Samen Digitaal Veilig is een initiatief van MKB-Nederland en VNO-NCW

Veilig samenwerken
in de keten

‘Beursgenoteerde bedrijven proberen hacks vaak stil te houden. Maar ik wil dat het taboe doorbroken wordt’

Peter Lahousse is een Nederlandse cybercrime-expert, ethisch hacker en oprichter van Cybercrimeinfo.nl, een onafhankelijk platform dat sinds 2017 actuele informatie en praktische tools biedt om individuen en organisaties te beschermen tegen digitale dreigingen.

Dagelijks publiceert Lahousse op Cybercrimeinfo.nl updates over cyberdreigingen, waaronder recente cyberaanvallen, kwetsbaarheden en trends in digitale veiligheid. Daarnaast biedt hij analyses, rapporten en praktische adviezen om cybercriminaliteit te voorkomen. Cybersecurityredacteur Jan Meijroos voelt Peter aan de tand…

Peter, waarom heb jij Cybercrimeinfo.nl opgericht en hoe kijk je naar overheidsinstanties zoals DTC en NCTV?
Peter: ‘Ik vind dat er te weinig transparantie is. Vaak blijven rapporten en informatie ‘top secret’, terwijl het bedrijven enorm kan helpen als die kennis gedeeld wordt. Zo had ik recent een discussie met experts over een rapport met een groene status (veilig voor openbaarmaking). Toch wilden zij niet dat het gedeeld werd. Mijn visie is: als iets toch al openbaar is of eenvoudig te achterhalen, waarom zouden we dat niet delen? Dit gebrek aan communicatie maakt me soms gefrustreerd, vooral als daardoor aanvallen worden gemist of onderschat.’

‘Een concreet voorbeeld is de recente hack op de politie. Samen met iemand anders ontdekte ik snel wat er aan de hand was, maar het duurde weken voordat het officieel werd bevestigd. Door dat trage handelen zijn ook andere organisaties, gehackt. Ik geloof in proactief delen, ook als er risico is dat je een keer te vroeg bent met je conclusies.’

Hoe blijf je op de hoogte van alle hacks?
Peter: ‘Mijn kennis komt voort uit jarenlange ervaring, gecombineerd met continue monitoring. Toen ik in 2019 voor een darkweb-team werkte, benaderde een collega uit Singapore, Louis, me met een interessant darkweb url. Het ging over een groep hackers genaamd “snatch” die data had gestolen en bedrijven chanteerde: betaal binnen een bepaalde tijd, anders zetten we de gestolen data online. Samen met Louis begon ik deze groepen te monitoren in een Excel-bestand, wat inmiddels is geautomatiseerd met tools die hij heeft ontwikkeld.’

‘Nu werk ik met deze tools om hackpogingen wereldwijd bij te houden. Iedere twee uur wordt mijn website geüpdatet met informatie over gehackte bedrijven en groeperingen. Zo ontdekte ik recent bijvoorbeeld dat een Nederlandse school gehackt was. Via LinkedIn kon ik de directeur waarschuwen voordat zij het zelf doorhadden.’

Waarom deel je deze informatie openbaar op je site?
Peter: ‘Ik wil voorkomen dat slachtoffers zelf het darkweb op gaan om te verifiëren of hun data is gestolen. Mijn website biedt een veilige manier om dat te checken. Als je er niet op staat, gaat het waarschijnlijk om bluffende oplichters. Staat je bedrijf er wel op, dan weet je dat het echt is. Opsporingsdiensten en politieorganisaties gebruiken mijn site ook als bron, omdat het een compleet overzicht geeft.’

Wat vinden hackers en bedrijven van deze openheid?
Peter: ‘Hackers hebben er geen probleem mee dat ik deze informatie deel. Soms benaderen ze mij en sturen ze filmpjes met wat ze kopen met het buitgemaakte geld; vaak auto’s zoals een Lamborghini. Bedrijven zelf zijn echter niet altijd blij. Vooral beursgenoteerde bedrijven proberen hacks vaak stil te houden. Maar ik wil dat het taboe doorbroken wordt. Zolang bedrijven niet open zijn over hun kwetsbaarheden, zullen anderen de ernst van het probleem onderschatten.’

