Digitale deuren staan soms wagenwijd open, 'situatie is alarmerend'
Een ontelbare hoeveelheid paspoorten en andere gevoelige documenten had de Belgische ICT-consultant Lieven Gekiere inmiddels met het grootste gemak bij elkaar kunnen sprokkelen. Maar Gekiere is geen extreem kundige hacker die werkelijk óveral binnen weet te dringen. "Ik ben een hobbyist, eigenlijk bouw ik webwinkels", zegt hij.
Door handig te zoeken via gespecialiseerde zoekmachines vindt hij regelmatig bedrijven die hun digitale beveiliging niet op orde hebben. Daarbij gaat het soms om mappen met bestanden die voor iedereen vrij toegankelijk waren. En onder die data kunnen gevoelige bestanden zitten, zoals paspoortscans.
"Het is echt heel makkelijk om dat te voorkomen", zegt Gekiere. Vaak gaat het om een vinkje dat bedrijven zijn vergeten te zetten."
Als hackers binnenkomen, komt dat bijna altijd doordat er fouten zijn gemaakt.
Er is veel van zulk laaghangend fruit, bleek eerder vandaag. Bedrijven en organisaties slagen er vaak niet eens in om basismaatregelen te nemen om niet gehackt te worden, concludeerde de Cyber Security Raad. Dat is een adviesorgaan van het kabinet.
"Als hackers ergens binnenkomen, lukt dat bijna altijd doordat er fouten zijn gemaakt", zegt beveiligingsonderzoeker Rickey Gevers, die gehackte bedrijven bijstaat. "Eén grote fout, of een opeenstapeling van fouten."
Basale fouten
Bij de datalekken die Gekiere vindt, gaat het soms om heel basale fouten. Zo vond hij bij Nederlandse bedrijven complete mappen met paspoorten en opdrachtbevestigingen. De bedrijven in kwestie hadden de map niet dichtgezet. Die fout komt regelmatig voor, zegt Gekiere. "Alleen al de afgelopen maand heb ik er zo'n tien gevonden."
Vorige week nog vond Gekiere 170 paspoorten die voor iedereen openbaar waren. Het ging om klanten van Zonnepanelen Delen, dat mensen laat investeren in zonne-energie. Investeerders moeten zich legitimeren om witwassen te voorkomen.
"Dit was inderdaad een vergeten vinkje", zegt Sven Pluut van het bedrijf. "Dat hadden we kunnen voorkomen door bijvoorbeeld een beveiligingsscan te laten doen." Het bedrijf was wel van plan om nog zo'n check te laten doen, maar was daar naar eigen zeggen nog niet aan toegekomen. "Als bedrijf met achttien man in dienst is ons budget daarvoor ook niet oneindig."
Waar het volgens de Cyber Security Raad vaak fout gaat, is dat bedrijven denken dat niemand het bewust op hen heeft gemunt. Ze gaan er ten onrechte van uit dat er maar een kleine kans is dat ze slachtoffer worden; een fundamentele denkfout. "Je bent misschien niet bewust een doelwit, maar op internet spelen afstand en tijd geen rol", zegt Pim Takkenberg van beveiligingsbedrijf Northwave.
Criminelen struinen het hele internet af op zoek naar slachtoffers. "Als je je beveiliging dus niet op orde hebt, kun je het slachtoffer worden, ondanks dat niemand het bewust op jou heeft gemunt."
En dus werken ze hun software niet bij, waardoor ze vatbaar zijn voor hackers, of vergeten ze een map met gevoelige bestanden dicht te zetten. Dat kan leiden tot datalekken. Vorig jaar nam het aantal 'megadatalekken', waarbij de gegevens van meer dan 100.000 personen op straat kwamen te liggen, toe: In 2019 waren dat er nog 68, vorig jaar al 76.
'Zaak om niet achter te blijven'
Als het gaat over digitale beveiliging loopt Nederland flink achter op omringende landen, vindt Bart Jacobs. Hij is hoogleraar en lid van de Cyber Security Raad. "De situatie in Nederland is alarmerend en de coronapandemie heeft het onderwerp alleen maar acuter gemaakt. In andere landen wordt meer geïnvesteerd."
Het is zaak om niet achter te blijven, benadrukt hij. "Criminelen zoeken altijd de zwakste schakel. Je hoeft niet harder te kunnen rennen dan een beer, maar je moet wel harder kunnen rennen dan je vrienden."