Skip Navigation or Skip to Content

Dennis Slier ondersteunt slachtoffers van cybercrime

Pasfoto Dennis Slier

“Onderhandelen met cybercriminelen is soms een kwestie van tijdrekken”

Onderhandelen over de hoogte van het losgeld, ’s avonds laat worden gebeld door een bedrijf dat slachtoffer is van cybercrime of anoniem chatten met een hacker: het klinkt misschien spannend, maar voor Dennis Slier is dit aan de orde van de dag. Als commercieel directeur en project lead van het bedrijf Nederlands Forensisch Incident Response (NFIR) is hij de spil in de communicatie tussen de gehackte organisaties , het Computer Emergency Response Team van NFIR en de hackers.

Achter de schermen

De hack op onderwijsinstelling ROC Mondriaan in Den Haag was in augustus 2021 groot nieuws. Meer dan 20.000  leerlingen en 2100 medewerkers moesten het nieuwe schooljaar aangepast en met beperkte toegang tot systemen starten. Kranten en nieuwssites kopten zoal met ‘Grote hack bij ROC Mondriaan: computers plat en bestanden ontoegankelijk’ (RTL Nieuws 23 aug. 2021) en een paar weken later met ‘ROC Mondriaan weigert losgeld te betalen, hackers publiceren gevoelige gegevens’ (Algemeen Dagblad, 14 sept. 2021). Een maand na de hack werden er zelfs Kamervragen over gesteld. Geïnteresseerden konden via verschillende (nieuws)kanalen de ontwikkelingen over de hack op de voet volgen, maar wat er achter de schermen zich afspeelde wisten er maar weinig. Dennis Slier wist dat wél. Hij was onderdeel van het Incident Response Team, dat meteen in actie kwam toen ROC Mondriaan de hulp van NFIR inschakelde.

Onderhandelen met een cybercrimineel. Hoe werkt dat?

Wanneer er sprake is van ransomware, zoals het geval was bij de hack op ROC Mondriaan, versleutelen de hackers belangrijke gegevens en/of systemen. De eigenaar kan deze pas terugkrijgen als ze het losgeld hebben betaald. Dennis onderhandelt namens het bedrijf dat slachtoffer is met de cybercriminelen. Dat doen ze soms via een chatbox op het darkweb, maar Dennis spreekt de criminelen soms ook telefonisch. De gesprekken gaan over onder meer de hoogte van het losgeld, of tenminste, dat denken de criminelen. “Vaak onderhandelen we om tijd te rekken en dader informatie te vergaren. Zo hebben we meer tijd om triage uit te voeren, te onderzoeken welke data gelekt is en te bepalen of de back-ups volledig en bruikbaar zijn”, vertelt Dennis. Het komt natuurlijk ook voor dat er wel echt wordt onderhandeld om de hoogte van het losgeldbedrag. “In principe zijn wij tegen het betalen van losgeld omdat we het verdienmodel van de criminelen niet in stand willen houden. Maar soms kan het slachtoffer niet anders dan betalen, zeker wanneer een bedrijf geen recente en/of bruikbare back-up heeft en de bedrijfscontinuïteit in gevaar is.”

Cruciale denkfout

Incident response en Digitaal Forensisch Onderzoek, waarbij specialisten van NFIR onder meer getroffen netwerken herstellen, onderzoeken of er sprake is van een datalek, wie de mogelijke dader is en wélke informatie gelekt is, zijn twee van de diensten die NFIR biedt aan ondernemers. Beide diensten zijn gericht op het herstellen van de systemen, het beperken van de schade en onderzoek doen naar de impact van een hack. Maar ook biedt NFIR preventieve diensten. “Zo voeren we penetratietesten uit”, vertelt Dennis. “We noemen deze ook wel pentesten. We onderzoeken in opdracht van een organisatie hoe het is gesteld met de technische weerbaarheid en de effectieve werking van de IT-Security, bijvoorbeeld een netwerk of (web)applicaties.” Eventuele ‘gaten’ die onderzoekers vinden leggen ze vast in een rapportage. Ook benoemen ze maatregelen die genomen kunnen worden om ervoor te zorgen dat hackers geen misbruik kunnen maken van gevonden kwetsbaarheden. “Het beste zou zijn om zo’n pentest minimaal één keer per jaar te laten uitvoeren omdat het een momentopname is, maar er zijn helaas weinig ondernemers die dit jaarlijks laten doen. Het is natuurlijk kostbaar, maar ook onderschatten veel ondernemers de impact van een hack of onderschatten ze de kans op een hack. Ze maken vaak een denkfout: het gaat er niet om hoe waardevol de data is voor de cybercrimineel, maar hoe waardevol de continuïteit van het bedrijf is.”