Hoe organiseer je je monitoring en informatie?
Peter: ‘Ik maak gebruik van AI en analysesystemen om gegevens te verzamelen en trends te detecteren. Hierdoor weet ik bijvoorbeeld welke kwetsbaarheden momenteel het vaakst worden misbruikt, welke software gepatcht moet worden, en welke groeperingen actief zijn. Dit alles verwerk ik in rapporten en tabellen, zodat ik een volledig beeld kan geven aan overheidsdiensten en bedrijven.’

Hoe zouden bedrijven jouw aanpak kunnen gebruiken?
Peter: ‘Iedere ICT-verantwoordelijke of Chief Information Security Officer (CISO) zou dagelijks een overzicht moeten hebben van:

  • Wie zijn de slachtoffers?
  • Wat zijn de actuele dreigingen?
  • Welke kwetsbaarheden worden momenteel actief uitgebuit?
  • Zijn onze systemen gepatcht en up-to-date?

Het is allemaal hier te vinden trouwens, gratis.’

‘Mijn website biedt een top 10 van kwetsbaarheden (https://www.ccinfo.nl/menu-hulpmiddelen-kwetsbaarheden/misbruikte-kwetsbaarheden) die bedrijven kunnen helpen bij hun beveiliging. Als een organisatie ziet dat een van hun systemen in deze lijst staat, moeten ze direct actie ondernemen, want dat betekent dat ze binnenkort het doelwit kunnen worden van een geautomatiseerde aanval.’

Wat is jouw visie op huidige cyberbeveiliging?
Peter: ‘De huidige aanpak is te reactief. Veel bedrijven en overheden wachten tot een incident plaatsvindt. Wat we nodig hebben, is een intelligentiegestuurde aanpak, vergelijkbaar met wat we bij de politie informatiegestuurd politiewerk noemen. Dit houdt in dat je proactief werkt op basis van trends en dreigingsinformatie in plaats van te reageren op incidenten. Het gaat erom aanvallen te voorkomen, niet alleen te bestrijden.

Wat kunnen bedrijven vinden op jouw website?
Peter: ‘Er staat ontzettend veel op mijn website: meer dan 6000 blogs, nieuwsartikelen, analyses en alle vormen van cybercrime. Of een bedrijf nu weinig weet over cybersecurity of al wat verder is, iedereen kan daar informatie vinden. Het doel is dat bedrijven, vooral MKB’ers, beseffen hoe serieus de situatie is. Neem bijvoorbeeld de NIS2-wetgeving: ik heb Bart Groothuis, lid van het Europees Parlement, gevraagd of het klopt dat bestuurders persoonlijk aansprakelijk zijn als ze niet voldoen aan de wetgeving. Dat bevestigde hij, en ik vind dat een goede zaak.’

Waarom is die persoonlijke aansprakelijkheid belangrijk?
Peter: ‘Veel bestuurders knikken begripvol tijdens vergaderingen over cybersecurity, maar gaan daarna over tot de orde van de dag. Het besef dat ze persoonlijk aansprakelijk kunnen worden gesteld als ze niets doen, kan hen motiveren om eindelijk actie te ondernemen. Als een ziekenhuis of bedrijf wordt gehackt en blijkt dat basismaatregelen niet op orde zijn, zoals sterke wachtwoorden of tijdige updates, dan kunnen bestuurders daar persoonlijk verantwoordelijk voor worden gehouden.

Waarom lijkt het zo moeilijk voor bedrijven om actie te ondernemen?
Peter: ‘Veel mkb’ers denken nog steeds: “Dat overkomt mij niet.” Ze horen alleen over grote bedrijven in het nieuws en onderschatten dat ook zij kwetsbaar zijn. Vaak zijn simpele maatregelen, zoals het gebruik van lange en unieke wachtwoorden, niet op orde. Sommige bedrijven blijven hardnekkig achter, terwijl een brute force-aanval in seconden succesvol kan zijn.’

‘Men moet beseffen dat cyberdreigingen steeds geavanceerder worden. Veel bedrijven hebben het idee dat ze phishing-mails wel kunnen herkennen, maar ze onderschatten gerichte aanvallen zoals spear-phishing. Die zijn zo goed voorbereid dat zelfs grote beursgenoteerde bedrijven erin trappen. Mkb’ers denken vaak dat ze veilig zijn, maar ook zij moeten voorbereid zijn.’

