TEKST | Jon Hoofwijk

Grote bedrijven worden goed bediend als het gaat om cybersecurity. Voor het mkb is dat anders, stelt specialist Loran Kloeze. Kleine ondernemers hebben geen tijd, geen budget en geen interesse om risico’s op te ruimen. En dus gebeuren er gekke dingen op de werkvloer. Een verhaal over personeel bewust maken, de nieuwe AVG en een usb-stick die zich voordoet als toetsenbord.

Misschien kent u Loran Kloeze (32) nog van de datalekkage rondom de stemwijzer in maart 2017. (Kloeze meldde aan de NOS dat alle antwoorden verzamelen en terugsturen naar de server van stemwijzer technisch gezien helemaal niet nodig is.) Misschien kent u hem van Twitter, waar hij gevraagd en ongevraagd zijn mening geeft. Kloeze is een bekende in ‘het wereldje’. En dat komt omdat hij al ruim een kwart eeuw ervaring heeft met computers. 

Als 4-jarige kroop hij achter de computer en dat was een schot in de roos. Kloeze: “Dat ding leek een eigen wil te hebben. Geweldig vond ik dat. Ik drukte op knopjes en zag dan dingen veranderen op het scherm. Mijn eerste computer was een Philips P3105 met MS-DOS 3.11. Ik liet hem vastlopen of te heet worden. Ik soldeerde lampjes aan de poorten, haalde diskettes, toetsenborden en harde schijven uit elkaar. En was dat niet voldoende, dan haalde ik de computer zelf uit elkaar. Soms zette ik hem ook weer in elkaar. Als ik er maar achter kwam hoe het ding werkte.”

Autodidact Kloeze heeft kleine ondernemers nogal wat te vertellen over de zin en onzin van cybersecurity. Hij heeft kritiek op “zelfverklaarde adviseurs” en steekt zijn mening over hypes niet onder stoelen of banken. (Met name de blockchain krijgt er flink van langs.)

“Zijn boodschap aan het mkb is helder: neem wachtwoordbeheer serieus, creëer awareness bij het personeel en kies uw ict-dienstverlener met de grootste zorg.”  

Website Meppel

Kloeze volgde de mbo-opleiding Elektrotechniek en ging daarna aan de slag in de automatisering. Ondertussen hackte hij wat “in het wilde weg”. In 2012 gebeurde er iets waardoor hij besloot zich in cybersecurity te gaan specialiseren. Kloeze: “Ik keek rond op de website van de gemeente Meppel. Ik probeerde wat uit, bracht een paar kleine wijzigingen aan in de adresbalk. Tot mijn verbazing zag ik ineens een andere mappenstructuur verschijnen, met persoonsgegevens, gegevens over rijbewijzen en communicatie tussen ambtenaren en burgers. Ik schrok van het gemak waarmee ik die gegevens boven water kreeg.”

Zijn fascinatie voor cybersecurity was geboren en in 2015 richtte hij Ralon Cybersecurity op. Kloeze probeert als ‘ethisch hacker’ beveiligingen te doorbreken en is daarnaast actief als ‘consultant’ op het vlak van informatiebeveiliging en privacy. Hij werkt onder meer voor technische bedrijven, kleine transportbedrijven, accountants, verzekeraars en webwinkels. Ondertussen verbaast hij zich elke dag: “Kleine ondernemers zijn zich totaal niet bewust van de risico’s die ze lopen. Echt, ze hebben geen idee. Ik krijg zelden een concrete vraag. ‘Moeten wij ook iets met cybersecurity?’, dat is wat ze vragen. Ze inventariseren niet. Ze weten niet wat ze ermee aan moeten.”

In de dagelijkse praktijk komt Kloeze nogal wat klunzigheid tegen: slecht wachtwoordbeheer, configuratiefouten, te ruim ingestelde autorisaties. Ook de huis-tuin-en-keuken-blunders zijn ruim vertegenwoordigd. In bijna elke willekeurige kantoortuin is het raak. Op bureau’s vindt hij gele briefjes met wachtwoorden, naw-gegevens en financiële gegevens van klanten. Ook in de buurt van de printer is het vaak feest: een vergeten uitdraai van een jaarrekening, een factuur, een salarisstrook. Of twee. Of van de hele afdeling.

