Cyberspionnen: ja, ze bestaan, maar zo ben je ze een stap voor
Bedrijfsspionage klinkt als iets uit Hollywoodfilms, maar blijkt in Nederland aan de orde van de dag. Vandaag de dag gaat het dan om cyberspionnen die bedrijfsgevoelige informatie proberen te stelen of ontfutselen van medewerkers. In dit blog lees je hoe dat precies in zijn werk gaat en wat je er binnen jouw bedrijf aan kunt doen om cyberspionnen buiten de deur te houden.
Zo af en toe komen er nieuwsberichten voorbij waarbij je je aanvankelijk afvraagt of je niet in een spannende roman bent beland. Bijvoorbeeld het bericht dat er in Nederland geheime, Chinese politiebureaus bestaan. Zo berichtte Trouw in januari 2022 dat duizenden werknemers van Nederlandse bedrijven zijn benaderd door Chinese en Russische geheim agenten in pogingen tot digitale bedrijfsspionage. Ze worden cyberspionnen genoemd en proberen, door een goede, persoonlijke band op te bouwen met medewerkers van Nederlandse bedrijven, gevoelige informatie over die bedrijven te bemachtigen. Het achterliggende doel? Economisch gewin en het ondermijnen van de vrije bedrijfsvoering in het Westen.
Cyberspionnen versus hackers: wat is het verschil?
Op het eerste gezicht lijkt cyberspionage nagenoeg hetzelfde als ‘ouderwets’ hacken. Je dringt binnen in een bedrijf, systeem of organisatie terwijl je daar niet welkom bent. Vaak gaat cyberspionage ook inderdaad gepaard met hacks, en dus met cybersecurity. Cyberspionage wijkt echter op drie belangrijke punten af van hacking:
- De cyberspion wil zo lang mogelijk onopgemerkt blijven. Een hacker maakt het vaak niet uit of hij, nadat de hack is geslaagd, wordt opgemerkt. Sterker nog, in veel gevallen moet de hack juist opvallen om deze succesvol te laten zijn, bijvoorbeeld bij een ransomware-aanval. Daar laat de hacker duidelijk merken dat hij is binnengedrongen, anders zal het losgeld immers nooit betaald worden.
- Cyberspionnen zijn primair op zoek naar informatie. Daarentegen willen hackers vaak primair geld verdienen, bijvoorbeeld door privacygevoelige data te verhandelen op de zwarte markt of door losgeld te vragen voor versleutelde gegevens.
- Cyberspionnen werken vaak vanuit of in opdracht van een overheid, terwijl hackers in kleine gezelschappen of in decentraal georganiseerde groepen werken.
Cyberspionnen gaan dus anders te werk dan traditionele hackers. Dat kan het lastig maken om hun werkwijze te herkennen als je eenmaal slachtoffer van ze bent of wordt.
Hoe gaat een cyberspion te werk?
De werkwijze van de meeste cyberspionnen bestaat uit drie elementen: een band opbouwen, binnendringen en tot slot druk uitoefenen.
- Een band opbouwen. De cyberspion benadert één of meerdere werknemers van het bedrijf of van de organisatie. Niet zelden zijn dat medewerkers die van oorsprong afkomstig zijn uit het land waar de cyberspion vandaan komt, of banden hebben met dat land. Dat schept immers direct al een band. De cyberspion heeft, voordat hij voor het eerst contact opneemt, al wat huiswerk gedaan. Hij heeft zich ingelezen over zijn slachtoffer, bijvoorbeeld via social media, en heeft in kaart gebracht wat mogelijke ingangen zouden kunnen zijn om bevriend te raken. Het contact opnemen gebeurt in de regel via platforms als LinkedIn. Er komt een connectieverzoek binnen en met de voorkennis vanuit het gedane huiswerk probeert de spion een gesprek aan te knopen met het slachtoffer. Maar het kan ook via andere social media kanalen gebeuren zoals een DM via Twitter of Instagram van een aantrekkelijk, geïnteresseerd persoon.
