Cybercrime en het effect op de vastgoedsector

Een diepte-interview met Jack Zuidweg MSV, Sr. Adviseur Risicomanagement en Zakelijke Schadeverzekeringen | Kennispartner Vastgoed, Woningcorporaties en VvE bij Centraal Beheer (Achmea) omtrent cybercrime en wat dit betekent voor de vastgoedbranche.

Jack, wat fijn om verder met jou te spreken over actuele ontwikkelingen. Nieuws omtrent aan-en verkopen in de residentiële markt bereiken ons, net als het verontrustende nieuws omtrent PAS, iedere dag. Details omtrent cybercrime in de vastgoedsector komen nauwelijks naar voren. Hoe komt dat?

Jack reageert:” Het is logisch dat hier weinig over gedeeld wordt, organisaties wensen niet dat het bekend wordt als op dit gebied iets negatiefs gebeurt. Echter, de dreiging van cybercriminaliteit is reëel en helaas relatief snel uitgegroeid tot een dagelijkse realiteit. Zeker voor kleinere bedrijven, die in toenemende mate een hot target blijken te zijn voor cyberaanvallen”.

Jack pauzeert en legt uit:” Het is van doorslaggevend belang te ontdekken hoe concreet de dreiging is en natuurlijk welke stappen je kunt nemen om je organisatie te beschermen”. Hij vervolgt:” De vrijwel volledige afhankelijkheid van digitalisering heeft digitale veiligheid essentieel gemaakt, dat beseffen we wel, maar we staan er meestal niet bij stil. Door het vrijwel volledig verdwijnen van analoge alternatieven is de afhankelijkheid van ons digitale netwerk groot geworden”.

Hoe concreet is de dreiging van cybercrime – aanvallen?

“Het is bijzonder concreet”, herhaalt Jack. “Zonder ongerustheid te willen veroorzaken is het belangrijk te realiseren dat het met regelmaat gebeurt.” Jack verduidelijkt:” Per definitie zijn cybercriminaliteit- misdrijven gericht op de bedrijfsfunctie van computers”. Na een korte pauze:” Denk aan bijvoorbeeld aan online fraude of identiteitsdiefstal. Dit zijn cybercrimes die meer voorkomen dan je vermoedt. Zo ook hacking, online zwendel en fraude, aanvallen op computersystemen en illegale of verboden online-inhoud”.

Ernstig:” Een heftige inbreuk dus die zelfs kan leiden tot diefstal of corruptie van je bedrijfsgegevens”. Verduidelijkend: ”Virussen of malware infecteren het systeem of zorgen voor denial of service. Hierdoor wordt het systeem (tijdelijk) onbruikbaar totdat bijvoorbeeld losgeld is betaald”.

In welke mate heeft de vastgoedsector hier ook concreet mee te maken?

Stellig:” Het is de beschikbare persoonlijke informatie die vastgoed als sector kwetsbaar kan maken. Assetmanagers, makelaars, beheerders en financierders beschikken natuurlijk over een aanzienlijke hoeveelheid vertrouwelijke, persoonlijk identificeerbare informatie. Denk aan persoonsnamen, geboortedata, adressen, paspoort- of rijbewijsgegevens, bankrekening-, creditcard- en bankpasnummers. In sommige omstandigheden ook kredietrapporten, datarooms en natuurlijk toegangscodes. Exact de informatie waar cybercriminelen naar op zoek zijn en de reden waarom organisaties het doelwit kunnen zijn van hack, phishingmail of virus”.

Hoe kunnen we ons hiertegen wapenen lijkt een logische vraag. Hoe zorgen we voor de gewenste veiligheid?

Jack knikt:” Er is inderdaad een duidelijke behoefte aan veiligheid. We vertrouwen natuurlijk allemaal op onze computers, laptops en mobiele apparaten die vertrouwelijke informatie bevatten”. Uitleggend:” Voor ons is het inmiddels helder dat vrijwel alle bedrijven en organisaties een potentieel doelwit van cybercriminelen kunnen zijn. Daar zit nauwelijks willekeur tussen, het strekt zich uit van overheden en grote multinationals tot kleine MKB’ers”.

Jack pauzeert en vervolgt: ”Criminelen zijn geïnteresseerd in intellectueel eigendom of privacygevoelige persoonsgegevens. Er is namelijk echt veel wat er dreigt als het gaat om cyber crime. Om een paar voorbeelden te noemen: (Jack somt op)” Het virus dat je pc verstoort kennen we allemaal, maar wist je dat het ook je-mailprogramma kan gebruiken om zichzelf te verspreiden of zelfs je hele harde schijf kan wissen? Dan is er Malware, een verzamelnaam voor alle software met een opzettelijk kwaadaardige werking. Of phishing mail, waarmee door criminelen naar informatie wordt gehengeld. Dit gebeurt bijvoorbeeld veel via bank informatie die fouttief verstrekt wordt”.

