nieuws

Een patchkast hacken? Fluitje van een cent

bouwbreed 722

Een patchkast hacken? Fluitje van een cent

Nederland wordt digitaal bedreigd en de situatie is erger dan we denken. Dat zei Nationaal Coördinator terreurbestrijding en veiligheid Dick Schoof onlangs tijdens de Cyber Security Week in Den Haag. De bouwsector is geen uitzondering. Het goede nieuws? Het nieuwe kabinet steekt 95 miljoen per jaar in cyberveiligheid, veel meer dan in de Miljoenennota was toegezegd. Ondertussen is het prijsschieten: “Inbreken kan ik op alle fronten”, zegt de ethical hacker.

Banken, overheden en wetenschappers waarschuwen ons vrijwel dagelijks: cybercrime grijpt om zich heen als een veenbrand. Is het echt zo erg? En geldt het ook voor de bouwsector? Om maar meteen met de deur in huis te vallen: het antwoord is in beide gevallen ja. Ook bouwbedrijven lopen met open ogen in de val. Dit stelt ethical hacker Sijmen Ruwhof (32), die al twaalf jaar actief is als it-beveiliger en zo’n vijfhonderd ondernemingen heeft doorgelicht.

Onder meer woningbouwverenigingen, ingenieursbureau’s, VVE’s, banken, verzekeraars en zorginstellingen klopten bij Ruwhof aan voor een screening. Ruwhof: “Specifiek bouwbedrijven? Die zitten niet in mijn portefeuille. Maar de dreiging voor deze sector kan ik heel goed inschatten. Bouwbedrijven gebruiken namelijk dezelfde soft- en hardware als veel andere bedrijven, met precies dezelfde risico’s. Mijn kernboodschap? Ga ervan uit dat je systeem onveilig is en werk toe naar een veilige set-up. Betrek de interne it-afdeling erbij en huur experts in voor risicoanalyses en inbraaktesten. En weet dat hackers gelegenheidsdieven zijn. Als jouw systeem minder veilig is dan dat van je buren, ben jij aan de beurt.”

Bewustwording groeit op alle fronten

Cybercrime staat hoog op de politieke agenda. Het nieuwe kabinet steekt 95 miljoen per jaar in cyberveiligheid, veel meer dan in de Miljoenennota was toegezegd. De bewustwording voor het probleem groeit op alle fronten: de Cyber Security Week, van 25 tot 29 september in Den Haag, trok 4300 bezoekers uit zeventig landen.

In Den Haag trokken zo’n honderd specialisten fel van leer over cyberdreiging en wat ertegen te doen. Nationaal Coördinator Terreurbestrijding en Veiligheid Dick Schoof was een van de sprekers. De dreiging komt volgens Schoof van criminelen èn van inlichtingendiensten van landen. Nu blijft het nog bij speldenprikjes, waarmee hackers willen aangeven waartoe ze in staat zijn. Maar, stelt Schoof, ze kunnen de elektriciteitsvoorziening platleggen, de bankwereld verstoren en bedrijfsgeheimen stelen.

Schoof’s verhaal werd onderschreven door Inge Philips van adviesbureau Deloitte. Zij werkte eerder voor inlichtingendienst AIVD en het Team High Tech Crime van de landelijke politie. Volgens Philips lopen echt alle voorzieningen gevaar die we dagelijks gebruiken: ”Van pinnen tot stoplichten.” Alles heeft een digitale basis en zonder voldoende beveiliging zijn we kwetsbaar in alle delen van de samenleving. Bovendien: een probleem op één plek kan uitdijen als een olievlek. De oplossing is volgens Philips ‘segmenteren’. Aparte systemen maken, met buffers ertussen, zodat een storing geen andere netwerken kan meesleuren.

Bouwsector loopt niet meer risico dan andere sectoren

Wat vindt Bouwend Nederland? De ondernemersvereniging is sinds twee jaar intensief bezig met bewustwording binnen bouwbedrijven. Volgens beleidsmedewerker Joppe Duindam, die cyberveiligheid in z’n portefeuille heeft, loopt de bouwsector zeker niet meer risico dan andere sectoren. Dat neemt niet weg dat het probleem ook voor de bouw groot genoeg is.

Duindam: “Onze sector heeft weinig intellectueel eigendom, weinig patenten of specifieke kennis en is dus niet speciaal interessant voor hackers. Maar ook in de bouw zien we wat we overal zien. Onze leden hebben last van phishing, ransomware en aanvallen die helemaal niet op hen gericht zijn, maar waar ze wel last van hebben.” Duindam noemt een recente ransomware-aanval op een boekhoudpakket in de Oekraïne. Die aanval trof ook de Rotterdamse haven omdat daar dezelfde software werd gebruikt.

