• Home
• Nieuws

Sander Bussink (OneXillium): Cybersecurity is geen eenmalig project, maar een werkwoord

Geplaatst door CorporatieMedia op Wednesday 26 March 2025

De laatste jaren is er vanuit de sector steeds meer aandacht voor security en informatiebeveiliging. Maar zijn de risico’s op ransomwareaanvallen en datalekken inmiddels genoeg gedicht of is er ruimte voor verbetering? CorporatieGids.nl sprak erover met Sander Bussink van OneXillium: “Bij elke corporatie waar wij een pentest uitvoeren, hebben we binnen twee dagen de volledige IT-omgeving overgenomen.”

De securitydreigingen in de corporatiesector zijn de laatste jaren fors toegenomen, begint Sander het gesprek: “Een van de belangrijkste ontwikkelingen is de toename van ransomwareaanvallen. Dit zijn situaties waarin criminelen bestanden of hele computersystemen gijzelen waardoor de business in gedrang komt én er losgeld wordt gevraagd. Ook zien we veel datadiefstal en -inbreuk, waardoor gegevens op straat komen te liggen. Als laatste zien we steeds meer misleiding. Via phishing en social engineering worden medewerkers misleid om persoonlijke of vertrouwelijke gegevens te geven, wat vervolgens gebruikt kan worden bij bijvoorbeeld een ransomwareaanval.”

Geavanceerde aanvallen
Met de komst van AI en nieuwe digitale middelen wordt het voor criminelen steeds gemakkelijker om met minder kennis meer impact te maken. Sander: “Vroeger was een ‘fout’ mailtje makkelijker te herkennen, vanwege spelfouten of omdat het duidelijk uit het buitenland kwam. Dat is nu heel anders. De aanvallen worden steeds geavanceerder en de organisatie erachter is vaak professioneel ingericht. Het gebeurt nu regelmatig dat een frauduleuze factuur wordt gestuurd door een vertrouwd e-mailadres, met een telefoonnummer naar een Nederlandse helpdesk om men er doorheen te leiden.”

Wachtwoordpatronen
Op de vraag waar de grootste risico’s liggen voor woningcorporaties, zegt Sander: “Het zijn vaak de basismaatregelen die nog niet goed gaan. Toegangssystemen zijn onvoldoende beveiligd, software is niet up-to-date waardoor corporaties kwetsbaar zijn en het bewustzijn bij medewerkers ontbreekt. Dat laatste zie je bijvoorbeeld terug in de kwaliteit van wachtwoorden. Wanneer we passwordaudits uitvoeren komen we voordehand liggende patronen tegen, zoals leeftijd, geboortejaren of hobby’s waardoor je wachtwoord makkelijker te raden is waar hackers misbruik van maken. Daarnaast gaan organisaties onbewust om met passwordpolicies. Wanneer bijvoorbeeld elke 90 dagen een wachtwoord moet worden gewijzigd, voegen medewerkers vaak een makkelijk te onthouden woord toe. ‘Lente’ of ‘herfst’ zijn dan ook veelvoorkomende wachtwoordafsluitingen.”

Binnen twee dagen binnen
“De belangrijkste deler bij alle pentesten die we uitvoeren bij woningcorporaties, is dat we binnen twee dagen de complete IT-omgeving hebben overgenomen. En dat is een enorm gevaarlijke situatie. Wanneer een kwaadwillende die controle heeft over je landschap, kan hij gemakkelijk ransomware installeren of data stelen zonder dat je het doorhebt.”

Continu proces
Jezelf beter beveiligen tegen criminelen is een continu proces, gaat Sander verder: “Dat begint bij bewustzijn van bovenaf. Bestuurders moeten doorhebben dat zij verantwoordelijk zijn voor de cyberveiligheid van hun corporatie, en zorgen dat hier budget en tijd voor wordt vrij gemaakt. Vaak zien we nog dat security iets is wat een IT-medewerker ‘erbij’ doet, maar dat is tegenwoordig niet meer voldoende. Vergelijk het met brandpreventie: daar wordt ieder jaar aandacht aan besteed omdat de gevolgen enorm kunnen zijn. Maar de kans op een securityincident is honderden malen groter. Daar moet je aandacht voor hebben.”

Corporatie LIVE Kennisdag
“OneXillium kan helpen de juiste expertise hierbij te laten aansluiten. We voeren pentesten uit en bieden corporaties CISO as a service om beveiliging naar een hoger niveau te tillen. Samen dichten we gaten in de beveiliging, ondersteunen we het management, geven we inzicht in risico’s, helpen we bij het schrijven van beleid en kijken welke technische maatregelen moeten worden genomen. Ook trainen we medewerkers op hun securitybewustzijn en leren we hen omgaan met de gevaren van digitaal werken. Corporaties die hier interesse in hebben en graag stappen willen zetten, zijn van harte welkom bij onze sessie op de CorporatieGids LIVE Kennisdag waarin we kijken in hoeverre hun organisatie BIC-compliant is.”

Cybersecurity als werkwoord
Hoewel iedere corporatie uniek is, zijn de resultaten van de pentesten voor iedere corporatie waardevol, sluit Sander af: “We zien immers dat veel corporaties dezelfde gevaren lopen. Techniek verandert continu, nieuwe medewerkers worden aangenomen en  kwetsbaarheden veranderen. Dat betekent dat het nemen van preventieve maatregelen en deze blijvend te testen essentieel is om de risico’s te minimaliseren. Cybersecurity is dan ook geen eenmalig project, maar een werkwoord.”

Bron: CorporatieMedia, Foto: OneXillium