Gina Doekhie: cybercriminelen werken soms professioneler dan gewone bedrijven

Dag twee van het NARIM-congres begon met een reality check die bij veel aanwezigen nog wel even zal zijn blijven hangen. Want waar cybercriminaliteit voor sommigen nog steeds voelt als iets abstracts of technisch, maakte keynote speaker Gina Doekhie één ding pijnlijk duidelijk: cybercrime is allang geen schimmige hobby meer van een jongen in een hoodie op een zolderkamer. Het is een professionele industrie geworden.

 

Keynotespeaker Gina Doekhi (fotografie Valk Visual Media, Riechelle van der Valk)

Met energie, scherpe voorbeelden en zichtbaar enthousiasme nam Gina de zaal mee in de wereld van ransomwaregroepen, digitale oplichters en staatgesteunde hackers. Een wereld die soms zó georganiseerd bleek, dat meerdere aanwezigen zich hardop afvroegen of sommige cybercriminelen hun bedrijfsvoering beter op orde hebben dan reguliere organisaties.

Het stereotype hackerbeeld kan de prullenbak in
Gina begon haar verhaal met een beeld dat iedereen direct herkende: de klassieke hacker in een donkere hoodie, verscholen achter een laptop en een Anonymous-masker. Vervolgens haalde ze dat stereotype binnen een paar minuten volledig onderuit. Want hackers blijken net zo divers als de samenleving zelf. Jong, oud, man, vrouw, cybercriminelen hebben allerlei achtergronden en motivaties. Wat hen bindt is technische kennis, creativiteit en een vermogen om razendsnel mee te bewegen met nieuwe technologie.
Gina weet waar ze over spreekt. Met een achtergrond in AI en Forensic Science werkte zij jarenlang als digitaal forensisch onderzoeker bij Fox-IT en sinds 2019 is zij cybercrime specialist bij de politie in Den Haag. Daarnaast geeft zij awareness-workshops en lezingen over cyberveiligheid. Vijftien jaar praktijkervaring vormde de basis van een presentatie die de zaal moeiteloos wist te boeien.

Ransomware als verdienmodel
Een groot deel van haar verhaal draaide om georganiseerde ransomwaregroepen. Niet langer losse hackers, maar professionele criminele organisaties met een duidelijke taakverdeling, verdienmodel en zelfs klantenservice. Gina schetste hoe ransomware-aanvallen tegenwoordig vaak verlopen volgens het principe van ‘double extortion’: data wordt niet alleen versleuteld, maar ook gestolen. Wie niet betaalt, loopt dus niet alleen operationele schade op, maar riskeert ook dat vertrouwelijke informatie op straat belandt. Nederlandse organisaties kregen daar de afgelopen jaren volop mee te maken. Namen als de Universiteit Maastricht, RTL, MediaMarkt, VDL Groep en de KNVB passeerden de revue.
Opvallend genoeg daalt wereldwijd het aantal organisaties dat daadwerkelijk losgeld betaalt, terwijl het aantal aanvallen juist fors stijgt. Volgens Gina heeft dat deels te maken met betere awareness, maar ook met de harde realiteit dat betalen lang niet altijd helpt. Gestolen data duikt soms alsnog op het darkweb op. Zelfs nadat een organisatie heeft betaald.

Een kijkje op het darkweb
Dat darkweb kwam tijdens haar presentatie letterlijk in beeld. Live demonstreerde Gina hoe eenvoudig cybercriminelen daar diensten aanbieden. Valse paspoorten, phishingkits, gehackte accounts, ransomware-software en zelfs complete ‘cybercrime-as-a-service’-diensten blijken gewoon online verkrijgbaar. De zaal keek zichtbaar gefascineerd en soms licht ongemakkelijk — toe hoe professioneel sommige platforms eruitzagen. Inclusief reviewsystemen, abonnementenmodellen en handleidingen voor beginnende cybercriminelen. Daarmee maakte Gina een belangrijk punt: cybercrime is inmiddels een volwassen ecosysteem geworden, waarin specialisten samenwerken alsof het gewone bedrijven zijn. De één verkoopt toegang tot systemen, de ander ontwikkelt ransomware en weer een ander voert de aanval uit.

Cyberoorlog en digitale beïnvloeding
Maar geld is allang niet meer de enige drijfveer. Gina liet ook zien hoe staatgesteunde hackers opereren. Pro-Russische groepen voeren bijvoorbeeld DDoS-aanvallen uit op websites van NAVO-landen en maken daarbij slim gebruik van sociale media, Telegramgroepen en gamification om jongeren te recruteren. Zelfs minderjarigen blijken soms betrokken te raken bij digitale spionage of hackactiviteiten. Een ontwikkeling die volgens Gina zorgwekkend snel groeit.

De mens blijft de zwakste schakel
Toch zat de grootste kwetsbaarheid volgens haar niet in techniek, maar in menselijk gedrag. Veel ransomware-aanvallen beginnen nog altijd met phishing, gestolen wachtwoorden of medewerkers die ongemerkt toegang weggeven. En juist daar ligt volgens Gina nog enorm veel winst. Want hoewel bedrijven investeren in technologie, ontbreekt het vaak nog aan structurele awareness, crisisoefeningen en betrokkenheid vanuit management en bestuur. De cijfers die zij deelde, onderstreepten dat probleem. Veel organisaties blijken hun back-ups niet goed getest te hebben of weten niet eens zeker of systemen daadwerkelijk hersteld kunnen worden na een aanval.

Op weg naar de Risky Campus
Na afloop bleef de boodschap nog voelbaar hangen in de zaal: cyberdreigingen worden professioneler, sneller en slimmer. En organisaties die denken dat “het hen waarschijnlijk niet zal overkomen”, lopen misschien wel het grootste risico van allemaal.

Met die gedachte vertrokken de congresdeelnemers vervolgens richting de verschillende kennissessies op de Risky Campus. Gewapend met nieuwe inzichten en vermoedelijk met iets meer argwaan tegenover verdachte mailtjes, onbekende links en vriendelijke helpdeskmedewerkers aan de telefoon.