- Vervolgens start het binnendringen. De cyberspion verlegt het gespreksonderwerp telkens naar bedrijfsinhoudelijke onderwerpen en toont daar veel interesse in. In sommige gevallen breidt de spion zijn spionage in dit stadium ook uit naar offline activiteiten, door bijvoorbeeld samen met zijn slachtoffer naar conferenties of andere evenementen te gaan. Ondertussen probeert de spion, uiteraard zonder dat zijn slachtoffer dat weet, digitaal in te breken in het bedrijf van het slachtoffer. Die heeft bijvoorbeeld verteld hoe de cybersecurity is geregeld binnen het bedrijf en waar mogelijke kwetsbaarheden zitten. Die informatie gebruikt de spion om succesvolle hacks uit te voeren.
- Als de spion eenmaal definitief binnen is, begint hij met druk uitoefenen op zijn slachtoffer. Hij geeft bijvoorbeeld aan dat hij kaartjes heeft geregeld voor die conferentie en dat hij daarvoor wel een tegenprestatie verwacht. Het doel van dit uitoefenen van druk is het losweken van zoveel mogelijk nuttige informatie en verder binnendringen in het bedrijf, voor zover dat nog niet is gelukt. Dit is niet zelden het moment waarop het slachtoffer doorheeft wat er gaande is, maar hij kan dan niet meer terug. Enerzijds wegens schaamte, anderzijds wegens angst voor sancties van zijn werkgever.
Gebeurt dit echt? Twee voorbeelden
Klinkt het allemaal nog wat abstract en onrealistisch? Tijd voor twee recente voorbeelden waarbij cyberspionage een rol speelde.
In 2020 bespioneerden de Russische hackersgroepen Cozy Bear en Fancy Bear de Britse, Canadese en Amerikaanse overheden in een poging om informatie over Westerse coronavaccins buit te maken. De ontwikkeling van het eigen vaccin verliep allerminst soepel, wat waarschijnlijk de directe aanleiding was voor deze poging tot spionage. Die werd echter opgemerkt, al ontkent Rusland tot op de dag van vandaag.
Het bekendste voorbeeld van cyberspionage ter wereld is echter de hack van Sony Pictures in 2014. Door middel van cyberspionage drongen ofwel Noord-Koreaanse, ofwel Russische – daar zijn de autoriteiten het nog altijd niet over eens – spionnen binnen bij Sony Pictures. Het ogenschijnlijke doel: wraak nemen vanwege de film The Interview, waarin Noord-Korea in een kwaad daglicht werd gesteld.
Cyberspionnen de baas blijven: twee preventieve maatregelen
Die twee voorbeelden betreffen allebei enorme bedrijven of organisaties. Moet je je als bescheiden ondernemer dan wel zorgen maken om cyberspionnen?
Volgens de AIVD is dat helaas wel zo. Nederland is een digitaal zeer ontwikkeld land met een open economie: de ideale voedingsbodem voor bedrijfsspionage. Spionnen proberen daarnaast vaak juist via kleinere bedrijven ingangen te vinden bij de grotere vissen, omdat kleinere bedrijven hun security doorgaans minder goed op orde hebben. Alle reden dus om je ook als mkb’er te wapenen tegen cyberspionage. Dat doe je met twee preventieve maatregelen:
- Zorg dat je je basishygiëne op orde hebt als het gaat om cybersecurity. Pas daarvoor allereerst de basismaatregelen van het Nationaal Cyber Security Centrum toe, maar blijf ook daarna alert: de komende jaren worden die maatregelen namelijk aanzienlijk uitgebreid. Meer daarover lees je in de nieuwe Nederlandse Cybersecuritystrategie 2022-2028.
- Creëer bij al je medewerkers bewustwording rondom het bestaan van cyberspionnen en de bijbehorende risico’s van het gebruik van platforms als LinkedIn. Leg in een bedrijfscode vast dat bedrijfsinformatie intern blijft en train medewerkers hier ook op. Cyberspionage kan namelijk alleen maar slagen als een slachtoffer in eerste instantie welwillend meewerkt: als je dat weet te voorkomen, heb je al een hoop mogelijke ellende in de kiem gesmoord.
Reacties