Hacken

Hacken is het ongeautoriseerd binnendringen van computersystemen, netwerken of digitale apparaten. In de kern draait hacken om het vinden en exploiteren van kwetsbaarheden in software, hardware of menselijke processen om toegang te verkrijgen tot systemen waarvoor je geen toestemming hebt. In Nederland is hacken strafbaar onder artikel 138ab van het Wetboek van Strafrecht, beter bekend als computervredebreuk. Toch is niet elke vorm van hacken illegaal: ethisch hacken, waarbij beveiligingsonderzoekers met toestemming kwetsbaarheden opsporen, is een essentieel onderdeel van moderne cybersecurity. Het verschil tussen crimineel hacken en ethisch hacken ligt volledig in de intentie en de toestemming van de systeemeigenaar.

Hacken heeft zich ontwikkeld van een hobbymatige activiteit in de jaren '70 en '80 tot een professioneel crimineel ecosysteem met miljardenomzetten. Moderne hackers opereren in georganiseerde groepen, vaak met steun van statelijke actoren, en beschikken over geavanceerde tools en technieken. Volgens het NCSC vormen statelijke hackers en cybercriminelen de grootste dreiging voor Nederlandse organisaties. Tegelijkertijd is de markt voor ethisch hacken en penetratietesten sterk gegroeid, omdat organisaties hun beveiliging proactief willen testen voordat kwaadwillenden dat doen.

Hoe werkt hacken?

Hacken volgt doorgaans een gestructureerd proces dat vergelijkbaar is met het MITRE ATT&CK-framework. De eerste fase is verkenning (reconnaissance), waarbij de aanvaller informatie verzamelt over het doelwit. Dit omvat het scannen van netwerken op open poorten, het inventariseren van gebruikte software en versies, en het verzamelen van informatie via open bronnen (OSINT). Tools als Nmap, Shodan en Maltego worden hiervoor veelvuldig gebruikt.

Na de verkenning volgt het daadwerkelijk binnendringen. Dit kan via technische kwetsbaarheden in software, zoals een ongepatchte server of een SQL injection in een webapplicatie. Maar ook via social engineering, waarbij de aanvaller medewerkers manipuleert om inloggegevens te verstrekken of malware te installeren. Phishing is de meest voorkomende social engineering-techniek en is bij meer dan 80% van de succesvolle aanvallen het instappunt.

Eenmaal binnen probeert de hacker privileges te escaleren, lateraal door het netwerk te bewegen en persistentie te creeren zodat de toegang behouden blijft, ook als de initiele kwetsbaarheid wordt gepatcht. Het uiteindelijke doel varieert: datadiefstal, ransomware-installatie, spionage, of het saboteren van systemen. Geavanceerde aanvallers besteden soms maanden aan het onopgemerkt navigeren door netwerken voordat zij hun eigenlijke aanval uitvoeren.

Ethisch hacken volgt hetzelfde technische proces, maar dan binnen een afgesproken scope en met schriftelijke toestemming. Pentestbedrijven rapporteren gevonden kwetsbaarheden aan de opdrachtgever, die vervolgens maatregelen kan treffen. In Nederland biedt het Coordinated Vulnerability Disclosure (CVD) beleid van het NCSC een kader voor het verantwoord melden van kwetsbaarheden, ook zonder voorafgaande toestemming.

Hoe herken je hacken?

Het herkennen van een hackpoging of een actieve inbraak vereist continue monitoring van systemen en netwerken. Indicatoren van compromise (IoC's) zijn signalen die wijzen op ongeautoriseerde toegang. Typische IoC's zijn ongewone inlogpogingen buiten kantooruren, logins vanaf onbekende IP-adressen of locaties, onverklaarbare wijzigingen in systeemconfiguraties, en ongebruikelijk netwerkverkeer naar externe servers.

Een Security Information and Event Management (SIEM)-systeem verzamelt en analyseert loggegevens uit diverse bronnen en kan verdachte patronen automatisch detecteren. Endpoint Detection and Response (EDR)-oplossingen monitoren individuele werkstations en servers op verdacht gedrag zoals het uitvoeren van onbekende processen of het escaleren van rechten. Network Detection and Response (NDR) analyseert het netwerkverkeer op afwijkingen en kan laterale bewegingen van aanvallers detecteren.

