Hacker en CTO van cybersecuritybedrijf Zerocopter
Edwin van Andel
CYBERVEILIGHEID
Voor bedrijven is veilig online werken essentieel, vooral nu cyberaanvallen steeds geraffineerder worden. Edwin van Andel, ethisch hacker en CTO van cybersecuritybedrijf Zerocopter, gaat in op de huidige dreigingen voor administratie- en accountantskantoren. Van multifactorauthenticatie (MFA) tot het maken van een gedegen actieplan: Edwin deelt praktische tips om uw bedrijf te beschermen.
TEKST Marjolijne van der Ven
FOTOGRAFIE Paoline Kruijssen
“Maak een plan. Veel bedrijven reageren pas als het te laat is en raken dan in paniek.”
“Hoe meer barrières u opwerpt, hoe groter de kans dat criminelen naar een makkelijker doelwit overstappen.”
“Begin met het beveiligen van de kernsystemen die de belangrijkste processen van uw bedrijf ondersteunen.”
< Naar vorig artikel
Naar volgend artikel >
“Veel bedrijven denken nog steeds: ‘Ik ben niet interessant voor cybercriminelen.’ Dat is een grote misvatting.”
Welke stappen kunnen kantoren nog meer nemen?
“Updates van uw systemen zijn cruciaal. Veel bedrijven stellen updates uit omdat ze tijd kosten of omdat ze bang zijn dat een systeem na een update niet meer goed werkt. Maar updates dichten beveiligingslekken. Cybercriminelen analyseren updates om te ontdekken wat er precies is gefixt. Als u die updates niet installeert, maken ze daar gebruik van. Gebruik lange wachtwoorden of wachtwoordzinnen, in combinatie met MFA. Het toevoegen van een extra beveiligingslaag maakt het moeilijker om binnen te komen. MFA zou eigenlijk standaard moeten zijn bij elk bedrijf. Zorg daarnaast voor back-ups, fysieke beveiliging en beperk de toegang tot uw netwerk. Hoe meer barrières u opwerpt, hoe groter de kans dat criminelen naar een makkelijker doelwit overstappen.”
Hoe kunnen bedrijven zich voorbereiden op een cyberaanval? “Maak een plan. Veel bedrijven reageren pas als het te laat is en raken dan in paniek. Bespreek met uw team wat er moet gebeuren als u wordt gehackt. Wie moet u bellen? Wat is de eerste stap? Moet u de stekker eruit trekken? Zet dit allemaal in een document, print het uit en hang het bij de koffieautomaat. Zo weet iedereen wat te doen als het misgaat. Dit kan u enorm veel tijd en stress besparen.”
Kunt u een voorbeeld geven van iets wat bedrijven soms over het hoofd zien?
“Een klant had een serverruimte met een stalen deur en vier sloten. De beveiliging leek op orde, maar boven de deur zat een systeemplafond. Via dat plafond kon ik zo naar binnen. Fysieke beveiliging wordt soms over het hoofd gezien, terwijl het van vitaal belang is.”
Waar kunnen administratie- en accountantskantoren mee beginnen?
“Het is lastig om alles te testen, dus kijk naar uw kroonjuwelen. Welke processen zorgen dat uw bedrijf blijft draaien? Begin met het beveiligen van de kernsystemen die de belangrijkste processen van uw bedrijf ondersteunen. Scheid cruciale systemen van de rest van het netwerk en beveilig die afzonderlijk. Veel bedrijven richten zich eerst op het beveiligen van de buitenkant van het hele netwerk, maar dat is de verkeerde volgorde. Begin van binnenuit. Maak daarnaast wekelijks back-ups van essentiële data en bewaar die niet op hetzelfde netwerk. Als u dan wordt gehackt, bent u zo snel mogelijk weer in de lucht.”
Wat zijn de belangrijkste cyberdreigingen voor mkb’ers en administratie- en accountantskantoren?
“Ransomware blijft de grootste dreiging op dit moment. Kwaadwillenden dringen binnen en versleutelen gegevens. Veel bedrijven denken nog steeds: ‘Ik ben niet interessant voor cybercriminelen.’ Dat is een grote misvatting. Cybercriminelen scannen massaal systemen en proberen in te breken, ongeacht de grootte van het bedrijf. Wanneer ze eenmaal binnen zijn, kijken ze pas of het een groot of klein bedrijf betreft en daarop passen ze de bedragen aan om gegevens weer vrij te geven.”
Hoe ziet u de toekomst van cybercriminaliteit?
“Criminelen zetten steeds meer AI in om sneller en gerichter aan te vallen. Dit betekent niet per se dat de aanvallen beter zijn, maar wel dat ze vaker voorkomen. Administratie- en accountantskantoren moeten vooral alert blijven op de risico’s van data delen. Denk goed na voordat u gevoelige informatie zomaar uploadt naar een AI-dienst.”