Jack verstrakt:”Veel dus. Dan is er ransomware, een computervirus dat losgeld vraagt en je pc kaapt. Helaas geeft betalen geen enkele garantie dat je computer weer bevrijd wordt. Wij kennen ook botnets, netwerken van pc’s die besmet zijn en waarmee spam verstuurd wordt. Er is ook cryptojacking. Hiermee trachten criminelen cryptogeld binnen te krijgen door in te breken in zoveel mogelijk wifi-netwerken. Netwerken worden besmet met malware”.

Een korte knik.” Ernstig is ook de pinpasfraude waarmee door middel van misleiding persoonlijke gegevens worden vertrekt via social media. Het erge is, dat het via een persoonlijke rekening verloopt. Dan is er nog helpdeskfraude. Hierbij wordt er via bijvoorbeeld Bangladesh of Vietnam ingebeld alsof men vanuit een helpdesk belt. Gevaarlijk, want men geeft aan namens een groot bedrijf te spreken en men dient geld over te maken om het virus te laten verdwijnen.

Wanneer men meewerkt, krijgt de crimineel toegang tot de pc met alle ellende vandien. Ook behoorlijk dramatisch is de identiteitsfraude waarbij men een persoonlijke identiteit overneemt en men vanuit de persoon bestellingen en inkopen doet, met persoonlijke bankgegevens. Buiten hacking, waarbij men inbreekt in het netwerk, en internetoplichting via scam en malafide ticketsites is er dan ook nog distributed denial-of-service (DDoS)-aanvallen, die als doel hebben een website plat te leggen door de server te overbelasten.

Dat klinkt bijzonder onaangenaam. Voordat we naar de oplossing gaan, die jij zeker hebt, horen er graag meer over.

Jack antwoordt: ”Natuurlijk zijn er oplossingen, maar we moeten echt alert zijn. Zelfs met de beste procedures is het duidelijk dat cybercriminelen intelligenter worden. Ook zij ontwikkelen zich en vinden steeds nieuwe geavanceerde manieren om toegang te krijgen tot de systemen”.

Zijn er bepaalde gradaties of fases waar je bij cyber crime aan moet denken?

Jack verduidelijkt: ”Bij cyber crime of cyber security onderscheiden wij vier fases. Denk aan preventie, detectie-, respons- en herstelmaatregelen”. Jack verhaalt:” Reeds 50% van de mkb-ondernemers heeft al te maken gehad met cyberincidenten, zoals een datalek of ransomware. Het is dus enorm belangrijk de digitale risico’s in kaart te brengen en daarmee inzage te krijgen in de oplossingen.”

Jack glimlacht: ”En ja, wij hebben natuurlijk ook cyberverzekeringen”. Hij vervolgt: ”Organisaties kijken vaak pas naar de preventies als ze al aangevallen zijn. Er zijn gelukkig echt veel tools die je direct toe kunt passen, waarmee je de kans op een aanval verkleint of zelfs verhinderd”.

Hulp dus bij het voorkomen van cyberincidenten?

“Inderdaad. We kennen allemaal het antivirus, iedereen heeft dat op de pc, laptop of server. Die licenties dienen dan wel actueel te zijn. Net zo bekend is de firewall. Ik zet het zelf altijd in mijn agenda, anders vergeet ik het waarschijnlijk, maar een back-up maken is ook echt belangrijk. Je externe geheugen vastleggen, zodat je er altijd weer bij kunt geeft een prettig gevoel en is nodig”.

Dat zijn vrij gangbare en bekende tools, welke zijn minder bekend?

“Denk bijvoorbeeld aan patch management, daarmee los je fouten in software op of breng je verbeteringen aan in bestaande softwareprogramma’s en hardware. Je kunt ook denken aan monitoring, waarbij je jouw ICT-omgeving continu in de gaten laat houden. En dan is er ook nog een hacktest die je uit kunt (laten) voeren, zodat je jouw onlinesysteem controleert op kwetsbaarheden”.

Jack vult aan:” Je moet het zien als inbrekers die aan het trachten zijn binnen te komen in jouw huis. Hoe beter jij jouw omgeving beschermt, hoe minder kans je hebt dat er ongewenste indringers binnen kunnen komen.”

Kun jij aangeven wat het meest effectief is, wanneer we spreken over beveiliging?