Wat is het eerste wat bedrijven moeten doen? Heb je een laagdrempelig stappenplan?
Peter: ‘Kijk wat je kunt doen om je basis op orde te brengen. Denk niet dat je alles meteen moet oplossen, maar begin in ieder geval met kleine stappen. De NIS2-wetgeving en de steeds geavanceerdere aanvallen maken het noodzakelijk om nu actie te ondernemen.’

‘Maar het begint met nadenken: “Wat doen we als morgen alles op zwart gaat? Kunnen we dan nog functioneren, of liggen we volledig plat?”  Dat besef is cruciaal, want vroeg of laat gebeurt het. Cyberaanvallen zijn veel waarschijnlijker dan bijvoorbeeld een brand, toch hebben de meeste bedrijven geen plan of verzekering.

Een paar eerste stappen:

  1. Back-ups maken: Zorg dat je belangrijkste data regelmatig wordt opgeslagen op een externe harde schijf of in de cloud.
  2. Bewustwording creëren: Iedereen in het bedrijf moet begrijpen dat cybercrime een groot risico is. Bijvoorbeeld door mailboxen met volle aandacht te gebruiken, omdat phishing vaak de zwakste schakel blootlegt.
  3. Incidenten bespreken: Wat doen we als iemand per ongeluk op een link klikt? Hoe gaan we om met updates en patches? Dat moet je bespreken en voorbereiden.’

Wat doe je voor kleinere bedrijven die minder kennis hebben?
Peter: ‘Voor het Centrum voor Criminaliteitspreventie en Veiligheid (CCV) heb ik een AI ontwikkeld: op de website de HackHelpDesk. De AI, genaamd CyberWijzer, biedt eenvoudige uitleg en advies in begrijpelijke taal. Het helpt ondernemers risico’s te identificeren en stappen te ondernemen. Ook te gebruiken voor CISO’s met complexe vragen of vragen over NIS2. Elke dag wordt de AI geüpdatet met de nieuwste info en trends, de hoofdbron voor de AI is dan ook Cybercrimeinfo, zo weet ik dat de data die de AI gebruikt klopt.’

Je lijkt een duidelijke missie te hebben. Wat drijft je?
Peter: ‘Ik wil echt dat we veiliger worden. Ik ben vaak bij slachtoffers geweest en zie de impact van een aanval: bedrijven die platliggen, ondernemers in paniek, en medewerkers die niets meer kunnen. Dat soort situaties zijn heftig. Daarom focus ik me op preventie en bewustwording. We moeten mensen aan de voorkant voorbereiden in plaats van achteraf proberen de schade te beperken.’

‘Ondernemers zijn gewend dat hulpdiensten klaarstaan: bij brand bel je de brandweer, bij een ongeval de ambulance. Maar bij een cyberaanval? Dan weten ze niet wie ze moeten bellen. Politie kan vaak weinig doen, zeker als de daders in landen zoals Rusland of China zitten. Als ze een IT-bedrijf bellen zonder contract, worden ze vaak achteraan in de rij gezet. Dit leidt tot enorme stress en soms zelfs tot faillissementen.’

Hoe groot is de dreiging?
Peter: ‘Er zijn wereldwijd 229 georganiseerde cybercriminele groeperingen actief. Deze groepen werken efficiënt samen in een “cyber kill chain” en verdienen tussen de 100 en 200 miljoen euro per jaar. Hun snelheid en professionaliteit lopen ver vooruit op wat wij kunnen bijbenen. Het is alsof wij 80 km/u rijden op de snelweg, terwijl zij 130 km/u rijden. Dit gat wordt steeds groter.’

Wat kunnen we doen om dat gat te verkleinen?
Peter: ‘We moeten structureel veranderen. Bedrijven moeten cybersecurity net zo serieus nemen als andere bedrijf kritische zaken. Het begint bij bewustwording en een cultuurverandering. Transparantie en samenwerking zijn essentieel, zowel binnen bedrijven als tussen bedrijven en overheden. Alleen zo kunnen we voorkomen dat criminelen de overhand blijven houden.’

50.000 mkb-bedrijven kunnen met NIS2 te maken krijgen
Beginnen aan de NIS2? Check de NIS2 Cheat Sheet
Wat hebben NIS2 en DORA met elkaar te maken?
Legian: ‘Je draait je voordeur ook automatisch op slot. Cybersecurity moet net zo vanzelfsprekend zijn’
Interview Secura: ‘Wetgeving zoals NIS2 maakt duidelijk dat stilstand geen optie is’