De tweede editie van OUT OF BUSINESS beloofde wederom een bijzondere avond. Hét cyberevent van 2022 in de Maritieme Academie IJmuiden werd aangekondigd als mix van theater, talkshow en verbinding, voor ondernemers die – met elkaar - succesvol willen blijven. En dat daar zelfbewustzijn en gedragsverandering voor nodig zijn in deze woelige tijden, daar waren we vooraf al wel van overtuigd. Er zijn online kapers op de kust en niet alleen in IJmuiden. Cybercrime is diep verweven in ons dagelijks leven, in ons handelen en in ons gedrag. Zijn we eigenlijk nog wel veilig?
Al bij binnenkomst gehackt
Dat men zich snel veilig voelt, werd gelijk bij binnenkomst duidelijk. De ondernemers kregen de kans om mee te doen met een loting voor de scheepvaart simulatie. Met enthousiasme werden de gevraagde gegevens op het formulier ingevuld. Zonder veel vragen te stellen schreven de bezoekers naam, geboortedata, soms zelfs hun BSN-nummer op. Waren zij te enthousiast? Wat ons betreft wel. Het formulier was namelijk een live phishing test. Uiteraard waren de organisatoren niet uit op het misbruiken van data en zijn alle gegevens dezelfde avond vernietigd.
Wat een theater
Manon Blaauw, theatermaakster en dagvoorzitter opende de avond met een raak statement. ‘Geen ondernemer wil bezig zijn met alle randzaken. (Online) criminaliteit is wel het allerlaatste waar ik m’n tijd aan wil besteden. Maar het moet. Je wilt niet alles wat je hebt opgebouwd met 1 verkeerde klik kwijtraken.’ Maar waarom klikken we eigenlijk nog op verkeerde links? Gedragsbioloog Patrick van Veen nam het publiek mee in de belevingswereld van apen. Net als wij sociale wezens. Hij startte met het gegeven dat zelfherkenning, eigenlijk de bron van alle ellende is. Want als je jezelf herkent, herken je ook het gedrag van anderen. En daar maakt iedereen gebruik van. Ook criminelen.
Manipuleren kun je leren
Manipulatie is natuurlijk gedrag. Niks mis mee. Maar we zijn simpelweg blind voor de leugen, we negeren ons onderbuikgevoel. En wat het lastig maakt: we leven in veel meer sociale structuren dan apen. Die hebben alleen de groep. Wij hebben ons werk, ons gezin, de sportvereniging, de VVE, de online gaming wereld, noem maar op. We worden aan alle kanten gemanipuleerd en het is niet meer bij te houden wie welk gedrag vertoont en waarom.
Kunnen we dan niets doen om veiliger te werken? Zeker wel! Patrick gaf een viertal opdrachten:
- Handel nooit vanuit paniek. Bij hoge stress schakelen we namelijk ons brein uit. Zet een stap achteruit en onderneem pas actie als je rustig bent en het met andere hebt besproken.
- Haal FOMO van je focuslijst. ‘The Fear Of Missing Out zorgt zelden voor een positief effect. Je hoeft, nee je kunt niet overal bij zijn.
- Lead by example. Leiders geven gedrag af en de peers nemen dat over. Op een ander niveau misschien, maar onherroepelijk.
- Denk na over hoe je tech inzet om veiliger werken eenvoudiger te maken, niet lastiger.
Uiteindelijk komt het grootste gedeelte van veilig werken neer op: stop stom gedrag! Maar ja, wat is stom en hoe voorkom je dat dan?
Wees alert!
Tijdens het tafelgesprek bleek Erwin van Hardeveld, directeur IJmond Werkt, hierover mee te kunnen praten. Zijn organisatie werd gehackt en de gegevens van 9.000 zorg cliënten werden op het darkweb gelekt. Hij belde de VNG en liet FOX IT een forensisch onderzoek doen en kwam erachter hoe het heeft kunnen gebeuren. De grootste fout? Geen tweetrapsauthenticatie en geen protocol. Oftewel, zowel technisch als inhoudelijk was de organisatie onvoorbereid. Alsof je de voordeur van je pand laat openstaan en je werknemers een week vrij geeft. Het heeft veel gedaan met de organisatie, maar ook met de mensen. Het gedrag is veranderd. Veel medewerkers zijn nog steeds angstig. Ook Erwin zelf merkt dat hij alerter is. En die awareness is keihard nodig.
Ronald Schavemaker, directeur Intures, kan niet anders dan bevestigen. Om die reden verzorgt hij bijvoorbeeld interne Toolbox Trainingen. Het regelmatig trainen en scherp houden van je team is bittere noodzaak. Deel de voorbeelden van foute e-mails en WhatsApps, want een enkele zwakke schakel maakt de complete ketting kwetsbaar. Ronald benadrukt nog eens de waarde van dubbele verificatie en dat van een veilig netwerk. Laat niet iedereen zijn eigen IT-middelen gebruiken, maar werk met gecontroleerde laptops en telefoons van de zaak. Investeer hierin, naast awareness. Want voorkomen is beter dan genezen.
‘WIJ KOMEN PAS IN BEELD ALS HET EIGENLIJK TE LAAT IS’
Ook Joop Sinnige, Teamchef Politie Kennemerland, herkent veel in de verhalen die aan tafel worden verteld. ‘Wij komen pas in beeld als het eigenlijk al te laat is. De schade is dan al aangericht.’ Hij en zijn team moeten helaas de verwachtingen nogal eens temperen. Het is namelijk ontzettend moeilijk om cybercriminelen te achterhalen. Kennis en capaciteit zijn schaars. Maar dat betekent niet dat aangifte doen geen nut heeft. Alle data wordt gebruikt. Is het niet voor directe achtervolging, dan wel voor meer kennis en kunde in de toekomst.
