TEKST Jonneke Duin
FOTOGRAFIE Arda

De mens als laatste verdegingslinie tegen cybercrime

Co-founder Arda

Henri Koppen

CYBERVEILIGHEID

Cyberveiligheid vereist constante alertheid, zeker bij boekhouders en accountants. Als accountant werkt u dagelijks met vertrouwelijke klantgegevens die aantrekkelijk zijn voor cybercriminelen. En die criminelen worden steeds slimmer. Arda helpt bedrijven hun digitale weerbaarheid vergroten met security-awareness-trainingen. CTO Henri Koppen legt uit waarom juist de mens daarbij het verschil maakt. 

“Voorkomen is echt beter dan genezen. Want wie denkt dat IT-beveiliging duur is… een incident is ongelooflijk veel duurder. Zelfs als de schade beperkt blijft, zijn de kosten voor onderzoek en herstel enorm.” 

“Cybercriminelen vinden steeds weer nieuwe manieren om ons te misleiden."

< Naar vorig artikel

Naar volgend artikel >

Mensen kunnen veel voorkomen door kritisch te zijn, verdachte zaken te melden en veilig online te handelen. Henri: “Gelukkig zijn we in Nederland voorlopers op het gebied van het voorkomen van cybercriminaliteit. Er is veel aandacht voor en dus ook een groeiend bewustzijn. We onderscheiden drie pijlers in cybersecurity: techniek, afspraken, en daar tussenin de mens.” 

Als co-founder is Henri Koppen bij Arda Online verantwoordelijk voor technologie én visie. Het bedrijf leert mensen bewuster omgaan met online veiligheid. “De dreiging neemt toe,” zegt hij. “Criminelen verdienen hier dagelijks geld aan en dit soort criminaliteit is voor de politie moeilijk op te lossen. De pakkans is miniem, zeker doordat de criminelen vaak in het buitenland zitten. Voorkomen is echt beter dan genezen. Want wie denkt dat IT-beveiliging duur is… een incident is ongelooflijk veel duurder. Zelfs als de schade beperkt blijft, zijn de kosten voor onderzoek en herstel enorm.” 

Training als fundament
“Training wordt steeds vaker verplicht,” zegt Henri, “zeker voor grote organisaties die zich moeten houden aan de Europese NIS2-richtlijn. Bij kleinere bedrijven hoor je nog vaak ‘maar ik heb het al zo druk’. Dan worden wachtwoorden hergebruikt of tweestapsverificatie niet ingesteld omdat het ‘gedoe’ is. Of men denkt: ‘veiligheid, dat regelt mijn leverancier wel’. Maar eigen beleid is gewoon heel belangrijk.” 

Zelf aan de slag met awareness
“SnelStart gebruikt deze e-learnings van Arda Online. Voor kleinere bedrijven is dat misschien niet altijd haalbaar. Wat dan? “Blijf op de hoogte en leer zelf. Neem een abonnement op nieuwsbrieven en volg het laatste nieuws”, zegt Henri. “Security.nl en RTL Nieuws bieden bijvoorbeeld goede informatie. En daarnaast: altijd tweestapsverificatie aanzetten, ook voor medewerkers, en zorgen dat mensen melding doen van een ‘rare mail’. Alleen al door zulke simpele stappen voorkom je 99 procent van de phishingaanvallen en wordt elke medewerker een sterke verdediging tegen cybercrime.” 

Motiveren om te leren
“Mensen hebben vaak geen zin of tijd om een e-learning
te doen voor hun werk”, stelt Henri. “Daarin maken wij een verschil. We werken met storytelling, herkenbare verhalen
en echte mensen. Daarnaast zetten we gamificatie in: gebruikers verdienen punten en dat maakt het leuker om
het programma te volgen.”

Een voorbeeld: Booking.com
Een recent voorbeeld is wat er gebeurde bij Booking.com. Criminelen kregen toegang tot hotelaccounts en stuurden nepbetalingsverzoeken via de app. Booking.com stelde daarop tweestapsverificatie verplicht, maar ook dat bleek geen garantie. Oplichters proberen klanten nu om te leiden naar externe betaalmethoden. Dat onderstreept het belang van bewustzijn én weten welke actie nodig is bij een bedreiging. 

