De risico’s van internet­criminaliteit in de uitzend­branche

Een uitzendbureau in Noord-Holland werd recentelijk slachtoffer van een cyberaanval. Via een hack werden gegevens gestolen. En de hackers lekten de gestolen gegevens waarschijnlijk op het dark web. Mogelijk zaten daar ook burgerservice­nummers en bankrekening­nummers bij. Zulke cyberincidenten komen regelmatig voor, en ook nieuwsredacties besteden veel aandacht aan aanvallen met ransomware (ook wel gijzel­software genoemd). En steeds vaker zijn bedrijven uit het mkb slachtoffer. Vaak zijn er in deze organisaties geen aparte afdelingen die zich richten op cyberveiligheid en cybersecurity. Ook zijn de budgetten voor goede bevei­liging kleiner.

U kunt op veel verschillende manieren met ransomware of gijzelsoftware te maken krijgen. Soms komt het uw systemen binnen via een virus. De gijzel­software kan bijvoorbeeld worden geïnstalleerd als iemand klikt op een onbetrouwbare link op het internet. Of via een bijlage in een phishing-e-mail. De gijzelsoftware wordt vervolgens actief en versleutelt de bedrijfsdata en systemen waar het toegang toe krijgt. E-mails, documenten, adres­bestanden, noem maar op. Die worden daardoor ontoegankelijk zonder een digitale sleutel. En die is in handen van de criminelen. Daardoor kan een getroffen organisatie helemaal stil komen te liggen.

Hackers die ransomware inzetten eisen losgeld voor de sleutel om bestanden weer bruikbaar te maken. Voor ondernemers een ingewikkeld dilemma. Het is namelijk niet zeker of ze de sleutel na betaling wel krijgen. Daarom proberen bedrijven het cyberincident ook regelmatig op te lossen door zelf de hulp van een IT-leverancier in te schakelen. Maar dat is erg ingewikkeld, en bedrijven liggen soms wel weken stil. Dan kan zelfs een faillissement dichtbij komen. 

Stel: een medewerker krijgt een e-mail van u als eigenaar of een van uw leidinggevenden. Daarin vraagt u om met spoed geld over te maken naar een bedrijf. Het bedrag en rekeningnummer staan er al bij. Alleen, u heeft die e-mail nooit geschreven. Natuurlijk hoopt u dat uw medewerkers in zo’n geval navraag doen en niet direct in actie komen. Zeker als het verzoek op een andere manier wordt gedaan dan normaal gesproken het geval is. Toch zijn er voorbeelden bekend van bedrijven waarbij medewerkers –met goede bedoelingen– ingaan op het verzoek en bedragen overmaken. Achteraf blijkt de e-mail helemaal niet van de baas, maar van criminelen. Deze vorm van digitale oplichting heet CEO-fraude.

Uit onderzoek blijkt bovendien dat een gemiddeld bedrijf per jaar maar liefst 700 keer te maken krijgt met een poging tot social engineering. Daarbij gaat het niet alleen om CEO-fraude. Ook andere vormen van phishing vallen daaronder. Bijvoorbeeld e-mails die zogenaamd van de bank of van een leverancier afkomstig zijn. In ons artikel over preventie van cybercriminaliteit leggen we uit wat u kunt doen om de risico’s te beperken.