“Onlangs probeerde een cybercrimineel via een telefoon van een collega bij ons binnen te dringen. Dat was zelfs een telefoon van Apple, iedereen denkt dat die 100% beveiligd zijn. Je zult ervan staan te kijken hoe makkelijk het is om apparaten op afstand over te nemen. Tegenwoordig hangt elke babyfoon in de ‘cloud’, liefst draadloos als het aan de ouders ligt. De hackers vinden het prima.”
Mike Reuser is cybercrime-specialist bij Dataverzekering.nl, hij gaat verder dan het verkopen van verzekeringen: “Wij zijn alleen verantwoordelijk voor de verzekering tegen cybercrime, maar we adviseren natuurlijk ook over preventie. Daarbij gaat het naast de verzekering om preventie bij systemen en preventie bij de mens.”
Hoe kun je preventie van cybercrime regelen in de systemen?
“Er zijn bedrijven gespecialiseerd in signaleringssystemen, zoals Triple P en SecureMe2.
Ze bouwen voor jou een dashboard dat een signaal geeft als er iets vreemds in het systeem gebeurt, zoals een datalek of hack. Het systeem scant continu de bedrijfsapparatuur en aangesloten devices. Als er een signaal komt moet je zo snel mogelijk een analyse kunnen maken, waarop je kunt handelen. Volgens de privacywet moet je binnen 72 uur een melding doen en dan moet je ook weten wat er aan de hand is. Je moet dan weten welke data ontbreekt, vooral als dat privacygevoelig is.”
“We bieden ook een ‘pentest’ aan, veel bedrijven vinden dat wel spannend. Een zogenaamde ethical hacker probeert dan bij hen in te breken en zet alle zwakke plekken in een rapport. Er zit ook altijd een spannend element aan vast, het idee dat ze zich laten hacken. De klant moet na de test natuurlijk in gesprek met zijn IT-leverancier, omdat er bepaalde poorten open staan bijvoorbeeld.”
En hoe kun je preventie van cybercrime regelen via de mens?
“Dat is een heel andere aanpak, ze noemen dat ook wel preventiediensten. Onze partner Hiscox heeft bijvoorbeeld een ‘academy’ waarmee ze medewerkers opleiden. In de academy zitten diverse leermodules die je leren de cybercrimineel en zijn werkwijze te herkennen. Het is een continu programma, ze werken ook met certificaten.”
“De mens is de zwakste plek in de bescherming”
“De academy is gratis, sterker nog: je betaalt een lager eigen risico naarmate meer medewerkers deze opleiding volgen. Zo proberen we samen met de ondernemer en de werknemers een menselijke firewall te bouwen. De mens is de zwakste plek in de bescherming, tijdens de opleiding blijkt ook wel hoe belangrijk preventie is.”
Wat kun je nog meer doen aan de preventie van cybercrime?
“Je kunt scans kopen, bijvoorbeeld een IT-scan van je algemene voorwaarden of AVG-checks voor je privacybeleid. Die scans en preventiesystemen vind ik heel belangrijk, het snel kunnen signaleren van een cybercrimineel zou volgens mij verplicht moeten zijn.”
“Zonder dit soort systemen kan een crimineel een paar maanden rondwandelen in je computersysteem en kennis opdoen. Zo’n beveiligingssysteem ziet vreemd gedrag, bijvoorbeeld internationale IP-adressen of andere onregelmatigheden. Vaak is het vals alarm, maar soms is het raak.”
Wat doen jullie verder aan de preventie van cybercrime?
“We moeten ons realiseren dat de verzekering slechts één onderdeel is in de preventie van cybercrime. Daarom hebben we ‘Henk de Hacker’ geïntroduceerd, waarmee we op een ludieke manier proberen mensen bewust te maken van de gevaren. De overheid heeft een vergelijkbaar figuur geïntroduceerd: ‘Hobbyhacker Hans’. Je kunt zo op een leuke manier het onderwerp aan de kaak stellen.”
“We gaan bij T&W veel verder dan verzekeren, je moet wel wat méér aanbieden en mensen bewust maken. Als je thuis het gas open laat staan weet je dat je brand krijgt, dat bewustzijn moet ook bij cybercrime komen. Je moet vooral de mensen trainen, dat is het belangrijkst. Daar gaat het meestal verkeerd.”