“Bij een cyberdreiging telt elke minuut”

Wilko: “Wij helpen kort gezegd mkb-bedrijven weerbaarder te maken tegen cyberaanvallen en ze meer grip te geven op cybersecurity. Dit doen we met een breed pakket aan diensten. Vanuit ons SOC, het Security Operations Center hier in Veenendaal, monitoren we 24/7 de IT-omgevingen van klanten. Door die monitoring ontdekken we al in een vroeg stadium afwijkend gedrag dat we vervolgens nauwkeurig analyseren en snel stoppen. We werken vaak als securityverlengstuk van de IT-partners (MSP’s) van mkb-bedrijven. Dat zijn we ook voor jullie. En voor andere MSP’s binnen Smizer. Binnen de Smizer Group vervullen we de rol van Center of Excellence.”

Wilko: “Een jaar na de oprichting door Wolter en Nico in 2020, ben ik erbij gekomen. Ik houd mij vooral bezig met het SOC, projecten en alles wat operationeel is, ook het afstemmen van processen.” Elmer: “Ik werk hier sinds 2024. Het commerciële deel ligt bij mij.”

Elmer: “Bij sommige bedrijven moet er eerst iets gebeuren voordat ze in actie komen.” Wilko: “Het gebeurt mij niet is nog steeds een gedachte die voorkomt. Maar het kan zomaar misgaan: dat zagen we vorige week weer met een hack van een bekende groepering bij een klant van één van onze partners: je komt als directeur ’s ochtends op je werk en je kunt niet meer werken, daar schrik je toch behoorlijk van. En dan lees je: Hi friends, we snappen dat je geschrokken bent, we willen je helpen… Vriendelijke communicatie, met veel aandacht voor gevoel. Maar je moet als bedrijf wel betalen…” Elmer: “Dit was dus een klant die nog geen monitoring had. Als dan een incident plaatsvindt en we willen onderzoek doen om te achterhalen wat er naar buiten is gegaan moeten we zo’n klant eerst onboarden. En dan is er opeens veel mogelijk… zeg maar wat je nodig hebt, welke Microsoft-licenties moeten we aanschaffen, etc.”

Wilko: “Medewerkers werken vaak op de automatische piloot. Hackers zijn daarop gefocust en spelen in op dat je druk bent of dat je net met iets bezig bent of dat in het nieuws is dat past bij de boodschap van de hackers. Wat heb je nou op Instagram gezet over mij? zagen we laatst langskomen. Je denkt meteen… heb ik iets fout gedaan? Op dat gevoel proberen ze je te triggeren. En als je dan op het linkje klikt of erger, doorgaat en je username en wachtwoord geeft, dan kun je heel snel gepakt worden. Awareness-training voor medewerkers is daarom heel belangrijk.” Elmer: “Zeker ook voor die mensen die niet vaak met een laptop werken, denk aan medewerkers die zorg verlenen of in een productieomgeving werken. Je ziet bij sommige bedrijven dat ze alleen de kantoormedewerkers monitoren, maar wij willen complete zichtbaarheid van de omgeving.”

Wilko: “Naast het menselijke deel heb je de techniek waar dingen misgaan. Doordat dingen niet goed geregeld zijn, wat we hiervoor al benoemden. Er zijn legacy-systemen die nog niet voldoen aan de laatste eisen op security-gebied. Als hackers dan met de tools die ze hebben gaan scannen op waar er ergens een opening zit, dan gaan ze die benutten. Via reconnaissance, bellen, proberen credentials te pakken te krijgen en dan inloggen, of technisch vanuit brute force. Wat we de laatste tijd zien is dat het niet alleen ransomware is maar ze halen ook je data gewoon op en zeggen: we zetten het op het dark web, wat is het je waard als we dat niet doen? Zoals bij Odido.”

