Ook Raymond Slot, lector Cybersecurity, kreeg van de HU een mail met de mededeling dat zijn naam en huisadres op het darkweb staan. Hij kent de risico’s maar ook de trends onder hackers: ‘Veel bedrijven zijn gehackt terwijl ze dat nog niet weten.’
‘Ja natuurlijk’, zegt Raymond Slot op de vraag of verdachte mailtjes aan HU-medewerkers het resultaat zijn van de hack bij het bedrijf ID-ware. Een maand geleden maakte de hogeschool bekend dat de leverancier van HU-passen is gehackt. Criminelen maakten onder meer namen, adressen en personeelsnummer buit van bijna alle medewerkers en van sommige oud-personeelsleden en student-medewerkers.
Nadat de hack werd ontdekt, weigerde ID-ware losgeld aan de hackers te betalen. Daarna zijn de data van de HU-medewerkers op het darkweb geplaatst. Niet alleen gegevens van de hogeschool zijn gestolen, maar ook van de Technische Universiteit Eindhoven, Prorail en de Eerste en Tweede Kamer.
Met de data van het darkweb in de hand kun je de mailadressen van mensen van de HU samenstellen. Slot: ‘Je kunt ervan uitgaan dat jouw mailadres bekend is. Allerlei mensen met duistere bedoelingen kunnen mails sturen. Ze kunnen ook je mail hacken als je geen sterk wachtwoord hebt.’
‘Het is een soort pesterij’
Een hack als die bij ID-ware komt tegenwoordig bijna wekelijks in de openbaarheid, vertelt Slot. Het aantal is waarschijnlijk nog veel groter omdat maar een klein deel van de gevallen naar buiten komt. Als privacygevoelige gegevens zijn gestolen dan moeten organisaties het melden. ‘Maar veel hacks blijven onder de radar omdat bedrijven niet negatief in het nieuws willen komen.’
Hij vervolgt: ‘De meeste mensen hebben het niet in de gaten maar eigenlijk is internet één grote jungle. Allerlei criminele bendes proberen geld afhandig te maken: of door privacygevoelige gegevens te verkopen of door ransomware-achtige aanvallen.’
Raymond Slot werkte voor it-bedrijven, was van 2010 tot 2018 lector Enterprise Architecture, startte ondertussen een eigen consultancybedrijf en is sinds september 2022 aangesteld als lector Cybersecurity. Samen met het Instituut voor Veiligheid is hij bezig met het opzetten van een master Digitale Veiligheid. Geplande start: september 2024.
Waarom zetten de hackers alles op het darkweb? Om te verkopen of uit wraak omdat het bedrijf geen losgeld wil betalen?
‘Dat laatste. Het is een soort pesterij. Het bedrijf betaalt niet en daarom zetten de criminelen de data op internet. Dan moet het bedrijf het oplossen met de klanten.’
Hoe komen anderen bij de gegevens op het darkweb?
‘Darkweb is onderdeel van het internet maar is niet met Internet Explorer of via Google te vinden. Om het darkweb te bereiken, heb je een speciale Tor-browser nodig. Die laat geen sporen na en als gebruiker ben je niet traceerbaar. Zo’n Tor-browser kun je gewoon downloaden, dat is niet illegaal. Iedereen kan dat.’
‘Medewerkers kunnen thuis brieven krijgen en e-mails met de mededeling dat ze bepaalde bedragen moeten betalen’
Eind 2019 werd de Universiteit Maastricht lamgelegd door een hack.
‘Ik heb ooit die case van Universiteit Maastricht bestudeerd. De hackers versleutelden alle bestanden van de universiteit. Lesmateriaal en onderzoeksgegevens waren niet meer bereikbaar voor docenten en studenten. De universiteit moest betalen om de encryptiesleutel te verkrijgen. De encrypte bestanden zijn wel te dehacken maar daar is heel veel tijd voor nodig. De Universiteit Maastricht dacht minstens een half jaar tijd nodig te hebben om alle bestanden weer te openen. Dan is de universiteit een half jaar dicht. Dat is geen optie.
Uiteindelijk heeft de universiteit twee ton betaald. Wat overigens heel goed voor ze afliep. Ze betaalden namelijk in bitcoins en toen ze het losgeld terugvonden, waren die een half miljoen waard.’
