Hackers vielen de IT-systemen van Blanken Controls aan, nadat een werknemer onzorgvuldig had gehandeld. ‘Ik dacht altijd dat we het goed voor elkaar hadden, maar er waren nog veel verbeterpunten op het gebied van data-beveiliging.’

Cybercrime is een groeiend probleem voor ondernemers. Iedere dag worden duizenden bedrijven onder vuur genomen door hackers die uit zijn op gevoelige en waardevolle informatie of ‘losgeld’. Statistieken tonen aan dat deze vorm van criminaliteit de komende jaren alleen maar zal toenemen.

Het Cyber Incident & Breach Trends Report van Online Trust Alliance (OTA), onderdeel van een mondiale non-profit organisatie die een open en eerlijk gebruik van het internet voorstaat, stemt wat dat betreft niet vrolijk. 2017 kan de boeken in als één van de slechtste jaren in de cybersecurity, met een verdubbeling van het aantal ernstige incidenten tot bijna 160.000, waaronder 134.000 ransomware-aanvallen.

Datalekken en AVG

Belangrijke kanttekening van de onderzoekers: 93 procent van de incidenten was te voorkomen geweest met up to date software en het creëren van bewustzijn onder medewerkers. Maar zijn hun werkgevers, de ondernemers, zich wel volledig bewust van de omvang en impact van een cyberaanval? Weten ze bijvoorbeeld dat op 25 mei 2018 de AVG (Algemene Verordening Gegevensbescherming) ingaat, die onder meer een protocol verplicht stelt om de ernst van de inbreuk te kunnen beoordelen, inclusief melding bij de AP Autoriteit Persoonsgegevens)? Een ondernemer die de AVG-regels negeert, riskeert een boete die kan oplopen tot 4 procent van de omzet.

Ook directeur-eigenaar Willem Dikker Hupkes van Blanken Controls heeft nooit een seconde stilgestaan bij het potentiële gevaar van een datalek. “Totdat mijn bedrijf slachtoffer werd van cybercrime. Inmiddels weet ik dat het in het mkb een serieus probleem aan het worden is.”

Onzorgvuldige medewerker

Blanken Controls levert meet- en regelapparatuur aan bedrijven in onder andere de voedingsmiddelen-, industriële en farmaceutische branche. Met klanten als AkzoNobel, Ikea en McDonald’s is het Loenense bedrijf een grote speler, die met veel vertrouwelijke klantinformatie werkt.

Vorig jaar opende een stagiair vanachter zijn pc een zipfile, wat catastrofale gevolgen had. Het hele computersysteem van Blanken Controls werd namelijk bijna platgelegd door dat ene bestandje. Dikker Hupkes: “Ik kan het een stagiair moeilijk kwalijk nemen dat hij een bestand heeft geopend. Maar het was wel een fout die ons zo’n 5.000 euro aan herstelkosten, productieverlies en onrust binnen het bedrijf heeft gekost.”

Gegijzeld door cybercriminelen

Nadat de stagiair het zip-bestand had geopend, begon het virus zich als een lopend vuurtje te verspreiden in het netwerk van Blanken Controls, waaraan tal van vaste pc’s en laptops zijn verbonden. Dikker Hupkes realiseerde zich dat snelheid geboden was en zette meteen de externe systeembeheerder aan het werk om de verspreiding van het virus tegen te gaan. Die onmiddellijke actie heeft ervoor gezorgd dat de schade beperkt is gebleven.

“We hebben het relatief snel opgelost, door de server direct stop te zetten en per werkplek de pc of laptop op te schonen”, legt Dikker Hupkes uit. “Maar je voelt je wel gegijzeld tijdens zo’n periode. Hoewel je cybercriminelen niet ziet, is het toch een inbraak.”

Ethische hackers

Naar aanleiding van de hack bij Blanken Controls heeft Dikker Hupkes een grondige scan laten uitvoeren van alle online activiteiten, de software- en hardware-apparatuur en de beveiliging van privacygevoelig materiaal om te kijken of er data was gelekt. Gelukkig bleek dat niet het geval te zijn, maar de Blanken Controls-topman schrok wel van de uitkomst.

Dikker Hupkes: “Ik dacht altijd dat we het goed voor elkaar hadden, maar uit die scan kwam naar voren dat er nog ontzettend veel verbeterpunten waren op het gebied van data-beveiliging. Wij hebben de beveiliging inmiddels behoorlijk aangescherpt. Zo laten wij bijvoorbeeld ieder jaar, als onderdeel van risk management, ethische hackers proberen ons systeem binnen te dringen om te kijken waar eventuele nieuwe zwakke plekken zitten.”

Meldplicht en aangifte

Dikker Hupkes heeft ondertussen met tal van collega-ondernemers gesproken over het incident en komt tot de conclusie dat de digitale wereld voor veel bedrijfseigenaren een te onbekend domein is. Zelf was hij ook nooit bang voor een datalek omdat hij er simpelweg te weinig vanaf wist.

“Cybercrime is een ver-van-mijn-bedshow voor de meeste ondernemers”, concludeert Dikker Hupkes. “Ik heb me veelvuldig laten voorlichten over wat je kunt doen om geen slachtoffer van cybercrime te worden. Belangrijk is dat je preventief in plaats van reactief bezig bent. Zo kun je bijvoorbeeld je werknemers laten voorlichten door specialisten.”

En naast het verplicht melden van een datalek, mag je ook aangifte doen van deze digitale inbraak. “Ik heb er ook niet aan gedacht om aangifte te doen”, aldus Dikker Hupkes. “Voornamelijk omdat ik dacht dat, in mijn geval, de politie niet veel kan uitrichten. De regelgeving rondom cybercrime loopt altijd achter op de nieuwe toepassingen die criminelen inzetten. Het blijft een catch-22-situatie.”


Deze bijdrage werd geschreven door Wietze Willem en verscheen eerder op: https://www.sprout.nl/artikel/zeker-voor-de-zaak/deze-ondernemer-laat-hackers-zijn-data-beveiliging-onder-vuur-nemen