Het advies van Bouwend Nederland? Duindam: “Zorg voor je firewall en antivirus-software. Haal op tijd updates binnen, maak goede backups, voer tests uit en maak een rampenplan, zodat je weet wat er gebeurt als het mis gaat. En misschien nog belangrijker: maak je medewerkers bewust. Kijk, als ik in het verkeer door rood rijd, vraag ik om problemen. Onverantwoord gedrag op internet is net zoiets. Doe geen domme dingen! Een mailtje van International Card Services? Die mailen niet, dus klik er niet op. Geld opnemen via het openbare WIFI-netwerk van het winkelcentrum? Ik zou het niet doen.”

Bijna de hele it-sector is onbewust onbekwaam

Terug naar ethical hacker Sijmen Ruwhof. Die beweert op basis van zijn 500 bedrijfsscans dat 80 procent van de opgeleverde it-systemen onveilig is. Ruwhof: “Inbreken kan ik vaak in websites, interne kantoornetwerken, email-communicatie, smartphones, WIFI en beveiliging van persoonsgegevens in databases. Het grote probleem is dat cybersecurity onzichtbaar is. En er is nauwelijks toezicht vanuit de overheid. Als een it-bedrijf een systeem oplevert dat functioneert, met knoppen, formulieren en schermen die werken, is de klant al tevreden. De klant ziet de slechte beveiliging en datalekken niet. Het it-bedrijf komt ermee weg omdat de factuur na oplevering al betaald is en succesvolle juridische vervolging voor nalatigheid zeldzaam. Bijna de hele it-sector is onbewust onbekwaam. Die weet niet hoe beveiliging werkt. It-security is een specialistisch vak.”

Ruwhof heeft het over beveiliging van organisaties en bedrijven. Hoe zit het eigenlijk met de beveiliging van tunnels, bruggen en infrastructurele projecten? Ruwhof: “Die werken allemaal op besloten interne netwerken, waarvoor tientallen kilometers netwerkkabels worden aangelegd. Dat lijkt misschien veiliger, maar geloof me, het is helemaal niet zo moeilijk om ’s nachts buiten zo’n patchkast open te maken en met je laptop in te prikken op het interne netwerk van bijvoorbeeld een brug. En dan wordt het leuk! Wat als de controlekamer gehackt wordt? Brug open, brug dicht. De schade is niet te overzien.”

Ruwhof is niet de enige ethical hacker die beweert dat problemen detecteren vaak simpel is. Ik kom altijd binnen, zegt ethical hacker Ruben van Vreeland van BitSensor. Hacken is kinderlijk eenvoudig, hoe simpeler hoe leuker, beweert Wouter van Rooij, wiens vak het is hackers een stap voor te blijven door programma’s, apps, websites en webshops op de proef te stellen om te zien of ze hackable zijn.

Voor degene die de moed in de schoenen is gezakt na het lezen van het voorafgaande, hebben we ook goed nieuws. Onzorgvuldig menselijk gedrag is weliswaar de zwakste schakel in de veiligheidsketen, gedrag is ook het makkelijkst te veranderen. “Weak passwords are like dirty socks. Change them!”, liet ethical hacker Jatin Sehgal van Ernst & Young al in 2009 optekenen. Welnu, een sterk wachtwoord maken kan iedereen. Dus werkgevers in de bouw, maak korte metten met simpel te onthouden wachtwoorden als ‘12345678’, ‘welkom01’ of ‘qwerty’.

Wachtwoorden vaak niet gewijzigd

Ook Sijmen Ruwhof ziet ze nog veel, de onveilige wachtwoorden: “Wat mij opvalt is dat standaard wachtwoorden vaak niet gewijzigd zijn. Nou, dat is wat hackers als eerste uitproberen.” Een veel voorkomend probleem is volgens Ruwhof ook dat autorisaties te ruim staan ingesteld (waardoor medewerkers meer rechten hebben dan strikt noodzakelijk) en beheeraccounts die niet worden gebruikt. Allemaal potentiële risico’s die makkelijk te voorkomen zijn.

Volgens Ruwhof richt de huidige generatie hackers zich vooral op ransomware, het versleutelen van bestanden waarna slachtoffers moeten betalen (om hun bestanden ontsleuteld te krijgen), platleggen van websites via DDoS-aanvallen, fraude en bedrijfsspionage. Ruwhof’s aanpak is grondig. Eerst praat hij met de directie over de ‘kroonjuwelen’ van het bedrijf. Ofwel: waarmee wordt het geld verdiend? Zijn het klantgegevens? Bouwtekeningen? Het archief? Speciale kennis? Als dat duidelijk is, gaat hij doorlichten. Hoe worden updates binnengehaald? Hoe veilig is de configuratie afgesteld? Zijn er veiligheidslekken te vinden? Tot slot schrijft hij een rapport met aanbevelingen en gaat hij weer in gesprek met de directie. Zo wordt de boel dichtgetimmerd en kan de onderneming in kwestie zich richten op het eigenlijke werk: huizen bouwen.

 

Beeld: Pascal Tieman

Reageer op dit artikel
Lees voordat u gaat reageren de spelregels