Slachtoffer en hacker op één podium: good guy, bad guy

Op het podium stonden twee mannen die normaal gesproken aan tegenovergestelde kanten van het speelveld staan. Xander Koppelmans, ondernemer en slachtoffer van een verwoestende hack. En Edwin van Andel, ethisch hacker die dagelijks probeert bedrijven juist veiliger te maken. Samen vormden ze een onverwacht sterke combinatie. Het publiek (voornamelijk Business Partners en accountmanagers van Vodafone Business) kreeg een kijkje in de digitale onderwereld. Verteld door zowel degene die werd geraakt als degene die de kwetsbaarheden blootlegt.

Lees verder: Hoe ondernemer Bram Bertels zijn bedrijf veilig maakt.

Xander Koppelmans begint zijn verhaal als de typische mkb-ondernemer. Hij runt een creatief bureau, heeft acht medewerkers en een omzet van ongeveer 1,5 miljoen euro. Zijn dagen gaan normaal gesproken over marges, personeel en klanten. Cybersecurity? Dat leek een ver-van-zijn-bed-show. “Ik dacht: ik heb niks dat het waard is te stelen. Bovendien: ik werk op Apple en ik heb een IT’er. Bij mij kan weinig gebeuren.”  

Tot het moment dat het wél gebeurt. Op een ochtend ziet hij hoe de mappen op zijn servers letterlijk verdwijnen. Eén voor één. Geen waarschuwing, geen alarmsignaal. Gewoon weg. Paniek. “Wat doe je dan? Stekker eruit?” vertelt hij. “Dat was ongeveer het enige waar ik op kon komen.”

''Het blijkt achteraf het begin van een lange nachtmerrie. Back-ups blijken ook besmet. Data is grotendeels verloren. En de schade loopt snel op: eerst bijna drie ton aan directe kosten voor herstel, forensisch onderzoek, ingehuurde securityspecialisten en verloren data. Daarna groeit het bedrag naar een half miljoen doordat het team maandenlang nauwelijks nog aan klantwerk toekomt.

Uiteindelijk loopt de totale schade op tot meer dan anderhalf miljoen euro, doordat gemiste omzet, niet-declarabele uren, klantverlies en reorganisatiekosten zich blijven opstapelen. Zijn bedrijf houdt het niet vol. Negentien maanden na de hack vraagt hij zelf faillissement aan. Zijn bedrijf, zijn huis en uiteindelijk ook zijn huwelijk gaan verloren. De zaal is muisstil.

Cybersecurity zakelijk bekeken: 'Cybersecurity: bedrijfseconomisch essentieel voor elke mkb’er'

Waar Xanders verhaal pijn doet, zorgt Edwin van Andel regelmatig voor een andere energie in de zaal. Niet door de ernst te bagatelliseren, maar door te laten zien hoe hackers denken. En dat blijkt vaak verrassend simpel. “Wij hackers maken geen gaten in systemen”, zegt hij. “Wij vinden ze.” Hij vertelt hoe wachtwoorden worden geraden, hoe wifi-netwerken worden onderschept en hoe beveiliging soms verrassend makkelijk te omzeilen is. Soms met geavanceerde software. Soms met een vismagneet, een stukje whisky of een slimme truc. Zijn verhalen leveren gelach op in de zaal, maar de boodschap is duidelijk: digitale beveiliging faalt vaak niet door complexe aanvallen, maar door menselijke fouten.

Juist de wisselwerking tussen de twee sprekers maakt de keynote zo sterk. Waar Koppelmans het menselijke drama laat zien van cybercrime, legt Van Andel uit hoe hackers werken en waarom systemen kwetsbaar zijn. Het voelt soms bijna als een dialoog tussen slachtoffer en aanvaller. Wanneer Koppelmans uitroept “klotehackers”, reageert Van Andel droog: “Niet allemaal.” De zaal lacht, maar de boodschap blijft hangen: hackers zijn er in alle soorten en maten. Criminelen, maar ook specialisten die bedrijven helpen om gaten te dichten voordat kwaadwillenden ze vinden.

Wat kunt ú doen? 'Video: ondernemer test de Security Scan en dit is wat hij ontdekt'

Aan het einde komen de twee werelden weer samen. Koppelmans vergelijkt cybersecurity met verkeersveiligheid. In het verkeer accepteren we regels, gordels en rijbewijzen. Op internet is dat nog nauwelijks het geval. Volgens hem moeten organisaties volwassen worden in hun digitale gedrag. 

Van Andel sluit af met een beeld dat perfect past bij het publiek van Vodafone Business. Bedrijven hebben partners nodig die hen beschermen tegen digitale risico’s. “Misschien”, zegt hij, “moeten jullie gewoon de digitale airbag zijn voor jullie klanten.”

Zijn voorbeelden maakten in de zaal veel los. Niet alleen gelach, maar ook herkenning. Want wie gebruikt er niet een wachtwoord met een hoofdletter, een paar letters, cijfers en een uitroepteken? Precies dat soort patronen maken accounts kwetsbaar. Zeker nu AI wachtwoorden steeds sneller kan kraken. 

Na een moment stilte volgt een lang applaus. Niet alleen voor het verhaal. Maar vooral voor de les die iedereen in de zaal nu voelt: cybercrime is geen technisch probleem. Het kan iedereen overkomen.