Legale en illegale praktijken van medewerkers

De resultaten van zo’n pentest is waardevolle informatie voor het betreffende bedrijf, maar ook voor cybercriminelen. Er verschijnen regelmatig verhalen in het nieuws dat een ethisch hacker of medewerker van een cybersecuritybedrijf naast legale praktijken zich óók nog bezig houdt met illegale praktijken. Kan je dit als cybersecuritybedrijf voorkomen? Dennis: “Nooit helemaal maar al onze medewerkers worden gescreend door de afdeling Korpscheftaken van het district Haaglanden. Dit hield onder meer in dat er werd onderzocht of ze vrij zijn van strafbare feiten in de afgelopen acht jaar.” Ook nadat een medewerker is aangenomen blijft betrouwbaarheid ‘top of mind’. “We voeren periodiek integriteitsgesprekken met een oud-politierechercheur”, vertelt Dennis. “Het blijft altijd prioriteit.”

Makkelijke maatregelen

Zo’n pentest laten uitvoeren, waar NFIR overigens voor gecertificeerd is door het Centrum voor Criminaliteitspreventie en Veiligheid (het CCV), is erg relevant voor middelgrote en grote bedrijven en ook voor kleinere bedrijven die met veel verschillende systemen en online werken. Voor een gemiddelde groenteboer, zelfstandige stratemaker of een kleine kookstudio is het uitvoeren van zo’n pentest wellicht te kostbaar. Daarnaast is het volgens Dennis ook helemaal niet zo moeilijk om de risico’s door zelf maatregelen te nemen al flink te verkleinen. “Zo’n 70% van de incidenten is te voorkomen door tweefactorauthenticatie aan te zetten”, vertelt Dennis. “Dat is écht de belangrijkste tip. Je vindt die functie bijvoorbeeld in Microsoft365 (e-mail, OneDrive, SharePoint), veel webapplicaties en ook Social Media accounts als Facebook en Whatsapp. Bijna alle andere applicaties bieden dit aan, alleen staat deze functie bijna nooit automatisch aan. Zet het dus aan! Dat scheelt zo veel ellende.”

Vier tips van Dennis om te voorkomen dat jij slachtoffer wordt van cybercrime.

1. Tweefactorauthenticatie. Zet bij zoveel mogelijk programma’s en apps die je gebruikt tweefactorauthenticatie aan.
2. Updates uitvoeren. Voer updates van software en/of programma’s die je gebruikt altijd zo snel mogelijk uit. De kans bestaat dat de ontwikkelaar een belangrijke fout heeft ontdekt in het programma waardoor cybercriminelen gemakkelijk het systeem binnen konden komen. Een update ‘dicht’ dit gat.
3. Maak back-ups én test deze periodiek. Het komt regelmatig voor dat een bedrijf wel een back-up maakt, maar dat deze niet bruikbaar en/of volledig blijkt te zijn. Controleer dus periodiek of het maken van deze back-up goed is gegaan en echt bruikbaar is (recovery test).
4. Train je personeel op cyber bewustzijn. Personeel veilig online laten werken heeft niet enkel te maken met kennis, bijvoorbeeld weten hoe je een phishingmailtje herkent. Het gaat ook om kritisch durven zijn. “Mensen zijn van nature geneigd anderen te helpen”, zegt Dennis. “Maar leer personeel aan kritisch te zijn en dat ze dit ook mógen zijn ten behoeve van de informatiebeveiliging.”