Northwave-directeur Onderzoek & Innovatie Pim Takkenberg deelt vier securitytrends
INTERVIEW – Ransomware blijft een grote dreiging voor Nederlandse bedrijven. Maar er loert ook een ander groot gevaar: staatsgestuurde Chinese cyberspionnen die uit zijn op intellectueel eigendom van die organisaties. Directies hebben die risico’s zelden op de securityagenda staan, vertelt Pim Takkenberg van ict-beveiliger Northwave.
Takkenberg (47), begin dit jaar gepromoveerd tot algemeen directeur van de Europese onderzoeks- en innovatietak van het bedrijf, is net terug van een bezoek aan een klant in het buitenland. Hij heeft in zijn overvolle agenda een uurtje de tijd gevonden om op het hoofdkantoor van Northwave in Utrecht te praten over de securitytrends van dit moment.
Ransomware, ofwel malware die de databestanden van gebruikers versleutelt, met als doel om deze later te ontsleutelen in ruil voor losgeld, vormt nog steeds een plaag, vertelt hij. Aanvallen worden groter, de onderhandelingen steviger. Het securitybedrijf heeft inmiddels negen mensen intern opgeleid die met cybercriminelen kunnen onderhandelen als gijzelsoftware de systemen platlegt en de productie stilvalt.
Maar er is een trend die minder in het zicht plaatsvindt: bedrijfsspionage door statelijke actoren. Met name Chinese staatsgestuurde hackers azen op bedrijfsgeheimen en intellectueel eigendom van Nederlandse bedrijven. In het meerjarenplan van China, dat de belangrijkste economische macht van de wereld wil worden, lijkt vrijwel alles geoorloofd. De digitale weg wordt volop benut om de nieuwe Zijderoute uit te breiden, doceert de cybersecurity-expert.
Discreet
Takkenberg, die discreet is met het noemen van slachtoffers van incidenten, legt met een fictief voorbeeld uit waar de Chinezen zoal op azen. ‘Denk aan een Nederlands bedrijf in de voedselindustrie. Als de Chinezen in die sector een leidende rol willen krijgen, loont het om te spioneren. Bijvoorbeeld bij een bedrijf dat net een patent heeft gekregen voor genetische manipulatie van aardappelen. Door die innovatie, waardoor een aardappel meer vierkant van vorm is, daalt het snijverlies bij de productie van friet. Dat is gewoon waanzinnig interessant intellectueel eigendom.’
Degelijke bedrijven beseffen volgens Takkenberg onvoldoende dat ze op de radar staan bij Chinese staatshackers. ‘Die zijn echt niet ver weg, goed georganiseerd en met honderdduizenden tegelijk, via specialistische afdelingen, dag en nacht, naar dit soort informatie op zoek. Daar zit een goed georganiseerde, gestructureerde organisatie achter.‘
Wat niet helpt is dat de aanvallen van cyberspionnen lastig te herkennen zijn. ‘Ransomware is onmiskenbaar in your face. Systemen gaan plat, hackers eisen losgeld, enzovoort. Spionage blijft vaak buiten het zicht. Het doel is ook om onopgemerkt te blijven’, legt Takkenberg uit. Bedrijven waar spionnen in de systemen zitten, reageren soms zelfs laconiek. Als Northwave bij een klant meldt dat er staatshackers zijn gesignaleerd, is de reactie nogal eens: ‘Maar de productie loopt toch wel gewoon door? Wat is het gevaar dan precies? En weet je het wel zeker?’
Bovendien ziet hij dat bedrijven die slachtoffers zijn van ransomware daar over naar buiten durven te treden. Bij spionage daarentegen houden ze dat liever onder de pet. ‘Daardoor hoor je er minder over en kunnen organisaties minder leren van elkaars incidenten.’ De risico’s voor de hightechsector zoals bedrijven als NXP en ASML zijn wel bekend. Maar nog veel meer bedrijven zijn potentieel doelwit, stelt hij.
Digitale domein
Cio’s die zich willen wapenen tegen aanvallen van Chinese cyberspionnen moeten volgens de cyberexpert goed nadenken wat de risico’s in het digitale domein zijn. ‘En dat kun je pas doen als je de bedreigingen goed snapt. Wat is de impact als bepaald intellectueel eigendom wordt gestolen en de Chinezen maken een product binnen twee jaar goedkoper na en van betere kwaliteit? Afhankelijk daarvan neem je maatregelen. Dat kan in samenwerking met experts zoals wij.’
Ceo’s snappen meestal niet wat de impact van spionage is
Inmiddels hebben meer bedrijven de technische basis best op orde, ziet Takkenberg. Netwerken zijn gesegmenteerd, er vindt voortdurend monitoring plaats van systemen, personeel is getraind in het herkennen van phishingmails. Maar met het oog op spionage is de vraag wat de impact is van een inbreuk op patenten dus zeker zo belangrijk. Naast digitale specialisten zijn er bij Northwave dan ook steeds vaker teams bezig om dat soort bedrijfskundige gevolgen in kaart te brengen.
Takkenberg: ‘Het is belangrijk dat we aangesloten blijven bij het hogere management. Een ceo, cfo of coo kan vrij goed nadenken over de impact van een economische crisis op hun bedrijf. Of de gevolgen van brand of Covid. Dat vinden ze in het digitale domein ingewikkelder. Dat komt doordat het minder tastbaar voor ze is.’ Goed kunnen uitleggen hoe een cybercrimineel opereert en wat de effecten daarvan zijn, daar draait het steeds meer om, stelt Takkenberg. ‘In gezamenlijk overleg bedenken we wat echt de impact voor dat bedrijf is.’
