Bedrijven kunnen niet meer zonder computers. Ze zijn nodig

40
EVO magazine
oktober 2014
transport
RISICO CYBERCRIME ONDERSCHAT
Afpersing
anno 2014
Bedrijven kunnen niet meer zonder computers. Ze zijn nodig voor de administratie,
het bijhouden van de klantgegevens en de planning voor het vervoer van producten.
Computers maken een bedrijf echter ook kwetsbaar, want cybercriminelen liggen op
de loer.
Cybercriminelen hielden onlangs een Australisch bedrijf
gegijzeld. Niet fysiek, maar door een inbreuk op de bedrijfscomputer. De hackers zetten alle tablets van het bedrijf op
non-actief en wilden dit alleen ongedaan maken in ruil voor
een afkoopsom. Een fraai staaltje afpersing anno 2014.
De frequentie en ernst van dit soort praktijken zullen in
de toekomst alleen maar toenemen, verwachten Mark
Buningh en Kees Starrenburg van financieel dienstverlener Aon. Als adviseurs maken ze bedrijven bewust
van het feit dat ICT gepaard gaat met de nodige risico’s.
Buningh: ‘Het heeft allemaal te maken met de zogeheten
digitale transformatie van offline naar online en de opkomst van ‘the internet of things’: steeds meer alledaagse
communicatiemiddelen en gebruiksvoorwerpen zijn ver-
bonden met het internet en wisselen continu gegevens
met elkaar uit. Zowel particulieren als bedrijven maken
steeds meer gebruik van data en het internet. De toenemende afhankelijkheid van ICT brengt echter risico’s
met zich mee. Die worden nogal eens onderschat.’
Aftappen
De groeiende digitalisering zorgt ook voor een enorme
groei van cybercriminaliteit, zegt Buningh. ‘In toenemende mate verschuift de criminaliteit van de fysieke
naar de virtuele wereld. Dit komt doordat het simpelweg
veel makkelijker is om deze vorm van criminaliteit te bedrijven. De kosten zijn lager, de buit groter en de pakkans
kleiner. Bovendien zijn er steeds meer
data, neemt de informatie toe in waarde en hoeven criminelen de buit niet
persoonlijk te gaan halen. Ze pakken
het door netwerken en computersystemen af te tappen. Een fysieke inbraak is daardoor niet meer nodig.’
Er zijn volgens Starrenburg heel veel
manieren waarop deze digitale dieven te werk gaan. Hij
somt op: ‘Wifi-netwerken lijken goed beveiligd, maar
standaardwachtwoorden zijn in de praktijk makkelijk
te kraken. Ook webapplicaties zijn kwetsbaarder dan je
denkt; ze kunnen worden opengebroken door middel van
zogeheten sql-injecties. Vaak proberen dieven via deze
methode toegang te krijgen tot online voorraadlijsten.
Ook phishing komt veel voor, een vorm van internetfraude waarbij via ‘false links’ inloggegevens en wachtwoorden
worden achterhaald.’
Soms zijn cybercriminelen erg volgens Starrenburg. ‘Ze
laten bijvoorbeeld usb-sticks rondslingeren op de parkeerplaats van het bedrijf dat doelwit is. De criminelen
hopen dat een medewerker van het bedrijf ze meeneemt
en uit nieuwsgierigheid in een computer steekt. De malware die is geïnstalleerd op de stick besmet vervolgens
het bedrijfsnetwerk zodat de crimineel toegang krijgt tot
‘De kosten
zijn lager, de
buit groter’
GEEN SECTOR IS VEILIG
Geen enkele sector is veilig als het gaat om cyberrisico’s,
blijkt uit onderzoek van financieel dienstverlener Aon, dus
ook de financiële sector niet. Banken zijn een interessant
doelwit voor hackers die op zoek zijn naar datalekken.
Afgelopen zomer maakte de Europese Centrale Bank bekend dat hackers zichzelf toegang hadden verschaft tot een
database. Daarbij werden diverse persoonsgegevens, zoals
e-mailadressen, telefoonnummers en andere adresgegevens, buitgemaakt. Het ging om gegevens van mensen die
zich op de openbare ECB-website hadden opgegeven voor
evenementen. Later volgde er een mail waarin geld werd
geëist in ruil voor teruggave van de data. Hoewel de hackers
geen toegang hadden tot gevoelige gegevens over financiële markten, nam de ECB de gebeurtenis zeer serieus, zo
liet het instituut weten. De politie werd geïnformeerd over
het voorval en er werd een onderzoek gestart.
ÉÉN OP DE VIJF
Uit een studie die eind vorig jaar is uitgevoerd door consultancybureau KPMG blijkt dat een ruime meerderheid
van het Nederlandse middenbedrijf weliswaar bekend is
met het fenomeen cybercrime, maar dat slechts een kleine
zestig procent er een hoge prioriteit aan toekent. Ook blijkt
uit het onderzoek dat één op de vijf bedrijven in 2013 met
een aanval van internetcriminelen te maken heeft gehad.