De gegevens van personeel, sommige student-assistenten en een aantal oud-medewerkers staan op het darkweb. Wat kunnen kwaadwillenden ermee?
‘Er zijn voorbeelden van hackgroepen die zich voordoen als incassobureaus. Medewerkers kunnen thuis brieven krijgen en e-mails met de mededeling dat ze bepaalde bedragen moeten betalen. En denk ook aan wetenschappers, die zijn bedreigd rondom het RIVM en corona. Van lectoren aan hogescholen ken ik geen gevallen van bedreiging. Maar het is nu wel zo dat adressen van medewerkers bekend zijn.
Er zijn ook trucs om mails te versturen zodat het lijkt of ze van de HU afkomstig zijn. Bijvoorbeeld een fake-mail vanuit het management naar de financiële afdeling: wil je dit bedrag overmaken naar dit-en-dit nummer. Dat gebeurt voortdurend. Een bekende hack vond plaats bij het Rijksmuseum Twenthe. Zij kochten in 2018 een schilderij van een paar miljoen euro van een Londense kunsthandel. Het mailverkeer naar de koper was onderschept. Daarna hadden ze er een ander banknummer in gezet en zijn de miljoenen naar onbekenden overgemaakt.’
De nieuwste trend bij cybercriminelen volgens het Nationaal Cyber Security Center: binnendringen bij organisaties zonder dat ze het door hebben.
‘Dat zijn de zogenaamde advanced persistent threats. Op dit moment gebeurt het veel dat hackgroepen binnenkomen zonder dat organisaties het merken. Zij kunnen heel veel naar boven halen en bekijken welke informatie ze te pakken kunnen krijgen. Welke informatie staat ergens anders op de database en hoe kunnen we daarbij? Sluipenderwijs worden gegevens verzameld. De Universiteit van Maastricht ontdekte dat ze op 24 december waren gehackt, maar de daadwerkelijk hack vond al in september plaats. Ze hadden twee maanden de tijd om rond te snuffelen en toegang te krijgen tot allerlei omgevingen binnen de it-systemen.
‘Naar alle waarschijnlijkheid zijn veel bedrijven gehackt terwijl ze dat nog niet weten. Daarom is het belangrijk dat er een scenario klaarligt voor het geval ze gehackt zijn. Een van de bazen van de FBI zei het al: “Er zijn twee soorten organisaties: zij die zijn gehackt en zij die nog gehackt worden”. Dus ga ervan uit dat elk bedrijf een keer aan de beurt is. Het is een kat-en-muisspel tussen aanvaller en verdediger.’
‘Bedrijven zetten een firewall en virusscanner neer en dan denken ze dat ze veilig zijn’
Welke tegenmaatregelen kunnen bedrijven en instellingen nemen?
‘Daar doen wij met ons lectoraat onderzoek naar. Er zijn vele standaarden op het gebied van beveiliging. De meest bekende is de ISO 27000. Daarin staat hoe je een bedrijf kunt beveiligen. Het beslaat zo’n vijftig pagina’s. Als een bedrijf alles invoert ben je heel veilig maar zit alles zo dichtgetimmerd dat er weinig meer mogelijk is. Dus de afweging is: de veiligheid van je bedrijf ten opzichte van de gebruiksvriendelijkheid. Het management moet de vraag stellen: waar zouden hackers naar op zoek zijn? Als ze die kernvraag stellen, kunnen ze vanuit daar verder redeneren welke beveiligingsmaatregelen nodig zijn.
Veel bedrijven doen dit niet op deze manier. Daar zijn twee hoofdredenen voor. Ten eerste een gebrek aan focus op beveiliging vanuit het businessmanagement. Zij zien informatiebeveiliging als een zaak van de it-afdeling in plaats van een risico voor het hele bedrijf. Terwijl juist het management moet aangeven welke gegevens ze op een hoog niveau beveiligd willen hebben en welke op een wat lager niveau.
Verder zie je dat beveiliging als een kostenpost wordt gezien. Ze zetten een firewall en virusscanner neer en dan denken ze dat ze veilig zijn. Bij veel bedrijven is onvoldoende kennis over hoe te beveiligen. Dat levert risico’s op, zelfs voor de continuïteit van het bedrijf.’