'Cybercriminelen zijn écht geen koekenbakkers'

Wat staat er in de nieuwe cyberstrategie van het kabinet? Hoe gaan cybercriminelen te werk? En worden ze eigenlijk wel gestraft voor hun digitale daden? 

Deze en meer vragen bespreekt presentator Remy Gieling met drie kopstukken uit de wereld van online veiligheid; Gina Doekhie (cybercrimespecialist bij Politie Nederland), Christiaan Ottow (voormalig ethisch hacker en CTO Northwave) en Astrid Oosenbrug (public affairs officer ESET Nederland, en 'moeder aller hackers').

Aflevering gemist? Kijk het hier terug

Plan de campagne

Afgelopen week presenteerde het kabinet de nationale cybersecuritystrategie 2022-2028. Een plan vol concrete acties hoe Nederland digitaal veiliger te maken. Minister van Justitie en Veiligheid Dilan Yesilgöz-Zegerius: "De digitale dreiging neemt fors toe, waarbij criminelen en vijandige staten onze belangen bedreigen. Daarom is nu actie nodig om onze digitale weerbaarheid te verhogen, het stelsel te versterken en de dreiging aan te pakken. Digitale systemen vormen namelijk het 'zenuwstelsel' van onze maatschappij. We moeten dan ook voorbereid zijn als er toch iets misgaat."

Of het tijd werd dat deze overkoepelende strategie er kwam? Ottow: "Ja, absoluut! Hoewel er al vaker verschillende initiatieven vanuit de overheid zijn geweest, waren de acties vaak erg versnipperd. De huidige cybersecuritystrategie is vooral een mooi statement vanuit de overheid om eigenaarschap te nemen over het probleem, en welke kant we op gaan. Dat er nu richting wordt gegeven waar we met z'n allen naartoe willen, vind ik heel goed."

Oosenbrug: "Er is goed over de strategie nagedacht. Zo zie je dat er met het bedrijfsleven en stakeholders is gesproken. Neemt niet weg dat er hobbels op de weg zijn, zoals hoe het bedrijfsleven aangehaakt blijft. Hoe gaan ze zorgen dat iedereen zich verantwoordelijk voelt? Een uitdaging waar ze de komende zes jaar mee aan de slag kunnen."

Bittere pil

Vaak denken we dat cybercriminelen ongestraft te werk kunnen gaan, maar is dat wel zo? Doekhie: "Nee, duidelijk van niet. We hebben veel succesvolle arrestaties gedaan, waarbij er ook zeker celstraffen worden gegeven. 'Mij pakken ze niet' of 'mij kunnen ze toch niet identificeren' is iets wat cybercriminelen vaak denken, maar dat kunnen we dus wél!" Doekhie stelt dat ze blij is dat digitale misdaden niet ongestraft blijven, maar dat ze het als politie niet alleen kunnen. "Om cybercriminaliteit de kop in te drukken, is het noodzakelijk om aangifte te doen als je het slachtoffer bent van cyber crime. Doordat de maatschappij aangifte doet, kunnen wij gedegen onderzoek uitvoeren. Zodra we een bundel aan aangiftes hebben, waarbij er meerdere indicaties zijn dat er een bepaalde cybercrimineel actief is, kunnen we aan de slag."

Emotionele impact van hacks

Stel, een club cybercriminelen weet bij jouw bedrijf binnen te dringen. Ongetwijfeld dat dat erg schrikken is. Momenteel doet Ottow met zijn team onderzoek naar de emotionele impact van een hack. "Er is een deel zichtbare impact, zoals het platliggen van het bedrijf. Maar daar blijft het niet bij. Het blijkt namelijk dat de mentale impact van zo'n crisis misschien nog wel veel groter is. Een half jaar na een incident blijkt 1 op de 7 medewerkers nog professionele hulp nodig te hebben." Oosenbrug vult aan: "Slachtofferhulp Nederland heeft een pagina voor mensen die met cybercriminaliteit te maken hebben gehad. Gehackt worden is iets wat inmiddels gelukkig echt serieus wordt genomen."

Werkdag van een cybercrimineel

Wekelijks maakt techredacteur Harm Teunis je in begrijpelijke taal wegwijs in de wereld van cybersecurity. Deze week wil hij een groot misverstand uit de wereld helpen, namelijk dat cybercriminelen écht geen koekenbakkers zijn. 

Cybercriminelen zijn vaak experts die onderdeel uitmaken van goed georganiseerde en sterk geprofessionaliseerde bendes. Even wat anders dus dan het beeld van de nerd met capuchon. Om je een idee te geven: "Conti is een bekende Russische hackersgroep in ransomware die vorig jaar goed was voor maar liefst 180 miljoen dollar omzet. Hun totale vermogen wordt zelfs geschat op meer dan 2,7 miljard dollar. Ironisch genoeg waren ze dit jaar zelf slachtoffer van een lek, waardoor we een goed beeld hebben gekregen van hoe zo'n club te werk gaat. Wat blijkt? Het is een complete organisatie met 62 medewerkers. Ze hebben zelfs een heuse HR-afdeling."

Bij een hack komt een keten aan experts kijken. "Vaak begint het bij de criminelen die weten hoe ze bij bedrijven binnenkomen. Denk bijvoorbeeld aan het kraken van een zwak wachtwoord, het ontbreken van een tweestapsverificatie of het niet up-to-date zijn van het systeem." Teunis beschrijft stap voor stap hoe het proces eruit ziet. Dat het om zulke goed georganiseerde organisaties gaat, verbaast Oosenbrug niets: "Ook al zou je met hagel schieten, er zijn altijd wel mensen die op een linkje van een phishing-aanval klikken. Logisch dus dat het op een gegeven moment een groot ecosysteem en een verdienmodel wordt."