Daarbij ging het vooral om phishing en in mindere mate om
besmetting van software en aanvallen op de bedrijfswebsites. Iets meer dan de helft van de ondervraagden gaf aan
dat de aanval was gericht op het verkrijgen van toegang tot
kapitaal. Volgens KPMG overheerst bij middelgrote ondernemingen de gedachte dat cybercrime geen grote bedreiging is. Zij onderschatten wat cybercrime kan aanrichten
MARK BUNINGH
en maken te weinig budget vrij voor preventie, aldus het
Adviseur Aon
consultancybureau.
de gegevens die zich daarop bevinden. En zo zijn er nog
veel meer manieren denkbaar waarop een kwaadwillende
zich toegang kan verschaffen tot gevoelige informatie.’
Marge
KEES
STARRENBURG
Adviseur Aon
Buningh vult aan: ‘Ook de cybercrimelen en hun motieven kennen vele varianten. Het kunnen lobbyisten zijn,
die reputatieschade willen aanrichten. Dan wroeten ze
in digitale bestanden en vinden uit dat je niet voldoende
sociale premies voor het personeel afdraagt bijvoorbeeld.
Het kan ook een ondernemer zijn, die wil weten hoe het
zit met de marge van de concurrent of op zoek is naar
concurrentiegevoelige informatie over bijvoorbeeld de
inkoop, of leveranciers. Het doel is voorkennis, waarmee
41
42
marktaandeel van de rivaal kan worden afgesnoept. Er
zijn ook beroepscriminelen die uit zijn op intellectueel
eigendom. Dan kan het opeens gebeuren dat het door jou
bedachte product eerder in China op de markt is dan hier
in Nederland.’ Starrenburg: ‘Sommige criminelen zijn uit
op volledige transportladingen. Een lading hoogwaardige
consumentenapparaten kan zomaar in verkeerde handen
vallen. De internetcriminelen zorgen ervoor dat de lading
zoekraakt of bij hen wordt afgeleverd. Ze doen dat door
in te breken op de computersystemen en bijvoorbeeld
het losadres te veranderen, of door zichzelf voor te doen
als de logistiek dienstverlener. Er zijn verschillende manieren denkbaar waarmee ze op onjuiste gronden macht
over de lading krijgen.’
Vuist tegen
ladingdiefstal
ervan. Deze benoeming bleek, samen met het in het leven roepen van een speciaal interventieteam, uiterst effectief, want het aantal meldingen van ladingdiefstallen
daalde zienderogen. Het bedrijfsleven was dan ook ‘not
amused’ toen het ministerie deze aanpak twee jaar later
weer losliet. Vervoerders en verladers vroegen zich af in
hoeverre politie en Justitie transportcriminaliteit nog op
hun netvlies hadden staan en welke plaats het onderwerp
zou krijgen in de nieuw te vormen Nationale Politie.
Inmiddels is duidelijk geworden dat het bedrijfsleven
opgelucht kan ademhalen. Een belofte van minister Ivo
Opstelten dat de aanpak van transportcriminaliteit een
speerpunt in beleid zou blijven, werd eind vorig jaar geformaliseerd. Dat gebeurde toen het Nationaal Platform
Criminaliteitsbeheersing (NPC) de aanpak officieel als
Complete voertuigen die verdwijnen, dieven die dekzeilen opensnijden op zoek naar waardevolle goederen, zoals elektronica en modeartikelen; het is aan de orde van
de dag. De schade als gevolg van ladingdiefstal ligt in
Nederland op ongeveer 350 miljoen euro per jaar.
Al jaren probeert de overheid, samen met het bedrijfsleven, een vuist te maken tegen deze vorm van transportcriminaliteit. In 2010 werd er een Officier van Justitie
aangesteld, die speciaal was belast met de bestrijding
‘I love you’
Volgens Buningh denken veel ondernemers ten onrechte
dat zij pogingen tot internetfraude of oplichting herkennen omdat zij menen bekend genoeg te zijn met automatisering en internet. ‘Je moet echt niet naïef zijn. Ook als je
dagelijks met deze materie bezig bent, kun je aan de beurt
zijn. De hedendaagse technieken zijn soms zo professioneel, dat ze niet van echt zijn te onderscheiden. De aanvallen zijn niet meer langer de bekende spamberichten of
overduidelijke virussen met namen als ‘I love you’. Om je
te weren tegen hedendaagse kwetsbaarheden, zoals ‘hartbleed’ of ‘shell-shock’, moet je je echt gedegen wapenen.’
Ondernemers die serieus werk willen maken
van het beteugelen van de risico’s, moeten
zich volgens Starrenburg realiseren dat het
een heel belangrijk onderdeel is van de bedrijfshuishouding. ‘Dit moet op de agenda
staan van het managementteam, de directie
of de raad van bestuur, want denken dat ‘de
mannen van de ICT’ het wel onder controle
hebben, is te gemakkelijk. Bedrijven moeten in kaart brengen met welke potentiële kwetsbaarheden zij te maken
hebben. Welke bedreigingen zijn er en welke financiële
consequenties kunnen die hebben? Is er intern sprake van
een effectieve controle en rapportage? En zijn wij eigenlijk goed verzekerd tegen vervelende voorvallen? Dat soort
vragen moeten ondernemers zichzelf stellen.’