Van RPC naar Platform Veilig Ondernemen Noord-Holland
Ook het RPC gebruikt deze gegevens weer om preventief informatiebijeenkomsten zoals deze op te zetten. ‘We weten wat er speelt. Welke vorm van cybercrime populair is bijvoorbeeld en welke schade het aanbrengt. Denk aan de voorbeelden van CEO-fraude, de gijzelingen en de Marktplaatsfraude. Met deze kennis kunnen we ondernemers en burgers bewuster maken en samen met experts toewerken naar oplossingen’, aldus bestuurslid van het RPC Peter Bottelier. Het RPC gaat binnenkort verder onder de naam PVO Noord-Holland, dat staat voor Platform Veilig Ondernemen Noord-Holland. In nauwe samenwerking met PVO’s in de andere regio’s zorgt dat voor nog meer kennis, kunde en daadkracht. Van die combinatie gaan ondernemers in Noord-Holland zeker profiteren.
Wat buiten je gezichtsveld is, dat zie je niet
Dat bewees Magic Nape nog eens na de pauze. Terwijl we in de zaal inzicht kregen in hoe de propjes papier verdwenen, bleef het voor de deelnemers op het podium een raadsel. En juist op het moment dat we dachten het allemaal wel door te hebben, werden we massaal op het verkeerde been gezet door de volgende spreker. De presentatie van Dr. Markus Hauptmann, Leiter Generalzolldirektion Hafen Hamburg en Lektor Zollrecht am Hafencity University Hamburg startte onverwacht in het Duits. En dat was even schakelen voor de meeste aanwezigen. Het werd een lezing die van start tot finish schuurde, maar ook zorgde voor grootse hilariteit en verbazing.
Met de tranen van het lachen nog op de wangen lieten we ons opnieuw verrassen door de snelheid en kennis van Benjamin Korper, eigenaar van Korper ICT en zelfbenoemd nerd. Hij dook met het publiek in IJmuiden in de wereld van bitcoin. En dat is niet allemaal hosanna. Met dit wat ondefinieerbare online betaalmiddel blijkt het bijvoorbeeld een fluitje van een cent, pun intended, om vals geld, wapens, gestolen datatabases en valse paspoorten te kopen. Eigenaren van accounts zijn moeilijk te traceren en dat geeft vrijheid. Online criminaliteit wordt steeds makkelijker. Het is ook niet voor niets dat de digitale cijfers blijven groeien. We kunnen er niet zoveel tegen doen. Hoewel we ook nog wel veel fouten maken. Veel mensen denken veilig te zijn met hun wachtwoord. Maar niets is minder waar. Bijna ieders data ligt al op de digistraat. Controleer het zelf maar eens op haveibeenpwned.com. Benjamins belangrijkste tip? Houd op met het hergebruik van je toegangscodes en gebruik een passwordmanager. Dat scheelt tijd en vooral een heleboel ellende.
Laat je tanden zien!
De avond eindigde met zwaar geschut, letterlijk en figuurlijk: Pieter Cobelens. Deze oud defensieman richt zich na zijn dienst op zijn persoonlijke missie: Nederland cyberveilig maken op eigen ‘Nederlandse’ kracht.?Hij werkt zich naar eigen zeggen nog altijd de pokken om belangrijke nationale data veilig te houden en adviseert daarvoor meerdere essentiële overheidsinstanties. Zijn race door de tijd en de wereld maakt één ding heel erg duidelijk. Het is niet alleen in Oekraïne oorlog. Dreiging is er altijd, alleen soms is het even pijnlijk zichtbaar voor iedereen. Denk maar eens aan de spanning die er was rondom de millenniumwisseling, tijdens en na 9/11 of de ramp met MH17 en wat te denken van Corona of de (cyber)oorlog die Rusland al jaren voert. Zijn devies is: laat je tanden zien! Afschrikken betekent vrede. We zijn kwetsbaar en dat komt omdat we niet of veel te weinig investeren in onze tanden. En dan is WiFi ook nog eens de rotte tand. IT wordt niet serieus genomen, terwijl het de hoeksteen is van je bedrijfsvoering. De toekomst van oorlog is digitaal. En wat doen we in vredesnaam nog als ons elektriciteitsnetwerk uitvalt of je hele bedrijf platligt door een hack? Laat je goed informeren, door specialisten en door meerdere partijen. De sum of all fuck ups: Single Source Information.
Bedreigingen bieden ook kansen
En dat was precies wat je als bezoeker van OUT OF BUSINESS 2 niet kreeg. De mix van sprekers en onderwerpen vulden elkaar juist naadloos aan. Het triggerde een gevoel van direct actie willen ondernemen, terugvechten, delen en niet achterover blijven hangen. En niet op een vervelende manier. De sprekers gaven met hun enthousiasme al aan dat bewust bezig zijn met digitalisering ook heel leuk kan zijn. Dat het kansen biedt en soms geld scheelt in plaats van kost. Sterker nog, Dagvoorzitter Manon verwerkt het nu zelfs in haar theatershows. Nu wij samen nog, in de bedrijfsvoering.
Bekijk de aftermovie van Out of Business II!
En dan hebben we de foto's nog!