Menselijke fouten als ingang
“De meeste hackers komen binnen via phishing”, verduidelijkt Henri. “Cybercriminelen gebruiken social engineering om medewerkers te verleiden tot onveilige handelingen. Ook via kwetsbaarheden in software van leveranciers – een supply chain attack – kunnen ze systemen binnendringen. Maar meestal worden medewerkers simpelweg misleid, zodat ze onveilige documenten downloaden of inlog-gegevens invullen op een nep-site.” 

Bewust omgaan met gevaar
“Als afspraken niet sterk genoeg zijn, of techniek faalt, hoop je dat mensen alert zijn. Dat een medewerker een vreemde aanspreekt die door het pand loopt, of een phishingmail meldt, zodat collega’s gewaarschuwd kunnen worden. Medewerkers zijn een asset, mits ze weten hoe ze moeten handelen en bedreigingen herkennen. Net als bij die helm op de bouwplaats is cyberveiligheid cruciaal. Dat begint bij awareness: het besef dat bedreigingen altijd aanwezig zijn.” 

“De mens is niet de zwakste schakel in het verhaal, maar misschien wel de sterkste."

Afspraak
Onderlinge afspraken vormen de tweede pijler. "Door te bepalen wie toegang heeft tot gevoelige informatie, beperk je het gevaar. Ook afspraken over veilige wachtwoorden en het afdwingen van tweestapsverificatie zorgen voor meer online veiligheid."

Techniek
“De technische maatregelen, dat zijn veilige ITsystemen, virusscanners, firewalls, authenticator-apps en spamfilters.
Die voorkomen veel, maar zijn nooit volledig afdoende,
al is het maar omdat cyber-criminelen steeds weer nieuwe manieren vinden om ons te misleiden. De gebruiker moet
dus alert blijven.” 

De mens in het midden
“Het is een beetje zoals op de bouw”, licht Henri toe. “Iedereen draagt een veiligheidshelm. Vindt iemand dat die niet lekker zit, dan is dat jammer, maar dan mag je de bouwplaats niet op.
Zo moeten we ook omgaan met digitale veiligheid en daar komt dus de mens als derde pijler in het vizier. Die is niet, zoals vaak gedacht, de zwakste schakel in het verhaal, maar misschien juist wel de sterkste. De mens is de last line of defense - de laatste verdedigingslinie - en kan een groot verschil maken.” 

“Een eigen beleid op cybersecurity is gewoon heel belangerijk."

De mens als laatste verdegingslinie tegen cybercrime

Co-founder Arda

Henri Koppen

Cyberveiligheid vereist constante alertheid, zeker bij boekhouders en accountants. Als accountant werkt u dagelijks met vertrouwelijke klantgegevens die aantrekkelijk zijn voor cybercriminelen. En die criminelen worden steeds slimmer. Arda helpt bedrijven hun digitale weerbaarheid vergroten met security-awareness-trainingen. CTO Henri Koppen legt uit waarom juist de mens daarbij het verschil maakt. 

TEKST Jonneke Duin
FOTOGRAFIE Arda

CYBERVEILIGHEID

Zelf aan de slag met awareness
“SnelStart gebruikt deze e-learnings van Arda Online. Voor kleinere bedrijven is dat misschien niet altijd haalbaar. Wat dan? “Blijf op de hoogte en leer zelf. Neem een abonnement op nieuwsbrieven en volg het laatste nieuws”, zegt Henri. “Security.nl en RTL Nieuws bieden bijvoorbeeld goede informatie. En daarnaast: altijd tweestapsverificatie aanzetten, ook voor medewerkers, en zorgen dat mensen melding doen van een ‘rare mail’. Alleen al door zulke simpele stappen voorkom je 99 procent van de phishingaanvallen en wordt elke medewerker een sterke verdediging tegen cybercrime.” 

Motiveren om te leren
“Mensen hebben vaak geen zin of tijd om een e-learning te doen voor hun werk”, stelt Henri. “Daarin maken wij een verschil. We werken met storytelling, herkenbare verhalen en echte mensen. Daarnaast zetten we gamificatie in: gebruikers verdienen punten en dat maakt het leuker om het programma te volgen.”

“Cybercriminelen vinden steeds weer nieuwe manieren om ons te misleiden."

Training als fundament
“Training wordt steeds vaker verplich,” zegt Henri, “zeker voor grote organisaties die zich moeten houden aan de Europese NIS2-richtlijn. Bij kleinere bedrijven hoor je nog vaak ‘maar ik heb het al zo druk’. Dan worden wachtwoorden hergebruikt of tweestapsverificatie niet ingesteld omdat het ‘gedoe’ is. Of men denkt: ‘veiligheid, dat regelt mijn leverancier wel’. Maar eigen beleid is gewoon heel belangrijk.” 

