Wouter hackte camera's en kon op afstand meekijken in talloze woningen

In dit artikel:

Wouter van Dongen (40), eigenaar van het Leidse cybersecuritybedrijf DongIT, laat op zijn scherm bergen gestolen data zien die op het darkweb worden verhandeld: paspoorten, login‑gegevens en zelfs ongeveer een terabyte aan gevoelige informatie van een groot levensmiddelenbedrijf. Vanuit zijn rol als ethisch hacker dringt hij op verzoek systemen binnen om kwetsbaarheden te vinden; zijn klanten lopen van overheden en universiteiten tot ASML en de Europese Centrale Bank.

De recente grootschalige datadiefstal bij telecombedrijf Odido — waarbij hackersgroep Shinyhunters gegevens van zo’n 6 miljoen Nederlanders stal en na weigerend losgeld publiceerde — illustreert volgens Van Dongen dat zulke incidenten bijna dagelijks voorkomen. Hij vertelt dat hij zelf eerder wachtwoorden van diensten zoals LinkedIn en Dropbox op het darkweb tegenkwam. Praktijkvoorbeelden maken de risico’s concreet: in een test bij een groot Nederlands ziekenhuis verkreeg hij met relatief weinig moeite toegang tot het interne netwerk, beveiligingscamera’s en systemen die deuren, liften en toegangscontrole regelen. Bij waterschappen wist hij vanaf zijn kantoor sluizen en gemalen te beïnvloeden; bij een test van zeer goedkope Chinese beveiligingscamera’s had hij binnen een halve dag controle over miljoenen apparaten en kon hij gevoelige beelden verzamelen.

Volgens Van Dongen zijn veel bedrijven en leveranciers naïef over beveiliging: certificaten worden vertrouwd terwijl systemen toch eenvoudig te kraken blijken. Basishygiëne helpt veel: ken je ICT‑voorraad, voer updates door, gebruik goede beveiligingssoftware, forceer unieke wachtwoorden en tweestapsverificatie (2FA). Daarnaast adviseert hij netwerksegmentatie zodat een besmetting niet een kettingreactie veroorzaakt, en heldere procedures voor het direct blokkeren van accounts bij vertrek van personeel.

Gedrag en cultuur noemt hij cruciaal: vroeg of laat deelt iemand per ongeluk een wachtwoord, daarom moet er een veilige sfeer zijn waarin fouten gemeld worden. Regelmatig oefenen met phishing‑tests en interne nabesprekingen helpt medewerkers bewuster te maken. Let ook op digitale signalen (zoals nachtelijke grote datastromen) en beperk hoeveel technische details organisaties en leveranciers openbaar delen — zulke informatie maakt het misdadigers makkelijker. Fysieke beveiliging blijft belangrijk; bij een test kreeg Van Dongen een toegangspas bij de receptie en kon tot bij servers komen.

Tot slot waarschuwt hij voor nieuwe smoesjes van criminelen, zoals door AI gegenereerde stemimitaties of valse helpdesks die vooral kwetsbare groepen zoals ouderen benaderen. Zijn boodschap: geen paniek, maar wel waakzaamheid en investeren in zowel technische maatregelen als een cultuur waarin medewerkers fouten durven melden en van elkaar leren.