‘Je moet
echt niet
naïef zijn’
Wedloop
Volgens Buningh is er een ware wedloop ontstaan tussen
computerdeskundigen en internetcriminelen. ‘Die strijd
zal ook nooit zijn uitgestreden. Daarom is het zaak voor
ondernemers om te blijven investeren in passende beheersmaatregelen en veiligheid, zodat je de wedloop volhoudt. De technologische producten op de markt worden namelijk steeds ingewikkelder en criminelen steeds
geraffineerder.’
Onlangs nog werden de kosten van cybercriminaliteit
voor de Nederlandse samenleving geschat op ruim acht
miljard euro per jaar. Driekwart van deze schade komt
voor rekening van het bedrijfsleven. Buningh wijst er echter op dat de schadepost niet volledig valt toe te wijzen
aan hackers. ‘In veel gevallen gaat het ook om nalatigheid
bij eigen medewerkers of diefstal van bedrijfsgeheimen
en digitale eigendommen van patenten, bouwtekeningen
zodanig bestempelde. Dit platform, waarin EVO is vertegenwoordigd via VNO-NCW, richt zich op de aanpak van
criminaliteit in het bedrijfsleven.
Dat het Opstelten menens is met de aanpak van deze
vorm van criminaliteit, bewees hij dit voorjaar nog eens
bij de lancering van de website www.preventieinzicht.nl,
een site waarop ondernemers praktische tips krijgen over
hoe zij zich kunnen wapenen tegen personen met kwade bedoelingen. ‘Deze vorm van criminaliteit maakt de
transportwereld en mij als minister boos. Je blijft gewoon
af van andermans spullen. Punt uit’, zei de bewindsman
bij die gelegenheid.
Het is geen overbodige luxe om het onderwerp hoog op
de agenda te houden, want het aantal aangiften van ladingdiefstal en pogingen daartoe, liep vorig jaar op tot
of klantbestanden. Dan vallen vertrouwelijke gegevens in
verkeerde handen doordat iemand zijn smartphone is vergeten op het vliegveld, of door een per ongeluk verstuurde
e-mail. Bewustwording van de risico’s is de sleutel naar
het voorkomen van problemen.’
STEVEN VAN AARTRIJK
HAAL GEEN DIEF IN HUIS
Bedrijven in de sector transport en logistiek worden geregeld
geconfronteerd met schade die een gevolg is van fraude en
criminaliteit: van diefstal van brandstof uit vrachtautotanks en
goederen uit magazijnen tot aan het doorgeven van vertrouwelijke informatie en het verdwijnen van complete ladingen
ergens onderweg. Naar schatting zo’n tachtig procent van
deze gevallen van fraude en criminaliteit wordt veroorzaakt
door eigen personeel, uitzendkrachten of medewerkers van
charters. Vooraf screenen van nieuw personeel helpt de kans
op diefstal of fraude vanuit de eigen organisatie te verkleinen.
Dit kan via het Waarschuwingsregister Logistieke Sector
(WLS), waarvan EVO een van de initiatiefnemers is. Meer
informatie: www.stichtingwls.nl.
VERZEKERING
Bedrijven die hun goederentransport willen verzekeren,
kunnen hiervoor bij EVO een goederentransportverzekering
afsluiten. Hiermee is de schade door verlies of beschadiging
van (handels)goederen tijdens het vervoer gedekt, zowel bij
transport door de ondernemer zelf, als wanneer hij het laat
uitvoeren door een vervoerder. Zendingen zijn verzekerd
ongeacht de transportmethode (vrachtauto, trein, vliegtuig
of schip) én ongeacht de toegepaste Incoterm. Ook is een
premiekorting mogelijk bij de afname van specifieke EVOcursussen. Meer informatie: www.evoverzekeringen.nl.
432, terwijl de teller een jaar eerder nog op 287 stond.
Het gemiddelde schadebedrag bij een ladingdiefstal is
honderdduizend euro. Daar komt de schade aan gestolen
materiaal nog bij, evenals bedrijfs- en vervolgschade voor
transportbedrijven.
Het grootste deel van de diefstallen wordt gepleegd door
zogeheten zeilsnijders: criminelen die het afdekzeil van
vrachtauto’s kapotsnijden waardoor ze de lading kunnen
zien en - als die waardevol is - roven. Zeilsnijders zijn
het actiefst op parkeerplaatsen langs snelwegen, vooral de
minder goed beveiligde. Daarnaast vinden veel diefstallen
plaats op het eigen terrein van ondernemers, waar geladen vrachtauto’s ’s nachts en in de weekends klaarstaan
voor vertrek in de vroege ochtend.
43