Een hack zit in een klein hoekje

Sijmen Ruwhof

(Kennisartikel Nationale-Nederlanden VVP-special Cyber) Een bakker met gehackte kassa. Een bouwbedrijf waarbij digitale tekeningen zijn gestolen. Of een notaris van wie het klantenbestand op straat ligt. Cybercriminaliteit komt steeds vaker voor. Hackers kunnen in korte tijd veel schade aanrichten. Toch onderschatten veel ondernemers de risico’s. Ethisch hacker Sijmen Ruwhof vertelt hoe hij een bedrijf in zes stappen kan ontregelen.

Sijmen Ruwhof (34) hackt binnen de kaders van de wet en heeft als doel cybercriminaliteit tegen te gaan. In opdracht van bedrijven en overheidsinstanties spoort hij fouten en veiligheidslekken in hun systemen en netwerken op. Zo helpt hij ze hun digitale beveiliging te verbeteren.

Dit zijn Sijmens zes stappen voor een bedrijfshack:

Stap 1: het bedrijf verkennen

“Ik begin met verkennen via de website: aantal medewerkers, adres, KvK-nummer, vacatures, dat soort data. Via LinkedIn zoek ik werknemersgegevens op zoals emailadressen, geboortedata en telefoonnummers. Zo breng ik het aanvalsoppervlak in kaart. En deze informatie kan me later helpen bij het kraken van wachtwoorden van gebruikersaccounts. Als ervaren hacker heb ik talloze trucjes om een computer binnen te komen. Bijvoorbeeld via de digitale beveiliging van de internetservers of het contentmanagementsysteem. Ik zoek naar beveiligingslekken en kom er al snel achter hoe goed een bedrijf beveiligd is.”

Stap 2: het netwerk binnendringen

“Als ik persoonsgegevens van een aantal werknemers heb, kan ik hen een phishing mail of sms sturen: een vals bericht dat van een betrouwbare afzender lijkt te komen. Ik schrijf een persoonlijk bericht over een actueel onderwerp, zoals corona, en zorg ervoor dat de mail afkomstig lijkt van MijnOverheid. Vervolgens voeg ik een pdf-bestand met de nieuwe coronarichtlijnen toe als bijlage. Ik zorg dat de timing klopt, bijvoorbeeld net na een persconferentie. Met een stukje code plak ik een zogeheten ‘exploit’ in het pdf-bestand, een klein computerprogramma dat misbruik maakt van niet bijgewerkte pdf-lezers. Wanneer een werknemer het bestand opent, komt de computer onder mijn controle te staan en ben ik binnen!”

Stap 3: het netwerk dieper binnendringen

“Ik heb nu toegang tot de computer van een werknemer: ik kan alle bestanden inzien en de webcam en microfoon gebruiken. Vanuit deze computer kan ik meer systemen van het bedrijf bereiken. Ik breng het hele netwerk in kaart, zoek de zwakke plekken op en krijg zo controle over steeds meer belangrijke systemen en (beheer)accounts van werknemers. Hacken is een kat- en muisspel. Soms moet ik een week wachten voor ik verder kan, omdat ergens een antivirusscanner afgaat. Onzichtbaar een bedrijf met duizenden werknemers hacken en overnemen kost ongeveer twee à drie maanden.”

Stap 4: toegang tot de bestanden

“Door systematisch simpele en veelgebruikte wachtwoorden uit te proberen op accounts, krijg ik na verloop van tijd steeds meer rechten. Via de overgenomen accounts krijg ik toegang tot vertrouwelijke informatie van het bedrijf. Veel werknemers hebben maar een paar wachtwoorden die ze voor al hun systemen gebruiken. Daar maak ik als hacker natuurlijk misbruik van.”

Ethisch hacker Sijmen Ruwhof: ‘Zorg dat iedereen in je bedrijf zich bewust is van nut en noodzaak van cybersecurity.’

