Een valse identiteit, geloofwaardig coververhaal, jarenlang onopvallend in dienst blijven – die moeite hoef je als spion niet meer te doen. De bedrijfsspionnen van nu zitten gewoon ‘thuis’ met hun laptop op schoot, en digitale bedrijfsspionage gebeurt op veel grotere schaal. Met één druk op de knop hebben ze alle digitale data van een bedrijf, die ze vroeger pagina voor pagina moesten kopiëren of meenemen.
Je hebt twee vormen van digitale spionage, zegt Frank Groenewegen van cybersecuritybedrijf Fox-IT. ‘Je kunt gehackt worden door een concurrent of crimineel die op een of andere manier geld aan jouw data kan verdienen. Of op de traditionele manier: een ander land (overheden, inlichtingendiensten of bedrijven) heeft belang bij informatie die jij hebt.’
Wat Groenewegen nu veel ziet gebeuren is dat bedrijven uit Azië op de R&D-afdeling willen bezuinigen en bedrijven in Europa de benodigde kennis via een hack afhandig maken. ‘Het gebeurt ook als bedrijven een bepaalde opdracht willen winnen in een ander land. Het is dan heel handig als je weet wat concurrent aanbiedt en je nét onder die prijs kunt zitten. Of denk aan ingrediënten van verf, of bouwtekeningen voor vliegtuigen.’
Kleine vissen
Maar – en dat zien veel bedrijven over het hoofd – je kunt ook relevant zijn voor hackers als je helemaal niet zo veel omzet draait. Een klein advocatenkantoor bijvoorbeeld dat bezig is met een overname voor een cliënt – erg beursgevoelige informatie.
‘Hackersgroeperingen stelen bij heel veel verschillende bedrijven iets om het grote plaatje compleet te krijgen. Bijvoorbeeld een toeleverancier van schroefjes voor een straalvliegtuig. Die is maar een kleine factor, maar heeft wél bouwtekeningen of een deel daarvan’, zegt Groenewegen. De bouwer is als groot bedrijf vaak wel goed beveiligd, maar al die mkb’tjes waar het mee werkt niet. En die hebben in sommige gevallen ook toegang tot het netwerk van de bouwer.
‘Bedrijven zijn vaak blind voor security buiten de eigen kantoormuren. In preventie kun je veel doen, maar de signalen worden niet altijd goed geïnterpreteerd in een bedrijf. Hoe kan die kleine metaalverwerker iets geks op z’n laptop begrijpen als onderdeel van een grote hack?’ En soms moet een hacker niet bij jou zijn, maar ben je collateral damage.
Beveiliging tegen digitale bedrijfsspionage gaat in drie fasen, zegt Groenewegen. Je hebt preventieve maatregelen nodig (‘een goed slot’), detectie (alarmsystemen en camera’s), en respons (ontruimingsplan), alle drie even belangrijk. Soms besteden bedrijven tonnen aan preventie, ziet Groenewegen, maar dan heb je eigenlijk nog niks.
‘Vergelijk het met fysieke beveiliging bij bijvoorbeeld een vliegveld. De luchthaven heeft toegangscontrole, camera’s, hekken, sloten. Allemaal preventie en detectie. Maar als er iemand met een ladder echt wil, komt hij echt wel op de landingsbaan. Dus is het zaak dat je in actie komt, en van tevoren weet hoe. Bedrijven zouden hetzelfde moeten doen met hun digitale beveiliging.’ Groot probleem daarin is dat bedrijven het blijven zien als een IT-probleem, voegt hij eraan toe. ‘Maar de CEO is ook hier eindverantwoordelijke. Die moet steeds de vraag stellen: zijn we in control?’
Open source
Er zijn dagelijks nieuwe ontwikkelingen op het gebied van cybersecurity waar een bedrijf op moet anticiperen, zegt Groenewegen. Opnieuw een vliegveld als voorbeeld: ‘Met de komst van drones hadden luchthavens er een nieuwe dreiging bij waar ze op moesten kunnen reageren. Het is ook een sport voor hackers om onder de radar te kunnen hacken. Daarvoor gebruiken ze bijvoorbeeld open bronnen. Phishing is hierdoor bijvoorbeeld veel geraffineerder; op LinkedIn kan een hacker precies zien wie waar in welke functie werkt, en soms zelfs op welk project. Hij kan daardoor heel specifieke informatie sturen, zoals de prijzenlijst van een concurrent – steeds moeilijker te onderscheiden, waardoor het veel aannemelijker is voor iemand om erop te klikken.’
[tweet_dis]‘Diefstal is vaak niet eenmalig. Vaak blijk je bij een hack dermate interessant dat je je voor de toekomst moet blijven beschermen.’[/tweet_dis]
Het goede nieuws is dat Fox-IT door de onderzoeken die ze doen bij slachtoffers van dit soort hacks de laatste technieken van hackers leren, maar er zou nog veel meer bekend kunnen worden als bedrijven meer zouden delen. ‘Digitale bedrijfsspionage is een groot taboeonderwerp: veel slachtoffers willen er liever niet over praten. Ze vinden het lastig inschatten of het geen slechte publiciteit geeft, dat het lijkt of ze hun spullen niet op orde hebben of dat hun toeleveranciers het idee hebben dat ze kwetsbaar zijn.’ Terwijl het elk bedrijf kan overkomen, benadrukt Groenewegen opnieuw. Als bedrijven transparanter zouden zijn over hoe er gehackt is, welke verdachte mails er kwamen, welke andere signalen er waren, dan kan iedereen ervan kan leren.
En dan ben je er nog niet: ‘Diefstal is vaak niet eenmalig. Vaak blijk je bij een hack dermate interessant dat je je voor de toekomst moet blijven beschermen.’