Wat zijn veelvoorkomende zwakke plekken als het gaat om cybersecurity?
“Verouderde of vergeten systemen, zoals oude modems, zijn veelvoorkomende zwakke plekken. Denk aan een printer of beamer die aangesloten is op het netwerk met een kabel, maar waarbij de wifi nog aan staat. Als ik daarop van buiten kan inloggen, dan zit ik op het netwerk. En vergeet vooral social engineering niet: hackers maken gebruik van menselijke fouten om binnen te komen. Veel phishing-mails zijn tegenwoordig niet van echt te onderscheiden. Soms staat in zo’n mail ook een speciale code waarmee u moet inloggen. Zo’n extra code om in te loggen, geeft het gevoel dat het extra veilig is. Een psychologisch spelletje.”
Welke rol speelt hacken in uw leven en bent u nog steeds actief als hacker?
“Mijn interesse in computers begon toen mijn vader zijn eerste computer mee naar huis nam. Ik leerde programmeren en ontdekte al snel hoe systemen werken. Via hackersnetwerken raakte ik betrokken bij cybersecurity en zo kwam ik uiteindelijk terecht bij Zerocopter. Ik hack nog steeds en mijn band met de hackercommunity blijft een belangrijke drijfveer. Bij Zerocopter helpen we bedrijven door met ethische hackers kwetsbaarheden op te sporen en te rapporteren. Daarnaast begeleid ik samen met de ‘Guild of the Grumpy Old Hackers’ jonge hackers om hen het belang van ethisch hacken bij te brengen. Uiteindelijk proberen we een veilige samenleving door een veiliger internet te creëren.”
Wat maakt uw perspectief als hacker zo waardevol voor bedrijven?
“Hackers zijn van nature nieuwsgierig. We kijken altijd naar wat er meer mogelijk is met een systeem dan waarvoor het bedoeld is. Deze manier van denken laat zien dat, zelfs met de beste beveiliging, er altijd zwakke plekken blijven. Dit kan frustrerend zijn, maar het is de realiteit: er bestaat geen 100 procent veiligheid. Het gaat erom dat continu gezocht moet worden naar verbeterpunten en dat het essentieel is systemen voortdurend te optimaliseren.”
Hacker en CTO van cybersecuritybedrijf Zerocopter
Edwin van Andel
TEKST Marjolijne van der Ven
FOTOGRAFIE Paoline Kruijssen
Voor bedrijven is veilig online werken essentieel, vooral nu cyberaanvallen steeds geraffineerder worden. Edwin van Andel, ethisch hacker en CTO van cybersecuritybedrijf Zerocopter, gaat in op de huidige dreigingen voor administratie- en accountantskantoren. Van multifactorauthenticatie (MFA) tot het maken van een gedegen actieplan: Edwin deelt praktische tips om uw bedrijf te beschermen.
CYBERVEILIGHEID
“Maak een plan. Veel bedrijven reageren pas als het te laat is en raken dan in paniek.”
Welke stappen kunnen kantoren nog meer nemen?
“Updates van uw systemen zijn cruciaal. Veel bedrijven stellen updates uit omdat ze tijd kosten of omdat ze bang zijn dat een systeem na een update niet meer goed werkt. Maar updates dichten beveiligingslekken. Cybercriminelen analyseren updates om te ontdekken wat er precies is gefixt. Als u die updates niet installeert, maken ze daar gebruik van. Gebruik lange wachtwoorden of wachtwoordzinnen, in combinatie met MFA. Het toevoegen van een extra beveiligingslaag maakt het moeilijker om binnen te komen. MFA zou eigenlijk standaard moeten zijn bij elk bedrijf. Zorg daarnaast voor back-ups, fysieke beveiliging en beperk de toegang tot uw netwerk. Hoe meer barrières u opwerpt, hoe groter de kans dat criminelen naar een makkelijker doelwit overstappen.”
Hoe kunnen bedrijven zich voorbereiden op een cyberaanval? “Maak een plan. Veel bedrijven reageren pas als het te laat is en raken dan in paniek. Bespreek met uw team wat er moet gebeuren als u wordt gehackt. Wie moet u bellen? Wat is de eerste stap? Moet u de stekker eruit trekken? Zet dit allemaal in een document, print het uit en hang het bij de koffieautomaat. Zo weet iedereen wat te doen als het misgaat. Dit kan u enorm veel tijd en stress besparen.”
“Begin met het beveiligen van de kernsystemen die de belangrijkste processen van uw bedrijf ondersteunen.”
