Column

De grootste ‘bug’ zit achter het bureau

Alert Online, de voorlichtingscampagne die deze week van start gaat, is de jaarlijkse herinnering om goed op te letten waarop je klikt of tikt. Voor je het weet heb je een cybercrimineel in je computer of je smartphone, die je afperst, wegpest of met je identiteit aan de haal gaat.

Achter Alert Online zit Dick Schoof, de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV). Na vier jaar campagnevoeren blijven Nederlanders ‘naïef en nonchalant’ over hun online veiligheid, zegt de NCTV. Terwijl de risico’s toenemen: phishingmails worden persoonlijker en geloofwaardiger, ransomware slimmer en we zijn nóg afhankelijker van computer en telefoon.

Nadruk op techniek

Kinderen „zetten de deur open voor cybercriminelen” omdat ze slordig zijn met wachtwoorden en vaak onbeveiligde wifi-netwerken gebruiken. Verjaardagstip: geef je zoon of dochter extra gigabytes voor hun mobiele databundel, zodat ze geen wifi van vreemden hoeven aan te nemen.

Volwassenen zijn nog een tandje erger, zeker op hun werk. Volgens de NCTV maakt 45 procent van de medewerkers in de vitale infrastructuur – denk aan banken, Schiphol, drinkwatervoorzieningen of elektriciteitsnetwerken – zich amper zorgen over hun digitale veiligheid. Dit zijn de mensen die het land draaiende moeten houden.

De helft van de werkende Nederlanders krijgt geen informatie van hun bazen over hoe ze veiliger kunnen werken. Organisaties die beter zouden moeten weten maken dezelfde fouten: consultancygigant Deloitte (dat zelf veiligheidsexperts verhuurt) liet hackers een jaar lang in zijn systemen wroeten. Equifax, een Amerikaanse kredietboordelaar, verloor uiterst gevoelige gegevens van 143 miljoen Amerikanen en stapelde fout op fout.

Vaak ligt bij cybersecurity de nadruk op techniek: updates, patches, backups en meer Engelse woorden. De grootste bug zit echter niet in de code, maar achter het bureau.

Niet de computer, maar de mens wordt gehackt

Dansen op het bureau

Dat is de ervaring van Lior Yotam. Deze Israëlische expert laat zich inhuren om bedrijven te hacken. Niet via internet, maar door binnen te wandelen. Tijdens de Cybersecurityweek in Den Haag legde Yotam uit hoe makkelijk hij binnenkomt met een stapeltje besmette usb-sticks onder de arm.

Hij springt over een veiligheidspoortje; mensen letten niet op hem omdat hij een gesprekje fingeert met een voorbijganger of een koffiemok met bedrijfslogo bij zich heeft. Een simpele manier om vertrouwen te kweken.

Hij scharrelt tussen de bureaus, op zoek naar post-its met een wachtwoord en prikt een wifirouter waar overduidelijk mee is geknutseld in het netwerk. Geen haan die er naar kraait. Zodra hij toegang verkrijgt tot het netwerk – tot nu toe lukte dat iedere keer – springt hij op een bureau om de medewerkers al dansend te waarschuwen. Soms duurt het een paar minuten voordat de mensen hem opmerken. De meeste personeelsleden – zeker op flexplekken – interesseren zich niet voor elkaar, laat staan voor veiligheid op de werkvloer.

Lior Yotam (hij is bewust niet op Facebook of LinkedIn te vinden) is een keurige verschijning. Geen protoype hacker, zo’n hoodie gebogen over zijn laptop. Dat beeld van cybercrime – liefst geïllustreerd met rijen nullen en enen à la The Matrix – is achterhaald. Niet de computer, maar de mens wordt gehackt. Dáárop moeten we alert zijn.