Steeds meer cyberaanvallen gecombineerd met aanvallen op mensen

Digitale aanvallen op grote bedrijven zijn steeds lastiger uit te voeren, omdat hun technische beveiliging op orde is. Daarom komen steeds vaker gecombineerde aanvallen voor. Zwakheden van mensen worden misbruikt om de technische beveiliging te omzeilen. En dat heeft succes. Nederlanders zijn zich niet bewust van de gevaren en bieden nauwelijks weerstand.

Maar al te graag nemen medewerkers usb-sticks aan die voor de ingang van hun gebouw worden uitgedeeld. Niet wetend dat onverlaten direct toegang hebben tot het bedrijfsnetwerk zodra de usb-stick wordt gebruikt. Ook klikt een substantieel deel door op linkjes in phishing-mails, waardoor zij schadelijke software installeren op hun computer en derden van buiten toegang geven op het bedrijfsnetwerk. Receptionistes zijn altijd vriendelijk en behulpzaam, waardoor het eenvoudig is een gebouw binnen te komen. Een usb-stick of schadelijke software is zo geplaatst, met alle gevolgen van dien. Dit blijkt uit onderzoek en praktijkervaring van Henri Hambartsumyan, legaal hacker.

Digitale risico’s onderschat

Tijdens de masterclass van de Cyber Security Raad op de Haagse Hogeschool betoogt hij dat het relatief makkelijk is om mensen te manipuleren om zo langs de technische beveiliging te komen. “Ben je fysiek binnen, dan ben je de firewall voorbij en kun je aan de slag.” Samen met Rob Bertholee, hoofd AIVD en lid van de Cyber Security Raad, pleit hij er voor fysieke en digitale veiligheid te koppelen. “Die noodzaak is er.” Maar er is nog een lange weg te gaan voor het zover is. Het bewustzijn en de weerstand in Nederland als het gaat om digitale risico’s is volgens Bertholee namelijk laag. “Iedereen is zo gewend aan computers, apps en digitale toepassingen, dat het heel gewoon is om ze te gebruiken. Daardoor staat niemand meer stil bij de risico’s.” En die risico’s zijn er, blijkt uit onderzoek van de AIVD. Bedrijven en overheden krijgen veel cyberaanvallen te verduren, NGO’s en wetenschap in verhouding minder. De meeste pijlen zijn echter gericht op de doorvoer van interessante data, zoals het geval is bij havens, vliegvelden, computerservers en internationaal internetverkeer dat via ons land loopt.

Leiders schieten tekort

Als lid van de Cyber Security Raad stelt Bertholee dat overheden, bedrijfsleven en wetenschap op alle niveaus hun verantwoordelijkheid moeten nemen. Zij moeten de bewustwording omtrent digitale risico’s in hun eigen organisatie en in de maatschappij flink verhogen, liefst op korte termijn. Tineke Netelenbos, voorzitter ECP en lid Cyber Security Raad, legt tijdens het debat met studenten de vinger op de zere plek: de huidige generatie leiders in politiek en bedrijfsleven hebben nauwelijks een idee van wat er aan de hand is en wat ze er tegen kunnen doen. “Zo is er wel extra geld beschikbaar voor muziek in het onderwijs, maar niet voor het opleiden van onze kinderen voor de digitale samenleving.” Een van de studenten vindt dit onbegrijpelijk en zegt: “Ouderen denken altijd dat ze meer levenswijsheid hebben. Op dit vlak moeten ze het lef hebben om naar jongeren te luisteren. Hier weten wij toch echt veel meer van af!”