Stap 5: bestanden extern opslaan en/of blokkeren

“De buitgemaakte informatie moet ik ‘veiligstellen’ door deze te uploaden naar mijn eigen server op het internet. Als ik een criminele hacker was, zou ik het hele bedrijfsnetwerk kunnen versleutelen met gijzelsoftware. Zo blokkeer ik de toegang voor alle werknemers en zet ik het bedrijf op slot. Vervolgens laat ik een bericht achter. Als ze de bestanden en het interne netwerk terug willen, moeten ze bijvoorbeeld eerst een groot bedrag aan bitcoins overmaken.”

Stap 6: ongezien wegkomen

“Mijn missie zit er bijna op. Maar eerst moet ik nog mijn sporen uitwissen. Ik verwijder logboeken, bestanden en uitgevoerde opdrachten om te voorkomen dat een IT’er ze later ontdekt. Voor de zekerheid zou een criminele hacker een ‘back door’ installeren: een verdekt stukje software waarmee je op een later moment weer kan binnenkomen in het systeem.

De drie beste beveiligingstips voor bedrijven van sijmen:

Stel tweetrapsverificatie in: naast je wachtwoord een steeds wijzigende code die je ontvangt via een sms of app; Installeer een wachtwoordmanager, zodat werknemers per website een uniek en sterk wachtwoord kunnen instellen; Het belangrijkste: zorg dat iedereen in het bedrijf zich bewust is van de nut en noodzaak van cybersecurity. En hun eigen verantwoordelijkheid hierin.

Cybercriminaliteit verzekeren

De Cyberverzekering van Nationale-Nederlanden beschermt bedrijven tegen de gevolgen van hacking, systeeminbraak, verloren data, gegevensdiefstal en andere vormen van cybercriminaliteit. Deze verzekering is uit te breiden met een Cyberscan om de risico’s in kaart te brengen en een abonnement met 24/7 hulp van professionals bij cyberincidenten.

Kijk voor meer informatie op nn.nl/cyberpreventie.

Reactie toevoegen

Meer over

Henk Scheenstra treedt terug als CEO van Heinenoord Holding

Henk Scheenstra treedt per 17 oktober terug als CEO van Heinenoord Holding. Arie van den Berg neemt de functie waar totdat de procedure voor de benoeming van een...

Jähnig + Ter Braak wint VVP Advies Award 2022

Jähnig + Ter Braak is de winnaar van de Advies Award 2022, de jaarlijkse prijs van VVP voor het meest klantgerichte advieskantoor. “Wij bouwen met onze...

Bepaal vanmiddag wie de VVP Advies Award 2022 wint!

Woon vanmiddag de spectaculaire, korte live-uitzending van de finale van de VVP Advies Award 2022 bij en bepaal wie zich het meest klantgerichte advieskantoor...

“We gaan adviseurs nog beter helpen bij klantbediening”

(Partner in Kennis Nationale-Nederlanden in VVP Special Actief Klantbeheer, oktober 2022) Nationale-Nederlanden heeft de ambitie de best gewaardeerde intermediaire...

En de categoriewinnaars van de VVP Advies Award 2022 zijn...

Geerts (Particulier), L&B Groep (Zakelijk), Jänig + Ter Braak (Hypotheken), Pensioen-Coaching (Pensioen), Finenzo Deventer (Digitale Innovatie), Expat...

Pensioen-Coaching winnaar VVP Advies Award categorie Pensioen

Pensioen-Coaching is de winnaar geworden van de Advies Award in de categorie Pensioen. Johan van Gisteren neemt, samen met Jeanette de Jong en Paul Vriends, de...

Juffrouw Polis wint Starterspijs VVP Advies Award 2022

Juffrouw Polis heeft de startersprijs gewonnen van de VVP Advies Award 2022. Ilse Bosland neemt de award in ontvangst uit handen van jurylid Bob Klijn (Söderberg...

Finenzo Deventer winnaar Advies Award categorie Digitale Innovatie

Finenzo Deventer is de winnaar geworden van de Advies Award in de categorie Digitale Innovatie. Jan Willem Smit neemt de award in ontvangst uit handen van jurylid...

