bedrijven. De kosten zijn lager, de buit groter en de pakkans kleiner. Bovendien zijn er steeds meer data, neemt de informatie toe in waarde en hoeven criminelen de buit niet persoonlijk te gaan halen. Ze pakken het door netwerken en computersystemen af te tappen. Een fysieke inbraak is daardoor niet meer nodig.’ Er zijn volgens Starrenburg heel veel manieren waarop deze digitale dieven te werk gaan. Hij somt op: ‘Wifi-netwerken lijken goed beveiligd, maar standaardwachtwoorden zijn in de praktijk makkelijk te kraken. Ook webapplicaties zijn kwetsbaarder dan je denkt; ze kunnen worden opengebroken door middel van zogeheten sql-injecties. Vaak proberen dieven via deze methode toegang te krijgen tot online voorraadlijsten. Ook phishing komt veel voor, een vorm van internetfraude waarbij via ‘false links’ inloggegevens en wachtwoorden worden achterhaald.’ Soms zijn cybercriminelen erg volgens Starrenburg. ‘Ze laten bijvoorbeeld usb-sticks rondslingeren op de parkeerplaats van het bedrijf dat doelwit is. De criminelen hopen dat een medewerker van het bedrijf ze meeneemt en uit nieuwsgierigheid in een computer steekt. De malware die is geïnstalleerd op de stick besmet vervolgens het bedrijfsnetwerk zodat de crimineel toegang krijgt tot ‘De kosten zijn lager, de buit groter’ GEEN SECTOR IS VEILIG Geen enkele sector is veilig als het gaat om cyberrisico’s, blijkt uit onderzoek van financieel dienstverlener Aon, dus ook de financiële sector niet. Banken zijn een interessant doelwit voor hackers die op zoek zijn naar datalekken. Afgelopen zomer maakte de Europese Centrale Bank bekend dat hackers zichzelf toegang hadden verschaft tot een database. Daarbij werden diverse persoonsgegevens, zoals e-mailadressen, telefoonnummers en andere adresgegevens, buitgemaakt. Het ging om gegevens van mensen die zich op de openbare ECB-website hadden opgegeven voor evenementen. Later volgde er een mail waarin geld werd geëist in ruil voor teruggave van de data. Hoewel de hackers geen toegang hadden tot gevoelige gegevens over financiële markten, nam de ECB de gebeurtenis zeer serieus, zo liet het instituut weten. De politie werd geïnformeerd over het voorval en er werd een onderzoek gestart. ÉÉN OP DE VIJF Uit een studie die eind vorig jaar is uitgevoerd door consultancybureau KPMG blijkt dat een ruime meerderheid van het Nederlandse middenbedrijf weliswaar bekend is met het fenomeen cybercrime, maar dat slechts een kleine zestig procent er een hoge prioriteit aan toekent. Ook blijkt uit het onderzoek dat één op de vijf bedrijven in 2013 met een aanval van internetcriminelen te maken heeft gehad. Daarbij ging het vooral om phishing en in mindere mate om besmetting van software en aanvallen op de bedrijfswebsites. Iets meer dan de helft van de ondervraagden gaf aan dat de aanval was gericht op het verkrijgen van toegang tot kapitaal. Volgens KPMG overheerst bij middelgrote ondernemingen de gedachte dat cybercrime geen grote bedreiging is. Zij onderschatten wat cybercrime kan aanrichten MARK BUNINGH en maken te weinig budget vrij voor preventie, aldus het Adviseur Aon consultancybureau. de gegevens die zich daarop bevinden. En zo zijn er nog veel meer manieren denkbaar waarop een kwaadwillende zich toegang kan verschaffen tot gevoelige informatie.’ Marge KEES STARRENBURG Adviseur Aon Buningh vult aan: ‘Ook de cybercrimelen en hun motieven kennen vele varianten. Het kunnen lobbyisten zijn, die reputatieschade willen aanrichten. Dan wroeten ze in digitale bestanden en vinden uit dat je niet voldoende sociale premies voor het personeel afdraagt bijvoorbeeld. Het kan ook een ondernemer zijn, die wil weten hoe het zit met de marge van de concurrent of op zoek is naar concurrentiegevoelige informatie over bijvoorbeeld de inkoop, of leveranciers. Het doel is voorkennis, waarmee 41 42 marktaandeel van de rivaal kan worden afgesnoept. Er zijn ook beroepscriminelen die uit zijn op intellectueel eigendom. Dan kan het opeens gebeuren dat het door jou bedachte product eerder in China op de markt is dan hier in Nederland.’ Starrenburg: ‘Sommige criminelen zijn uit op volledige transportladingen. Een lading hoogwaardige consumentenapparaten kan zomaar in verkeerde handen vallen. De internetcriminelen zorgen ervoor dat de lading zoekraakt of bij hen wordt afgeleverd. Ze doen dat door in te breken op de computersystemen en bijvoorbeeld het losadres te veranderen, of door zichzelf voor te doen als de logistiek dienstverlener. Er zijn verschillende manieren denkbaar waarmee ze op onjuiste gronden macht over de lading krijgen.’ Vuist tegen ladingdiefstal ervan. Deze benoeming bleek, samen met het in het leven roepen van een speciaal interventieteam, uiterst effectief, want het aantal meldingen van ladingdiefstallen daalde zienderogen. Het bedrijfsleven was dan ook ‘not amused’ toen het ministerie deze aanpak twee jaar later weer losliet. Vervoerders en verladers vroegen zich af in hoeverre politie en Justitie transportcriminaliteit nog op hun netvlies hadden staan en welke plaats het onderwerp zou krijgen in de nieuw te vormen Nationale Politie. Inmiddels is duidelijk geworden dat het bedrijfsleven opgelucht kan ademhalen. Een belofte van minister Ivo Opstelten dat de aanpak van transportcriminaliteit een speerpunt in beleid zou blijven, werd eind vorig jaar geformaliseerd. Dat gebeurde toen het Nationaal Platform Criminaliteitsbeheersing (NPC) de aanpak officieel als Complete voertuigen die verdwijnen, dieven die dekzeilen opensnijden op zoek naar waardevolle goederen, zoals elektronica en modeartikelen; het is aan de orde van de dag. De schade als gevolg van ladingdiefstal ligt in Nederland op ongeveer 350 miljoen euro per jaar. Al jaren probeert de overheid, samen met het bedrijfsleven, een vuist te maken tegen deze vorm van transportcriminaliteit. In 2010 werd er een Officier van Justitie aangesteld, die speciaal was belast met de bestrijding ‘I love you’ Volgens Buningh denken veel ondernemers ten onrechte dat zij pogingen tot internetfraude of oplichting herkennen omdat zij menen bekend genoeg te zijn met automatisering en internet. ‘Je moet echt niet naïef zijn. Ook als je dagelijks met deze materie bezig bent, kun je aan de beurt zijn. De hedendaagse technieken zijn soms zo professioneel, dat ze niet van echt zijn te onderscheiden. De aanvallen zijn niet meer langer de bekende spamberichten of overduidelijke virussen met namen als ‘I love you’. Om je te weren tegen hedendaagse kwetsbaarheden, zoals ‘hartbleed’ of ‘shell-shock’, moet je je echt gedegen wapenen.’ Ondernemers die serieus werk willen maken van het beteugelen van de risico’s, moeten zich volgens Starrenburg realiseren dat het een heel belangrijk onderdeel is van de bedrijfshuishouding. ‘Dit moet op de agenda staan van het managementteam, de directie of de raad van bestuur, want denken dat ‘de mannen van de ICT’ het wel onder controle hebben, is te gemakkelijk. Bedrijven moeten in kaart brengen met welke potentiële kwetsbaarheden zij te maken hebben. Welke bedreigingen zijn er en welke financiële consequenties kunnen die hebben? Is er intern sprake van een effectieve controle en rapportage? En zijn wij eigenlijk goed verzekerd tegen vervelende voorvallen? Dat soort vragen moeten ondernemers zichzelf stellen.’ ‘Je moet echt niet naïef zijn’ Wedloop Volgens Buningh is er een ware wedloop ontstaan tussen computerdeskundigen en internetcriminelen. ‘Die strijd zal ook nooit zijn uitgestreden. Daarom is het zaak voor ondernemers om te blijven investeren in passende beheersmaatregelen en veiligheid, zodat je de wedloop volhoudt. De technologische producten op de markt worden namelijk steeds ingewikkelder en criminelen steeds geraffineerder.’ Onlangs nog werden de kosten van cybercriminaliteit voor de Nederlandse samenleving geschat op ruim acht miljard euro per jaar. Driekwart van deze schade komt voor rekening van het bedrijfsleven. Buningh wijst er echter op dat de schadepost niet volledig valt toe te wijzen aan hackers. ‘In veel gevallen gaat het ook om nalatigheid bij eigen medewerkers of diefstal van bedrijfsgeheimen en digitale eigendommen van patenten, bouwtekeningen zodanig bestempelde. Dit platform, waarin EVO is vertegenwoordigd via VNO-NCW, richt zich op de aanpak van criminaliteit in het bedrijfsleven. Dat het Opstelten menens is met de aanpak van deze vorm van criminaliteit, bewees hij dit voorjaar nog eens bij de lancering van de website www.preventieinzicht.nl, een site waarop ondernemers praktische tips krijgen over hoe zij zich kunnen wapenen tegen personen met kwade bedoelingen. ‘Deze vorm van criminaliteit maakt de transportwereld en mij als minister boos. Je blijft gewoon af van andermans spullen. Punt uit’, zei de bewindsman bij die gelegenheid. Het is geen overbodige luxe om het onderwerp hoog op de agenda te houden, want het aantal aangiften van ladingdiefstal en pogingen daartoe, liep vorig jaar op tot of klantbestanden. Dan vallen vertrouwelijke gegevens in verkeerde handen doordat iemand zijn smartphone is vergeten op het vliegveld, of door een per ongeluk verstuurde e-mail. Bewustwording van de risico’s is de sleutel naar het voorkomen van problemen.’ STEVEN VAN AARTRIJK HAAL GEEN DIEF IN HUIS Bedrijven in de sector transport en logistiek worden geregeld geconfronteerd met schade die een gevolg is van fraude en criminaliteit: van diefstal van brandstof uit vrachtautotanks en goederen uit magazijnen tot aan het doorgeven van vertrouwelijke informatie en het verdwijnen van complete ladingen ergens onderweg. Naar schatting zo’n tachtig procent van deze gevallen van fraude en criminaliteit wordt veroorzaakt door eigen personeel, uitzendkrachten of medewerkers van charters. Vooraf screenen van nieuw personeel helpt de kans op diefstal of fraude vanuit de eigen organisatie te verkleinen. Dit kan via het Waarschuwingsregister Logistieke Sector (WLS), waarvan EVO een van de initiatiefnemers is. Meer informatie: www.stichtingwls.nl. VERZEKERING Bedrijven die hun goederentransport willen verzekeren, kunnen hiervoor bij EVO een goederentransportverzekering afsluiten. Hiermee is de schade door verlies of beschadiging van (handels)goederen tijdens het vervoer gedekt, zowel bij transport door de ondernemer zelf, als wanneer hij het laat uitvoeren door een vervoerder. Zendingen zijn verzekerd ongeacht de transportmethode (vrachtauto, trein, vliegtuig of schip) én ongeacht de toegepaste Incoterm. Ook is een premiekorting mogelijk bij de afname van specifieke EVOcursussen. Meer informatie: www.evoverzekeringen.nl. 432, terwijl de teller een jaar eerder nog op 287 stond. Het gemiddelde schadebedrag bij een ladingdiefstal is honderdduizend euro. Daar komt de schade aan gestolen materiaal nog bij, evenals bedrijfs- en vervolgschade voor transportbedrijven. Het grootste deel van de diefstallen wordt gepleegd door zogeheten zeilsnijders: criminelen die het afdekzeil van vrachtauto’s kapotsnijden waardoor ze de lading kunnen zien en - als die waardevol is - roven. Zeilsnijders zijn het actiefst op parkeerplaatsen langs snelwegen, vooral de minder goed beveiligde. Daarnaast vinden veel diefstallen plaats op het eigen terrein van ondernemers, waar geladen vrachtauto’s ’s nachts en in de weekends klaarstaan voor vertrek in de vroege ochtend. 43