Organisaties die geen dedicated security team hebben, kunnen overwegen om een Managed Security Service Provider (MSSP) in te schakelen die 24/7 monitoring biedt via een Security Operations Center (SOC). Vroegtijdige detectie is cruciaal: hoe langer een hacker ongemerkt in het netwerk verblijft, hoe groter de potentiele schade. Onderzoek wijst uit dat de gemiddelde verblijftijd van een aanvaller in een netwerk (dwell time) nog altijd weken tot maanden kan bedragen wanneer er geen adequate monitoring is ingericht.

Hoe bescherm je je tegen hacken?

Bescherming tegen hacken vereist een gelaagde aanpak, ook wel defense in depth genoemd. De basis bestaat uit het tijdig patchen van software en besturingssystemen, het implementeren van sterke wachtwoordbeleid en multi-factor authenticatie, en het segmenteren van netwerken zodat een inbraak op een systeem niet direct toegang geeft tot het hele netwerk.

Op organisatorisch niveau zijn security awareness trainingen voor medewerkers essentieel, aangezien phishing en social engineering de meest gebruikte instappunten zijn. Regelmatige penetratietesten door erkende beveiligingsbedrijven helpen om kwetsbaarheden te identificeren voordat aanvallers dat doen. Het opzetten van een incident response plan zorgt ervoor dat de organisatie snel en effectief kan reageren wanneer een hackpoging wordt gedetecteerd.

Juridisch gezien is computervredebreuk strafbaar met een maximale gevangenisstraf van een jaar of een geldboete van 22.500 euro. Bij verzwarende omstandigheden, zoals het kopiieren van gegevens of het veroorzaken van schade, kan de straf oplopen tot vier jaar. Wanneer de inbraak is gepleegd in georganiseerd verband of gericht op vitale infrastructuur, gelden nog zwaardere straffen. Het is belangrijk dat organisaties aangifte doen bij de politie bij een vermoeden van hacken, zodat daders kunnen worden opgespoord en vervolgd.

Daarnaast is het raadzaam om een vulnerability disclosure-beleid op te stellen, zodat ethisch hackers die kwetsbaarheden vinden deze op een verantwoorde manier kunnen melden. Dit voorkomt dat goedbedoelde onderzoekers strafrechtelijk worden vervolgd en stimuleert het proactief ontdekken van zwakke plekken in je beveiliging.

Veelgestelde vragen over hacken

Is ethisch hacken legaal in Nederland?

Ethisch hacken is legaal wanneer je voorafgaand schriftelijke toestemming hebt van de systeemeigenaar. Bij penetratietesten wordt dit vastgelegd in een contract met duidelijke scope-afspraken. Het CVD-beleid biedt daarnaast een kader voor het melden van kwetsbaarheden, maar biedt geen volledige juridische bescherming.

Wat is het verschil tussen een hacker en een ethisch hacker?

Het verschil zit in intentie en toestemming. Een criminele hacker dringt zonder toestemming binnen met als doel datadiefstal, financieel gewin of sabotage. Een ethisch hacker doet hetzelfde werk, maar met toestemming en rapporteert kwetsbaarheden zodat de eigenaar ze kan verhelpen.

Hoe word je ethisch hacker in Nederland?

Je kunt een opleiding volgen bij erkende instituten en certificeringen behalen zoals CEH (Certified Ethical Hacker), OSCP of GPEN. Veel ethisch hackers beginnen via bug bounty-programma's of stages bij beveiligingsbedrijven. Een HBO- of WO-opleiding in cybersecurity of informatica vormt een goede basis.

Wat moet je doen als je gehackt bent?

Isoleer het getroffen systeem direct van het netwerk om verdere schade te voorkomen. Wijzig alle wachtwoorden, informeer je IT-afdeling of security team, en bewaar logbestanden als bewijs. Doe aangifte bij de politie en schakel indien nodig een forensisch onderzoeksbureau in om de omvang van de inbraak vast te stellen.

Hoeveel kost een penetratietest?

De kosten varieren van 3.000 tot 25.000 euro afhankelijk van scope en complexiteit. Een basistest van een webapplicatie kost doorgaans 3.000 tot 8.000 euro. Een uitgebreide test van het volledige netwerk inclusief social engineering kan oplopen tot 25.000 euro of meer bij grote organisaties.

Bescherm je organisatie tegen hackers. Vergelijk penetratietest aanbieders op IBgidsNL.