Ondernemer Xander Koppelmans hoeft geen moeite te doen om de aandacht van zijn publiek vast te houden. Elk woord komt binnen, wanneer hij in de voormalige Haarlemse Koepelgevangenis vertelt over die ene dag in 2015, toen zijn bedrijf werd onderworpen aan wat in cybertaal een ‘brute-force-attack’ wordt genoemd.
Koppelmans: ‘Het was alsof er een brandbom naar binnen werd gegooid.’
De vijftiger uit Rucphen was op donderdag 15 februari een van de sprekers tijdens de cybersessie Het Slachtoffer in Beeld, een door het OM, het landelijk programma Cybercrime en het Platform Veilig Ondernemen (PVO) georganiseerde themamiddag waarop ondernemers, OM-medewerkers, politiemensen en ketenpartners werden bijgepraat over de impact van cybercrime op slachtoffers. Middagvoorzitter van dienst was onze plaatsvervangend hoofdofficier Corien Fahner, tevens lid van de Raad van Toezicht van het PVO, die na het verhaal van Koppelmans net zo stil als alle anderen was geweest. ‘Jeetje Xander …’
Bang voor internetbankieren
Eerder die middag was het woord aan Jildau Borwell, promovendus aan het Cyber Science Center en senior cybercrime-analist bij de politie. Zij vertelde over de gevoelens die cyberdelicten bij slachtoffers teweeg kunnen brengen. Dat het zelfbeeld van mensen wordt aangetast, dat zij schaamte ervaren, dat het bij slachtoffers tot angsten, depressie en sociaal isolement kan leiden.
Borwell: ‘Je had ook niet op die link moeten drukken’, wordt vaak gezegd tegen slachtoffers die zijn opgelicht via de mail. Zulke woorden kunnen het zelfbeeld van slachtoffers aantasten. Terwijl: als in je huis wordt ingebroken, zegt niemand zoiets.’
Bij een woninginbraak doet de politie ook meer, vertelt Borwell. ‘Er komen dan allerlei mensen langs. Ze bepoederen je huis voor vingerafdrukken, onderzoeken ramen, deuren en sloten … Maar bij cybercrime? Dan blijft het soms bij het doen van aangifte. Er is vaak ook minder terugkoppeling naar slachtoffers. Hierbij speelt ook mee dat men bij de politie denkt: ‘Dat geld van die internetoplichting krijgen de slachtoffers toch wel terug van de bank.’ Daarmee wordt de impact van het delict onderschat.’
Als onderzoekster is zij doordrongen van die impact. ‘Soms worden slachtoffers bank om te internetbankieren. Enkelen denken aan suïcide, zo heftig is wat zij hebben meegemaakt.’
Gelukkig, vertelt ze, zijn er al initiatieven als de digitale meldkamer. Hoewel er niet zoiets bestaat als een plaats delict, kunnen speciale agenten toch bij slachtoffers langsgaan om in hun vertrouwelijke omgeving te horen wat er is gebeurd. Borwell twijfelt dan ook niet: ‘Oók cybercrime is High Impact Crime.’
De stekker eruit trekken
Na de pauze volgt het relaas van Xander Koppelmans. ‘Donderdag 2 april 2015, rond 10.30 uur ’s ochtends. Ik zal dat moment nooit vergeten’, vertelt hij. Koppelmans,toen al 25 jaar eigenaar van een reclamebureau met op dat moment acht man in dienst, zag hoe het ene na het andere bestand van zijn computer werd gewist. Map na map werd geleegd en waar hij eerst nog dacht dat het zinvol kon zijn de computer uit en weer aan te zetten, kreeg hij het een stuk benauwder toen ook dat niet hielp en hij en zijn collega’s concludeerden dat zij dit nog nooit eerder hadden meegemaakt.
Koppelmans, zich richtend tot de aanwezigen: ‘Wat zouden jullie op dat moment hebben gedaan?’
Iemand uit de zaal: ‘De politie bellen?’
Een ander: ‘De stekker eruit trekken.’
Dat laatste had Koppelmans ook gedaan, maar helpen deed het niet. De uitvoerders van de brute-force-attack hadden zijn systemenin de greep. Meer dan twaalfhonderd klantenaccounts werden uitgewist alsof ze nooit hadden bestaan, tot de kopieën op zijn extra harde schrijven aan toe.
Later zou hij zich vaak afvragen waarom juist hij door hackers was aangevallen, als doodgewone ondernemer, met een gemiddelde omzet. Zo leerde hij dat het de hackers niet zozeer te doen was om zijn bedrijf, als wel om de gegevens van de bedrijven waarmee hij zakendeed. ‘Bij mijn klanten komen ze niet binnen, bij mij wel.’ Hoe? Door in een mum van tijd zijn wachtwoord te kraken. Wie het waren? Vermoedelijk Chinezen, zo kreeg hij te horen van een ethisch hacker die de aanval onderzocht.
Nu waarschuwt hij ondernemers om de beveiliging van hun bedrijf uiterst serieus te nemen. ‘Werk met lange wachtwoorden, de mijne is nu 125 tekens … gebruik twee-factor-authenticatie … Stel updates van je systemen nóóit uit, doe ze meteen …’
Hij drukt aanwezigen op het hart om cyberveiligheid niet als een beroep te zien van IT-deskundigen, maar als een gedeelde verantwoordelijkheid van ons allemaal. ‘Qua cijfers overstijgt cybercriminaliteit de drugshandel.’ Alle ondernemers lopen risico volgens hem. ‘Het is niet de vraag of jij aan de beurt komt, maar wanneer.’
Zijn bedrijf zou de hack nooit te boven komen. De sfeer op de werkvloer werd aangetast en door het vertrek van goede mensen ging de winstgevendheid omlaag. Na anderhalf jaar bedroeg de schade niet enkele tonnen, maar meer dan 1.5 miljoen euro. Medewerkers laten gaan, de verkoop van zijn auto, het extra krediet van de bank: het bleken slechts doekjes voor het bloeden. Zijn accountants adviseerden hem de stekker eruit te trekken. ‘Dit red je niet meer.’ Koppelmans deed het met tegenzin.
Niet veel later volgde ook het einde van zijn relatie. ‘Ik kan jou niet meer troosten’, had zijn vrouw gezegd.
Hoewel het hem nog altijd emotioneert, blijft Koppelmans over zijn ervaringen vertellen. Niet alleen hij moet hier van leren, is zijn idee.
Iets dat alle experts in de zaal roerend met hem eens zijn. Hoe meer bewustzijn over cybercrime, hoe beter.
Bron: Fabian van der Poll / OM