Als voorbeeld noemt hij een logistieke dienstverlener die op drie plekken grote opslaglocaties heeft waarvan er twee volledig geautomatiseerd zijn. Het is dan zaak om precies te weten welke processen handmatig en welke geautomatiseerd plaatsvinden en op welke systemen goederen worden ingeboekt. Door die processen goed in kaart te brengen wordt duidelijk waar de kwetsbaarheden zitten. Bijvoorbeeld als de productie stilvalt door een cyberaanval. ‘Kun je nog terug naar pen en papier? Zo ja, hoelang dan? Waar komen alle orders binnen? Op welke plek? Via een webapplicatie? Staat die on-premise of ergens anders?’, somt Takkenberg de vragen op die dan voor een bedrijf van levensbelang kunnen zijn. ‘Dat klinkt gedetailleerd, maar je moet echt op dat niveau de impact van een cyberincident in kunnen schatten.’
Digitale component
Een derde ontwikkeling die Takkenberg naast ransomware en Chinese spionage noemt, is dat criminaliteit vrijwel altijd een digitale component heeft. Fysieke en digitale criminaliteit vermengen. Criminelen ontdekken nut en noodzaak van digitale middelen. Als voorbeeld noemt hij het manipuleren van systemen voor zeecontainerterminals. Hackers helpen zo criminelen om containers met verboden lading zoals drugs of wapens te kunnen volgen, lokaliseren en leeg te halen.
Recent werd een crimineel veroordeeld voor het manipuleren van een logistiek systeem
Door die manipulatie hoeven uithalers niet het terrein op, maar de container met de bestelde inhoud wordt het terrein afgereden en in de systemen lijkt niets aan de hand te zijn. Recent werd een crimineel veroordeeld tot een lange gevangenisstraf voor het manipuleren van een logistiek systeem. Dat ging via een handlanger binnen het havenbedrijf die een gemanipuleerde usb-stick in het netwerk stak. Hackers konden vervolgens via een ‘achterdeurtje’ het systeem beïnvloeden.
Positie in de keten
Een vierde ontwikkeling die wordt genoemd: beveiligingsrisico’s die omstaan door digitaal verbonden ketens. Takkenberg: ‘Denk na over jouw positie in die keten. Nu supply chains steeds vaker digitaal gekoppeld zijn, ben je eenvoudiger aan te vallen via een kwetsbaarheid bij een andere partij.’ Volgens hem heeft ASML hacken waarschijnlijk weinig kans van slagen. ‘Dat bedrijf is goed beschermd. Maar binnenkomen via een ketenpartner zou wellicht wel kunnen. Omgekeerd gebeurt het ook, dat ergens in de keten iemand wordt geraakt waar jij last van hebt.’ Hij noemt als voorbeeld ransomware-aanvallen op ict-dienstverleners. Zo kwam in 2022 de zorg in 120 tandartspraktijen stil te liggen door een aanval op de ict-dienstverlener van dat mondzorgbedrijf. Takkenberg: ‘Criminelen weten veel vaker die bedrijven te raken die een uitgebreide keten hebben. Omdat ze daarmee gewoon veel meer effect sorteren. Ict-dienstverleners zijn dus een populair doelwit.’
Roer om
Om cyberaanvallen het hoofd te bieden en te voldoen aan de steeds veranderende behoefte aan technische en bedrijfskundige expertise gooide Northwave dit jaar zelf ook het roer om. Afdelingen zijn opnieuw ingedeeld, de Benelux-tak heeft een nieuwe manager en er is een nieuw bedrijfsonderdeel opgetuigd. Ceo en oprichter Steven Dondorp vertelde eerder aan Computable over die transformatie. Hij schetste hoe het van oorsprong Nederlandse bedrijf het afgelopen decennium steeds meer actief is geworden in Europa en daar de organisatie op aanpast. Zo wordt het cert (computer emergency response team) gecentraliseerd voor heel Europa en is een Cyber Fusion Centre dat innovaties doorontwikkeld voor de hele Northwave-groep opgezet. Specifieke regioteams concentreren zich op lokale klanten. Takkenberg is sinds het begin van 2024 benoemd tot general manager van het nieuwe Europese onderdeel Onderzoek & Innovatie. Oud-KPN gediende Talitha Papelard neemt zijn vorige post, general manager voor de Benelux-tak, in. Ook zijn er vestigingen in Duitsland en Zweden geopend. Takkenberg: ‘Er is naast bedrijfskundigen die de impact van aanvallen in kaart brengen nog steeds plek voor techneuten’. Hij noemt als voorbeeld experts die via reverse engineering malware ontleden en zo zien welke staat erachter zit. Hij ziet ook dat die malware vernuftiger wordt waardoor standaard monitoring vaak niet meer werkt.
Hij roept bedrijven op om open te zijn over incidenten, risico’s en gevaren zodat deze beter in kaart worden gebracht en bijdragen aan meer begrip. ‘Bijvoorbeeld als je leest over de impact van een aanval op een bedrijf en wat het met personeel doet als ze een weekend lang door moeten werken omdat ook de back-ups zijn versleuteld.’ Takkenberg die na een uur naar zijn volgende afspraak moet: Eigenlijk komen die bedrijven er bijna altijd sterker uit. Of in ieder geval eensgezinder.’
Beknopte cv Pim Takkenberg
2014- heden: Ict-beveiliger Northwave, general manager Onderzoek & Innovatie, voorheen: general manager Benelux, directeur cybersecurity.
2004-2013: Politie onder andere teamleider Team Hight Tech Crime
1999-2004: Regiokorps politie Amsterdam coördinator tactische opsporing
Gerelateerde artikelen:
