Finance-afdeling, pas op voor email compromise-fraude

“Voorkomen is beter dan genezen”, zegt cybercrime-specialist Gina Doekhie. Ze pleit ervoor dat bedrijven en organisaties digitale veiligheid serieus nemen, want: “Iedereen loopt gevaar.” Doekhie spreekt op CFO Day – dat dit jaar in het teken staat van Brave New World – over cyberveiligheid.

“Laatst zat ik in de auto en luisterde naar het nieuws. Alle berichten hadden iets met techniek en computers te maken”, zegt Doekhie. Ze heeft gewerkt bij Fox-IT als digitaal forensisch onderzoeker, developer en trainer en is nu werkzaam bij Politie Nederland. Het is haar missie om de online wereld veiliger te maken. Dat er veel aandacht is voor digitale veiligheid vindt ze dan ook een goede zaak. Het zorgt voor bewustwording en dat is belangrijk in een tijd waarin bedrijven en burgers steeds meer blootgesteld worden aan cybercriminaliteit.

De cyberaanval bij De Mandemakers Groep, een grote internationale hack waarvan zeker duizend bedrijven het slachtoffer werden en een hack van de Russische groep REvil die een groot deel van de Amerikaanse vleesverwerkingsindustrie stillegde, zijn recente voorbeelden van activiteiten van cybercriminelen. Ze laten volgens Doekhie zien dat hacks met ransomware, gijzelsoftware die criminelen via phishinglinks op de systemen van organisaties en bedrijven zetten om data buit te maken, nog steeds een grote bedreiging vormen. “Nieuw is nu dat criminelen dreigen met het openbaar maken van de buitgemaakte data”, legt de digitaal forensisch onderzoeker uit.

Betalen houdt businessmodel ransomware in stand
Die dreiging zorgt dat bedrijven uiteindelijk toch betalen om hun data weer in handen te krijgen. Doekhie kan daar maar met moeite begrip voor opbrengen. Door te betalen blijft het businessmodel van de criminelen in stand. Voorlopig is het zo dat de knip wordt getrokken omdat het ‘losgeld’ vaak minder is dan de kosten die de slachtoffers hebben om een heel nieuw systeem werkend te krijgen, maar het bedrag dat de criminelen eisen wordt wel steeds hoger. “Bedrijven willen natuurlijk hun belangrijke en vaak vertrouwelijke data terug. Geld is dan niet zo heel belangrijk. Maar voor de samenleving is het beter om niet te betalen”, zegt Doekhie. Daarnaast vindt ze dat bedrijven en organisaties hun zaakjes gewoon goed op orde moeten hebben zodat ze bij een aanval snel en zonder problemen een recoveryproces in gang kunnen zetten.

Overigens is gijzelsoftware slechts een van de dreigingen waar bedrijven mee te maken krijgen. Een ander fenomeen waar Doekhie voor waarschuwt is de zogeheten Business Email Compromise-fraude. Daarbij wordt de identiteit van een topman binnen een bedrijf als het ware gekaapt. De financiële afdeling krijgt dan een mailtje van de CEO of CFO van het bedrijf met de opdracht een factuur te betalen. Vaak wordt dit zonder controle gedaan. waardoor criminelen op een vrij eenvoudige manier flinke bedragen kunnen incasseren. Deze manier van digitale fraude blijft onderbelicht. “Bedrijven maken er niet veel ophef over. Ze zijn bang voor reputatieschade. Bovendien kunnen ze gewoon doorwerken”, legt Doekhie uit.

IT-testen net zo belangrijk als brandoefeningen
Volgens Doekhie kunnen bedrijven zich redelijk goed tegen cybercriminaliteit wapenen, maar dat vergt veel inspanningen en moet breed gedragen worden binnen de organisatie. “De tijd dat cyber security er even bij werd gedaan ligt voorgoed achter ons.” Ze pleit er dan ook voor dat digitale veiligheid benaderd wordt als risk management. “Stel een dedicated team samen en maak er budget voor vrij.” In zo’n team zouden eigenlijk alle afdelingen van een bedrijf vertegenwoordigd moeten zijn. HR bijvoorbeeld omdat de houding van individuele werknemers belangrijk is. “Ransomware krijgt vrij spel als een werknemer een foute link aanklikt of zo maar gegevens van het bedrijf deelt. Bewustwording van die gevaren moet worden vergroot. Dat kan door training en het promoten van gedragsverandering”, legt Doekhie uit. “En door het breed implementeren van tweetrapsauthenticatie voor het inloggen bij een bedrijfssysteem of het uitvoeren van belangrijke taken.”

Ook zouden organisaties hun bedrijfscultuur tegen het licht moeten houden om te zien of daar zaken beter kunnen worden geregeld die cybercriminaliteit in de hand werken. Dat is niet alleen belangrijk omdat er meer vanuit huis wordt gewerkt, maar ook om andere manieren van fraude tegen te gaan. Doekhie ziet ook een rol voor een juridisch adviseur in het team. “Er wordt steeds meer in de cloud gewerkt, zeker nu mensen meer thuiswerken. Daar moet je met je provider goede afspraken over maken.” Volgens de specialist zijn clouddiensten over het algemeen veilig, maar het is wel belangrijk om dat goed te borgen. Daarnaast moeten er allerlei afspraken gemaakt worden, bijvoorbeeld over het testen van systemen.

Ook organisaties zelf dienen hun systeem te testen. Doekhie vindt zulke tests net zo belangrijk als de halfjaarlijkse brandoefeningen bij bedrijven. Ze raadt organisaties verder aan een IT-systeem op te tuigen waarbij serieus gekeken wordt naar een goed functionerend back-upsysteem. “Ook daarmee moet geoefend worden. Je kunt je back-up goed geregeld hebben, maar als je niet weet hoe je die in geval van nood moet terugzetten in je systeem, schiet je er niks mee op.” Daarnaast wijst de cybercrime-specialist op het feit dat voorzichtigheid geboden is met het terugzetten van back-ups. “Voor je een recoveryproces start moet het hele systeem schoon zijn. De gijzelsoftware moet echt verwijderd zijn, anders laat je de deur openstaan voor criminelen. Die kunnen eventueel na verloop van tijd een nieuwe aanval uitvoeren.”

Phishingkits met helpdesk
Doekhie loopt bijna een decennium in diverse rollen mee in de online beveiliging. Ze heeft veel zien veranderen. Bijvoorbeeld de opkomst van het Dark Web. In dat gedeelte van het internet, dat overigens met een paar muisklikken te benaderen is, kan alles. Er worden buitgemaakte inloggegevens van miljarden mensen verhandeld en het is mogelijk om complete phishingkits aan te schaffen. “Daarbij krijg je ook nog ondersteuning via een helpdesk.”

Omdat spullen zo makkelijk van het Dark Web te halen zijn, is er volgens de online security-specialist een verschuiving in criminaliteit zichtbaar. “Mensen die anders terechtkomen in andere vormen van criminaliteit kiezen nu voor cybercrime omdat het ze te makkelijk wordt gemaakt.” Het is daarom ook dat Doekhie waarschuwt dat cybercriminaliteit niet zal verdwijnen. “Ze vinden steeds nieuwe manieren uit”, zegt ze dan ook. “We kunnen niet achteroverleunen en moeten alert blijven. Veel bedrijven weten niet eens dat ze al zijn gehackt. Tref daarom niet alleen maatregelen die slechts zijn gericht op preventie van aanvallen, maar ook op detectie en response. We moeten met z’n allen bewust zijn van de gevaren die we lopen.”