Akkoord over nieuwe cao Nationale-Nederlanden

Vakorganisaties CNV Vakmensen, De Unie en FNV Finance zijn een nieuwe cao overeengekomen met Nationale-Nederlanden. De nieuwe cao geldt voor 7.750...

Bokhorst: nominatie VVP Advies Award is erkenning voor manier van werken

"Fantastisch om op deze manier als kantoor waardering te krijgen voor onze manier van werken", zegt Marnix Bokhorst van Bokhorst Verzekeringen, genomineerd in...

Events

VVP Vakevent Inkomen 2024

2 juli 2024 - 2 juli 2024

Lees meer

Finale VVP Advies Award 2024

1 oktober 2024 - 1 oktober 2024

Lees meer

Quote van de dag

Duurzaamheid willen we echt onderdeel van de bedrijfscultuur maken. Het moet geen bijkomend onderwerp zijn.

Sanne Geerts (Geerts) in VVP 2-2024

Stelling

Wet toekomst pensioenen niet meer ter discussie stellen

Laatste reacties

Recente editie

VVP 2-2024 introduceert nieuwe gezichten in die o zo leuke rubriek ‘Uit de adviespraktijk’: Christian Dijkhof (Dijkhof & Partners, HypotheekCompany, OvFD), Thomas van Uunen (Thomas verzekert) en Dorthe Verheijden (Bij Verheijden). “Er is zoveel wat beter kan”, aldus Dorthe.

Adfiz-directeur Enno Wiertsema neemt het op tegen ChatGPT. “Zou u boarden in een vliegtuig dat uitsluitend door AI-technologie wordt bestuurd?”

Het vrouwenquotum mag ambitieuzer en zeker breder, zegt Pascale van Heugten (La Confiante) in de rubriek ‘Vrouw & Advies’. Sanne Geerts vertelt hoe Geerts verduurzaamt.

In de praktijkrubriek Ken je vak! onder meer AI in de adviespraktijk, aan de slag met zorgplicht, een eerste bespreking van het OCTAS-rapport en aandacht voor de problematiek van de duurzame drager.

In het katern Pensioen & Vermogen verslagen van de kennissessies op het gelijknamige VVP-event van 19 maart. Uiteraard ook aandacht voor de algemene inleidingen door Theo Gommer ( “Verplichtstelling afschaffen en pensioenplicht invoeren”) en Hubrien Meijaard (‘Kies voor écht duurzaam beleggen”).

Bekijk de inhoud

Special Duurzaam Advies

Duurzaamheid is een onderdeel van modern ondernemerschap. Iedere adviseur zal actie moeten ondernemen. Aldus Kees Dullemond (INSVER) in de special Duurzaam Advies 2024, een nauwe samenwerking van VVP en het instituut voor verduurzaming van de financiële sector. De special barst van de tips, praktijkinfo en handige checklists om verduurzaming in het eigen bedrijf vorm te geven én om de klant aan het verduurzamen te krijgen.

Adviseurs Mieke Dadema, Thomas Paardekooper, Alexander Vugts, André Vugts en Paul Burger vertellen hoe zij duurzaam advies in de praktijk brengen. “Duurzaamheid draait om duurzame relaties”, aldus Dadema.

Verder bijdragen van onder meer Adfiz (‘Advies kan duurzaam gedrag verbeteren”), Fred de Jong (“Duurzaam advies aan mkb is integraal”) en het Verbond van Verzekeraars (“Deze transitie gaat alle klanten raken”).

In een rondetafel stellen kennispartners AnsvarIdéa/Turien &Co.,Evi Van Lanschot, INSVER, MainPlus, Obvion: “De wereld verandert, dat is een gegeven, maar wij kunnen nu samen al de richting bepalen.”

Bekijk de inhoud

Nieuwsbrief

Wil je op de hoogte blijven van het laatste nieuws? Meld je dan hier aan voor de nieuwsbrief!