Criminelen die op zoek zijn naar de persoonlijke gegevens van burgers, gaan steeds professioneler te werk, zeggen Tanaquil Arduin en Theo van Diepen van Logius. Maar als overheidsorganisaties hun krachten bundelen en alert reageren, kunnen ze hen de pas afsnijden.

Op een ochtend in juni van dit jaar ontvangt Logius een melding die direct argwaan wekt. De tekst is kort: de afzender heeft van de overheid een mailtje gekregen dat hij niet vertrouwt. Het mailtje komt terecht bij de fraude-experts die dit soort cyberincidenten onderzoeken en analyseren. De experts nemen het mailtje onder de loep en zijn er snel uit: phishing.

Het hengelen naar bankrekeningnummers, wachtwoorden en andere persoonlijke gegevens is een groeiend probleem. ‘Niet alleen banken en bedrijven, maar ook overheidsorganisaties hebben er steeds meer last van’, zegt chief information security officer Theo van Diepen van Logius. ‘We leven in een maatschappij waarin alles draait om gegevens. Persoonsgegevens brengen vandaag de dag veel geld op.’ Van Diepen vindt het essentieel dat overheidsorganisaties elkaar opzoeken. ‘Daarin sluit ik me graag aan bij onder andere de VNG, die het onderwerp cybersecurity bij gemeenten op de agenda zet. We weten elkaar al te vinden in geval van nood, maar ook daarbuiten kunnen we leren van elkaars ervaringen.'

"De tijd van e-mails vol taalfouten dat er een miljoen voor je klaarstaat, is voorbij."

Theo van Diepen
Theo van Diepen

Net echte nepberichten

Al horen, zien en lezen mensen regelmatig dat ze op hun hoede moeten zijn, een vergissing is snel gemaakt. De tijd van het mailtje vol taalfouten over een Afrikaanse prins die een miljoen voor je heeft klaarstaan, is voorbij. Van Diepen: ‘Valse e-mails en websites zijn tegenwoordig zo goed gemaakt, dat ze voor veel mensen niet van echt te onderscheiden zijn. We mogen van burgers ook niet verwachten dat ze tot in detail weten waar ze op moeten letten. Een nepbericht van de overheid bevat allerlei elementen die het authentiek doen lijken. Sowieso zijn mensen sneller geneigd berichten van de overheid te vertrouwen.’ Daarnaast wordt in phishingmail vaak druk uitgeoefend, vervolgt Van Diepen. ‘Er wordt bijvoorbeeld gedreigd dat iemands account verloopt als diegene niet vóór een bepaalde datum reageert.’

"Phishing kan iedereen overkomen, dus laten we gezamenlijk proberen criminelen een stap voor te zijn."

Meer dan 1.000 meldingen

De mailtjes die in juni bij burgers binnenkwamen, leken daadwerkelijk te zijn verzonden door de overheid en waren nauwelijks van echt te onderscheiden, vertelt Van Diepens collega Tanaquil Arduin. Zij staat aan het hoofd van het team fraude-experts dat de e-mails onderzocht. ‘In dit geval hadden de criminelen het waarschijnlijk gemunt op gegevens van burgers die gebruikmaken van MijnOverheid’, zegt zij. ‘Ontvangers van de e-mails kwamen op een valse MijnOverheid-website terecht, met een nagemaakt DigiD-inlogscherm. De gegevens van de burgers die hebben geprobeerd in te loggen, belandden bij onbevoegde personen.’ Het fraudeteam ontving meer dan 1.000 meldingen van verdachte e-mails. Van 203 accounts bleken daadwerkelijk gegevens te zijn ontvreemd.

Tanaquil Arduin
Tanaquil Arduin

Gezamenlijk het vangnet sluiten

‘Als beheerder van DigiD en MijnOverheid hebben we meteen aangifte gedaan bij de politie en de malafide sites uit de lucht laten halen’, zegt Arduin. ‘Daarnaast werkten we samen met onze ketenpartners, zoals het Nationaal Cyber Security Center en de Rijksdienst voor Identiteitsgegevens. We hebben de getroffen accounts natuurlijk meteen verwijderd. Tot slot ging er een seintje naar alle instanties die met DigiD werken, zoals UWV, de Belastingdienst en de SVB. Op die manier sloten we in gezamenlijkheid het vangnet.’ Het calamiteitenteam van Logius zorgde voor de coördinatie van alle acties.

Dat voorkomen beter is dan genezen, geldt ook hier. Van Diepen legt uit dat Logius doorlopend werkt aan manieren om misstanden eerder te detecteren. Ook wijst hij op het bestaan van technische standaarden die overheidsorganisaties kunnen helpen zich te weren tegen phishing. ‘Bureau Forum Standaardisatie  kan hen daarbij op weg helpen als dat nodig is’, zegt hij.

Veilige mail van Logius herkennen
Hoe kun je een veilige mail van Logius herkennen? Kijk naar afzender, bijlage en links.

Alerte burgers

De belangrijkste zorg was natuurlijk voor degenen met de getroffen accounts. Logius informeerde ze schriftelijk én het Servicecentrum bracht de eigenaren van de accounts ook persoonlijk op de hoogte van het incident . Van Diepen vervolgt: ‘We hebben ze aangeraden nieuwe accounts aan te maken en hun persoonsgegevens op overheidssites vanaf dat moment goed te controleren.

Logius investeert in allerlei slimme oplossingen om de kans op phising zo klein mogelijk te maken, maar uiteindelijk komt het erop aan dat we burgers helpen om alert zijn. Van Diepen licht toe: ‘Zij hoeven niet alle details te kennen, maar het is wel belangrijk dat zij nagaan van wie een e-mail of WhatsApp-bericht afkomstig is, twee keer nadenken voordat zij op een link klikken, checken of de omgeving waarin zij inloggen veilig is, et cetera.’ Phishing kan ons allemaal overkomen, dus laten we ook samen proberen criminelen een stap voor te zijn .’

De Nederlandse overheid wil alle burgers en ondernemers én hun rechten beschermen. Cybersecurity staat daarom voor de overheid hoog op de agenda. Om die reden is op het gebied van cyberveiligheid een aparte agenda opgesteld, namelijk de Nederlandse Cyber Security Agenda.