“Een eigen beleid op cybersecurity is gewoon heel belangerijk."

Een voorbeeld: Booking.com
Een recent voorbeeld is wat er gebeurde bij Booking.com. Criminelen kregen toegang tot hotelaccounts en stuurden nepbetalingsverzoeken via de app. Booking.com stelde daarop tweestapsverificatie verplicht, maar ook dat bleek geen garantie. Oplichters proberen klanten nu om te leiden naar externe betaalmethoden. Dat onderstreept het belang van bewustzijn én weten welke actie nodig is bij een bedreiging. 

“Voorkomen is echt beter dan genezen. Want wie denkt dat IT-beveiliging duur is… een incident is ongelooflijk veel duurder. Zelfs als de schade beperkt blijft, zijn de kosten voor onderzoek en herstel enorm.” 

Menselijke fouten als ingang
“De meeste hackers komen binnen via phishing”, verduidelijkt Henri. “Cybercriminelen gebruiken social engineering om medewerkers te verleiden tot onveilige handelingen. Ook via kwetsbaarheden in software van leveranciers – een supply chain attack – kunnen ze systemen binnendringen. Maar meestal worden medewerkers simpelweg misleid, zodat ze onveilige documenten downloaden of inlog-gegevens invullen op een nep-site.” 

Afspraak
Onderlinge afspraken vormen de tweede pijler. "Door te bepalen wie toegang heeft tot gevoelige informatie, beperk je het gevaar. Ook afspraken over veilige wachtwoorden en het afdwingen van tweestapsverificatie zorgen voor meer online veiligheid."

Techniek
“De technische maatregelen, dat zijn veilige ITsystemen, virusscanners, firewalls, authenticator-apps en spamfilters. Die voorkomen veel, maar zijn nooit volledig afdoende, al is het maar omdat cyber-criminelen steeds weer nieuwe manieren vinden om ons te misleiden. De gebruiker moet dus alert blijven.” 

“De mens is niet de zwakste schakel in het verhaal, maar misschien wel de sterkste."

Bewust omgaan met gevaar
“Als afspraken niet sterk genoeg zijn, of techniek faalt, hoop je dat mensen alert zijn. Dat een medewerker een vreemde aanspreekt die door het pand loopt, of een phishingmail meldt, zodat collega’s gewaarschuwd kunnen worden. Medewerkers zijn een asset, mits ze weten hoe ze moeten handelen en bedreigingen herkennen. Net als bij die helm op de bouwplaats is cyberveiligheid cruciaal. Dat begint bij awareness: het besef dat bedreigingen altijd aanwezig zijn.” 

De mens in het midden
“Het is een beetje zoals op de bouw”, licht Henri toe. “Iedereen draagt een veiligheidshelm. Vindt iemand dat die niet lekker zit, dan is dat jammer, maar dan mag je de bouwplaats niet op. Zo moeten we ook omgaan met digitale veiligheid en daar komt dus de mens als derde pijler in het vizier. Die is niet, zoals vaak gedacht, de zwakste schakel in het verhaal, maar misschien juist wel de sterkste. De mens is de last line of defense - de laatste verdedigingslinie - en kan een groot verschil maken.” 

Als co-founder is Henri Koppen bij Arda Online verantwoordelijk voor technologie én visie. Het bedrijf leert mensen bewuster omgaan met online veiligheid. “De dreiging neemt toe,” zegt hij. “Criminelen verdienen hier dagelijks geld aan en dit soort criminaliteit is voor de politie moeilijk op te lossen. De pakkans is miniem, zeker doordat de criminelen vaak in het buitenland zitten. Voorkomen is echt beter dan genezen. Want wie denkt dat IT-beveiliging duur is… een incident is ongelooflijk veel duurder. Zelfs als de schade beperkt blijft, zijn de kosten voor onderzoek en herstel enorm.” 

Mensen kunnen veel voorkomen door kritisch te zijn, verdachte zaken te melden en veilig online te handelen. Henri: “Gelukkig zijn we in Nederland voorlopers op het gebied van het voorkomen van cybercriminaliteit. Er is veel aandacht voor en dus ook een groeiend bewustzijn. We onderscheiden drie pijlers in cybersecurity: techniek, afspraken, en daar tussenin de mens.”