Wilko: “Wat we tegenwoordig het meest zien is business-e-mail-compromise (BEC). Uit onderzoeken blijkt ook dat zo’n 60-70% BEC is. Het begint vaak doordat je hardening gewoon niet op orde is, bijvoorbeeld dat je MFA niet is ingeregeld. Dan is het natuurlijk veel makkelijker om binnen te komen voor hackers, dan pakken ze een account en binnen die mailbox gaan ze aan de slag… checken ze wie ze moeten hebben: de inkoper, de verkoper of de ceo en gaan ze kijken welke facturen ze kunnen vinden. Is er een mapje van waaruit facturen verstuurd zijn? Dan passen ze daar het rekeningnummer aan en sturen ze nog een keer de factuur en uiteindelijk wordt er betaald. En dat zie je dus pas veel later. Belangrijk dus om dat snel te detecteren.”

Wilko: “Op het moment dat je je MFA goed inregelt dan is het al moeilijker om binnen te komen. Als hackers er wel doorheen komen dan zien we bijvoorbeeld dat ze een regel hebben aangemaakt als: gooi alle mailtjes weg die in deze mailbox nog binnenkomen of zet ze allemaal in een aparte folder. Ze nemen dus maatregelen binnen de mailbox zodat het niet opvalt dat een hacker binnen is.” Elmer: “Dus dat mailtje van die klant die zegt ik krijg opeens een nieuwe factuur van je, wat raar… die reply is dus weg…” Wilko: “Als er opeens veel e-mail verstuurd wordt of mailboxregels worden aangepast zijn dat signalen, dan krijgen we daar ook een melding van. Ook ’s nachts.“ Elmer: “Dan is het een high alert en dan komt er direct een specialist in actie.“

Wilko: “Haha, nou nee, wij werken met piketdiensten waarbij we - zoals afgesproken in onze SLA - (ook buiten kantoortijden) binnen tien minuten ingrijpen. We doen ook de triage en op het moment dat er echt iets mis is hebben we de rechten om op de tenant van de klant bijvoorbeeld iets te installeren of een gebruiker te disabelen. Met iedere MSP of eindklant hebben we een afspraak met wie we contact hebben en óf we ze contacten. Dat zijn (’s nachts) vaak de leidinggevenden/directeuren. Zij moeten op de hoogte zijn en hebben het mandaat om een incidentteam op te tuigen. We sturen sowieso altijd een ticket.“

Wilko: “We hadden vannacht nog een melding om 4.45 uur. Rottijd. Je wordt wakker gebeld en dan moet je snel inloggen en reageren.” Elmer: “Soms heb je pech en moet je meerdere keren aan de bak. Natuurlijk houden we wel rekening met de diensten daarop.” Wilko: “Ik vroeg vanmorgen aan een collega: je bent nu twee keer wakker gebeld, wat was er gebeurd, wat het echt iets of vals alarm? Bij het laatste kijken we direct de volgende dag hoe we het systeem kunnen verbeteren om herhaling te voorkomen en de ruis eruit te halen.”

Elmer: “Heel vaak is een dreiging wel gericht op een gebruiker waar we iets zien waardoor we wel gelijk een actie ondernemen door de gebruiker of een apparaat te isoleren. We zagen bijvoorbeeld een tijdje geleden bij een klant rare Azure-activiteit: binnen tien minuten werden er zo’n 60 Azure-servers opgespind... cloudmining. Daar kregen we direct een highalertmelding van en hebben we gelijk gestopt. Als die klant niet gemonitord werd en zoiets valt de klant pas de volgende dag op dan ben je tienduizenden euro’s verder. Microsoft onderneemt ook wel actie bij dit soort activiteiten, maar die doet dat in de regel veel later dan wij doen.” Wilko: “Die hebben de dag erna de tenant geblokkeerd.”

Elmer: “24/7-monitoring en direct ingrijpen is dus een belangrijke. We gaan ook onderzoeken waar het vandaan komt en of er nog andere afwijkende dingen zijn. En het is direct een cybersecurityspecialist die de actie uitvoert, geen student die het eerst moet escaleren waardoor het vertraging oploopt. Bovendien iemand die Nederlands spreekt: dat is vaak een voordeel in de communicatie met de mkb-bedrijven in ons land.”