De Nederlandse privacywaakhond ontving vorig jaar gemiddeld 65 meldingen van datalekken per dag, meldde dagblad Trouw onlangs. De hacker en andere criminelen zijn meer dan ooit actief. En hoewel de hoeveelheid cyberaanvallen bepaald niet afneemt, blijven veel bedrijven naïf op het gebied van data- en IT-security. Ze doen ’s avonds het rolluik dicht, hebben een inbraakalarm en zijn verzekerd tegen diefstal van goederen. Maar blijven ervan overtuigd dat ze voor cybercriminelen niet interessant zijn.
Dit is het sombere beeld dat Shelton Newsham schetst over de actuele houding van organisaties als het om IT-bedreigingen gaat. Natuurlijk, als oprichter van een Newsham Business Solutions, een consultancybureau op het gebied van cybersecruity, preekt Newsham voor eigen parochie. Maar met kennis van zaken, want hij leidde lang de cyber-beveiligingsunits van verschillende Britse politiekorpsen.
Puber op zolderkamer
Elke agent weet dat je boeven vangt en tegenhoudt door je te verdiepen in hun karakter. “Zo is het bij cybercrimininelen ook”, is de overtuiging van Newsham. “En grofweg klopt het beeld van de puber die op zijn zolderkamer belangrijke instanties kan hacken. Dat is voor veel ondernemingen een lastig te vatten beeld.”
In zijn tijd bij de politie probeerden Newsham en zijn collega’s dergelijke jongens, die als negenjarige vaak al een obsessie hadden met het darkweb, te beïnvloeden. “Het begint als een experiment bij hen, en in die fase kunnen ze ook nog kiezen voor een rol als ethisch hacker”, zegt Newsham in Computing. Het geeft volgens de consultant deze kinderen een kick als ze merken hoe eenvoudig cruciale sytemen te kraken zijn. Pas in een latere fase vallen ze voor de aanbiedingen van criminelen.
Internationale keten
Vanaf dat moment klopt het beeld van de eenzamer hacker niet meer. Cybercriminaliteit heeft zich ontwikkeld tot een internationale hooggespecialiseerde toeleveringsketen vol services, constateert Marijn Schuurbiers die als teamleider high tech crime bij de nationale politie vanuit het zelfde perspectief kan spreken als zijn Britse collega. In het FD zegt Schuurbiers dat individuele cybercriminelen nog slechts een schakel in een keten vormen. Wat betreft is er nauwelijks verschil met bijvoorbeeld drugskartels.
Het gaat er, volgens Newham om, twee zaken serieus te nemen. De beginnende hacker die op zijn kamer achter de computer zit, contact heeft die het web terwijl zijn ouders televisiekijken. Die puber kickt op zijn of haar eerste succes, zoals een andere jonge crimineel trots is op zijn eerste auto-inbraak. Trots en verbaast dat het zo simpel is assets te ontvreemden.
En dat is de tweede zaak om serieus te nemen. Elke onderneming is te hacken. Elke onderneming is ook interssant voor de jonge hacker. Al was het maar om het handwerk te oefenen en als jonge hacker ervaring op te doen.