Een korte knik: ”Natuurlijk. Begin altijd met na te gaan welke bedrijfsinformatie onder geen enkele voorwaarde in de handen van vreemden terecht mag komen. Ga na welke privacygevoelige gegevens er op de diverse schijven staan. Check dan de veiligheid en bespreek deze met de IT mensen binnen jouw organisatie. Dit lijkt logisch, maar wordt toch vaak overgeslagen in de drukte van alledag.

Check of er back-ups worden gedraaid en wordt er gebruik gemaakt van de juiste antivirussoftware? Nogmaals, allemaal logisch en essentieel maar belangrijk om door te voeren. Optimaliseer bijvoorbeeld de beveiligingsinstellingen door buiten een inlogcode en wachtwoord ook om een code te laten vragen. Check dan meteen ook de dagelijkse inloggegevens, hackers laten namelijk ook sporen achter. Upgrade de beveiliging, zeker bij financiële transacties.

En…” Jack pauzeert even, “stem met medewerkers af hoe men de software gebruikt. Wordt altijd hetzelfde wachtwoord gebruikt, wordt ook ingelogd op het systeem vanaf onbeschermde servers? Allemaal details die hackers ongewenst toegang bieden”. Jack knikt:” Het is duidelijk en we weten het allemaal, het is wel echt belangrijk hier secuur mee om te gaan. Cyber security is complex. Specialisten weten exact hoe ze de veiligheid kunnen waarborgen. Deel deze informatie met de medewerkers, zodat de verantwoordelijkheid met elkaar gedragen wordt. Dat is ook belangrijk voor het geval er tóch iets gebeurd. Dan dient dit optimaal en helder gecommuniceerd te worden”.

We gaan hier nooit meer hetzelfde naar kijken! En wat als het toch misgaat en de pc vergrendeld is en er losgeld betaald moet worden?

Jack knikt: ”Dan moet je echt even Apeldoorn bellen. Wij hebben hier, vanwege de urgentie in zo’n geval echt specialisten voor die 24uur per dag, 7 dagen per week bereikbaar zijn. Die vertellen je direct dat je de pc niet uit moet zetten, om geen waardevolle informatie te kunnen verliezen. Als het moet, is er zelfs een team van juristen, PR-adviseurs en communicatiespecialisten die je verder kunnen helpen”.

Bevestigend:” Het belangrijkste is dus de preventie. Oppassen bij het openen van onbekende mails zodat hackers of een internetworm jouw gegevens niet op kunnen halen. Oppassen bij bellen via Whatsapp en realiseren dat storing en uitval van onze (informatie)systemen een dreiging kunnen vormen.”

Is de overheid zich hier ook van bewust en worden hier acties voor ingezet?

Jack knikt:” Jazeker. Op initiatief van Nederland wordt momenteel in EU-verband gekeken naar de invulling van minimale digitale veiligheidseisen. Cybersecuritycriteria wordt meegenomen in het landelijke inkoopbeleid om digitaal veilige producten en diensten op de markt te brengen”. Jack vervolgt: “Daarnaast kunnen we uitzien naar een IoT-veiligheidscampagne. Denk daarbij vooral aan apparaten die verbonden zijn met het internet, zoals zelfrijdende auto’s en intelligente thermostaten. Hoe meer techniek ons leven beïnvloed, hoe belangrijker het is dat we hier zorgvuldig mee omgaan. Denk bijvoorbeeld aan de malafide apps, die recent 25 miljoen Android-apparaten geïnfecteerd hebben.”

Veiligheid voor alles dus?

Jack beaamt:” Natuurlijk, vrijwel alle vitale processen en systemen zijn deels of volledig gedigitaliseerd. Jack pauzeert en vervolgt: ” We zijn vrijwel volledig afhankelijkheid geworden van digitalisering. Hiermee is onlosmakelijk verbonden dat digitale veiligheid essentieel is geworden”.

Communicatie blijft ook hierbij dus key?

Jack knikt:” Gevoelige informatie vraagt om vertrouwelijkheid, zoals bij inloggegevens van een dataroom. Communicatie is vooral belangrijk om helder te stellen wat er kan gebeuren, maar vooral hoe dit voorkomen kan worden. Roderick Vincent, zei daarover: In de onderwereld heeft de realiteit elastische eigenschappen die uitgerekt worden in verschillende definities van de waarheid.

Jack besluit:” Als ik voor onszelf spreek zou ik zeggen, om de propositie volledig aan te bieden en de beste resultaten te realiseren is het van belang te werken van Cyber Assessment (voorkant, analyse van hoe cyber secure een organisatie is) naar Preventieve Diensten, ter voorkoming van cyber crime naar hersteldienst bij calamiteiten”.

Enigsinds gerustgesteld sluiten wij ons daar geheel bij aan.

 

 

 

 

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.