“Veel bedrijven denken nog steeds: ‘Ik ben niet interessant voor cybercriminelen.’ Dat is een grote misvatting.”
“Hoe meer barrières u opwerpt, hoe groter de kans dat criminelen naar een makkelijker doelwit overstappen.”
Kunt u een voorbeeld geven van iets wat bedrijven soms over het hoofd zien?
“Een klant had een serverruimte met een stalen deur en vier sloten. De beveiliging leek op orde, maar boven de deur zat een systeemplafond. Via dat plafond kon ik zo naar binnen. Fysieke beveiliging wordt soms over het hoofd gezien, terwijl het van vitaal belang is.”
Waar kunnen administratie- en accountantskantoren mee beginnen?
“Het is lastig om alles te testen, dus kijk naar uw kroonjuwelen. Welke processen zorgen dat uw bedrijf blijft draaien? Begin met het beveiligen van de kernsystemen die de belangrijkste processen van uw bedrijf ondersteunen. Scheid cruciale systemen van de rest van het netwerk en beveilig die afzonderlijk. Veel bedrijven richten zich eerst op het beveiligen van de buitenkant van het hele netwerk, maar dat is de verkeerde volgorde. Begin van binnenuit. Maak daarnaast wekelijks back-ups van essentiële data en bewaar die niet op hetzelfde netwerk. Als u dan wordt gehackt, bent u zo snel mogelijk weer in de lucht.”
Wat zijn de belangrijkste cyberdreigingen voor mkb’ers en administratie- en accountantskantoren?
“Ransomware blijft de grootste dreiging op dit moment. Kwaadwillenden dringen binnen en versleutelen gegevens. Veel bedrijven denken nog steeds: ‘Ik ben niet interessant voor cybercriminelen.’ Dat is een grote misvatting. Cybercriminelen scannen massaal systemen en proberen in te breken, ongeacht de grootte van het bedrijf. Wanneer ze eenmaal binnen zijn, kijken ze pas of het een groot of klein bedrijf betreft en daarop passen ze de bedragen aan om gegevens weer vrij te geven.”
Hoe ziet u de toekomst van cybercriminaliteit?
“Criminelen zetten steeds meer AI in om sneller en gerichter aan te vallen. Dit betekent niet per se dat de aanvallen beter zijn, maar wel dat ze vaker voorkomen. Administratie- en accountantskantoren moeten vooral alert blijven op de risico’s van data delen. Denk goed na voordat u gevoelige informatie zomaar uploadt naar een AI-dienst.”
Wat zijn veelvoorkomende zwakke plekken als het gaat om cybersecurity?
“Verouderde of vergeten systemen, zoals oude modems, zijn veelvoorkomende zwakke plekken. Denk aan een printer of beamer die aangesloten is op het netwerk met een kabel, maar waarbij de wifi nog aan staat. Als ik daarop van buiten kan inloggen, dan zit ik op het netwerk. En vergeet vooral social engineering niet: hackers maken gebruik van menselijke fouten om binnen te komen. Veel phishing-mails zijn tegenwoordig niet van echt te onderscheiden. Soms staat in zo’n mail ook een speciale code waarmee u moet inloggen. Zo’n extra code om in te loggen, geeft het gevoel dat het extra veilig is. Een psychologisch spelletje.”
Welke rol speelt hacken in uw leven en bent u nog steeds actief als hacker?
“Mijn interesse in computers begon toen mijn vader zijn eerste computer mee naar huis nam. Ik leerde programmeren en ontdekte al snel hoe systemen werken. Via hackersnetwerken raakte ik betrokken bij cybersecurity en zo kwam ik uiteindelijk terecht bij Zerocopter. Ik hack nog steeds en mijn band met de hackercommunity blijft een belangrijke drijfveer. Bij Zerocopter helpen we bedrijven door met ethische hackers kwetsbaarheden op te sporen en te rapporteren. Daarnaast begeleid ik samen met de ‘Guild of the Grumpy Old Hackers’ jonge hackers om hen het belang van ethisch hacken bij te brengen. Uiteindelijk proberen we een veilige samenleving door een veiliger internet te creëren.”
Wat maakt uw perspectief als hacker zo waardevol voor bedrijven?
“Hackers zijn van nature nieuwsgierig. We kijken altijd naar wat er meer mogelijk is met een systeem dan waarvoor het bedoeld is. Deze manier van denken laat zien dat, zelfs met de beste beveiliging, er altijd zwakke plekken blijven. Dit kan frustrerend zijn, maar het is de realiteit: er bestaat geen 100 procent veiligheid. Het gaat erom dat continu gezocht moet worden naar verbeterpunten en dat het essentieel is systemen voortdurend te optimaliseren.”