Ja, het zijn serieuze risico’s. En nee, er is niets spannends aan. Kloeze: “Wil je spannende dingen horen over de hack van de eeuw? Die heb ik niet. Vandaag de dag gaat cybersecurity over slordigheid en achterlijke stommiteiten. Hackers zoeken kwetsbaarheden en voor hen is het op dit moment gemakkelijker dan ooit om je identiteit te stelen en je persoonsgegevens te achterhalen. ”

Rubber Ducky

Nieuwe ontwikkelingen? Elke dag. Ook oude ontwikkelingen in een nieuw jasje zijn aan de orde van de dag. Speciale vermelding verdient de revival van de ‘usb-stick’ Rubber Ducky. Hackers programmeren er allerlei commando’s in en steken het ding vervolgens in een onbewaakte laptop. Kloeze: “Binnen 10 seconden is dat gebeurd -een bezoek aan het toilet duurt langer.” De laptop ‘herkent’ Rubber Ducky als een toetsenbord. Ondertussen kan er veel ellende worden aangericht. Rubber Ducky kan het antivirus-programma uitschakelen, of een achterdeurtje instellen, zodat de laptop op afstand te besturen is.”  

Het mkb is ook gevoelig voor kopiëren van vertrouwelijke gegevens, key loggers en ransomware. Daarmee worden ondernemers gechanteerd om losgeld te betalen (“bijvoorbeeld een halve bitcoin”). Ransomware blokkeert de computer. Voor bevrijding uit de wurggreep van de gijzelsoftware wordt geld gevraagd. Kloeze’s advies is duidelijk. “Betalen is het slechtst wat je kunt doen. Zorg maar dat je back-ups maakt en controleert. Als je een back-up kunt terugzetten, bestaat het hele probleem niet meer.”

“Ondernemers moeten voortaan beter inventariseren waar ze mee bezig zijn.”

Ook de nieuwe privacywetgeving AVG verdient aandacht. Wat verandert er eigenlijk door de AVG? Kloeze:

Welke gegevens komen het bedrijf binnen? Welke gegevens gaan eruit? Dat moet je goed op een rijtje hebben. De invoering van de AVG zie ik als een goed moment om op te schonen. Ondernemers zouden persoonsgegevens die ze niet nodig hebben moeten verwijderen. Wat je niet hebt kan ook niet lekken.”

Gevraagd naar de hypes van nu, noemt Kloeze de blockchain: “Daar erger ik me dood aan. De blockchain is gewoon een manier om informatie op te slaan maar wordt in verband gebracht met de gekste dingen, ook met security. Ik zie nauwelijks praktische toepassingen. De enige geslaagde toepassing die ik ken is de bitcoin. ‘Overtuig mij van het tegenovergestelde’, schrijf ik dan op Twitter. ‘Laat mij zien hoe de blockchain kan helpen bij cybersecurity.’ Echt, ik heb nog geen bruikbare tip gehad.”

Tijdlijn maken

Het woord ‘verbazing’ valt regelmatig in een gesprek met Loran Kloeze. Verbaasd was hij ook toen hij onlangs een ontdekking deed over de ov-chipkaart: “Ik voerde mijn nummer in en zag dat me helemaal niet gevraagd werd wie ik was. Oké, als ik het nummer van de ov-chipkaart van mijn buurman invoer, kan ik dus zijn saldo inzien. Het systeem checkt niet of ik de eigenaar ben. Dat is toch gek? Ik kan een programma maken op basis van dat nummer, en dat programma elke dag laten draaien. Zo kan ik een tijdlijn maken, mijn buurman tracken en vaststellen wanneer en hoe ver hij reist. Nou, dat vind ik een serieus probleem. Weinig mensen maken zich er druk om.”

En dan de hamvraag. Welke praktische tips heeft Kloeze voor kleine ondernemers? “Wachtwoordbeheer staat bij mij op één. De ‘wachtwoordmanager’ is een stuk software waarop je alle wachtwoorden van accounts, pincodes en vertrouwelijke persoonsgegevens opslaat. Als tweede zou ik willen adviseren een specialist uit te nodigen die je personeel bewust gaat maken van risico’s. Personeel is de zwakke schakel, dus creëer awareness. En als derde zou ik zeggen: de keuze voor een goede ict-dienstverlener. Kies niet voor de eerste de beste bij jou in de straat. Kies voor een bedrijf met aantoonbare kennis van cybersecurity. Dan doe je het al beter dan je concurrenten.”