Congressen
Digitale weerbaarheid wordt steeds belangrijker, maar ‘Je hoeft geen Fort Knox te zijn’
Cyberaanvallen zijn allang geen abstracte dreiging meer. Steeds vaker worden organisaties slachtoffer van cybercriminelen of statelijke actoren. Is Nederland voldoende voorbereid op deze digitale gevaren? En wat moet je als congresorganisatie minimaal op orde hebben om de schade te beperken?
“Cybersecurity is allang geen technisch feestje meer. Het raakt iedereen”, stelt Marcel Spruit, lector Informatiebeveiliging aan de Haagse Hogeschool. Hij doet al twintig jaar onderzoek naar digitale weerbaarheid bij overheden, vitale infrastructuur en bedrijven.
De aandacht voor zijn vakgebied neemt toe, ziet hij. “Het staat structureel hoger op de agenda dan tien jaar geleden, ook door zichtbare incidenten en politieke spanningen. Maar er is nog een wereld te winnen, zeker bij kleinere organisaties.”
Volgens het rapport ‘Cybersecuritybeeld Nederland 2024’ is de digitale dreiging tegen Nederland groot en divers. De meeste aanvallen komen van statelijke actoren zoals Rusland en China, of van cybercriminelen die met ransomware (dan zet een crimineel de toegang tot de software en gegevens op slot en vraagt om losgeld, red.) of datadiefstal grote schade aanrichten.
Een voorbeeld: in 2023 werden zeker 178 Nederlandse organisaties getroffen door ransomware, maar het daadwerkelijke aantal slachtoffers ligt vele malen hoger omdat lang niet iedereen een incident meldt en ook klanten en partners geraakt worden.
Mensen zijn de zwakste schakel
Volgens Robert Molenaar van Hoffmann – een bedrijf dat organisaties test op hun digitale weerbaarheid – zit het grootste risico vaak niet alleen in de techniek, maar ook in het gedrag. “Tachtig procent van de aanvallen begint met phishing (mensen naar een vervalste website lokken om ze zo inloggegevens of geld te ontfutselen, red).”
“Iemand klikt op een linkje en van daaruit begint een cascade van acties. Als je geluk hebt, blijft het bij een spambericht. Maar als een hacker toegang krijgt tot gevoelige gegevens of systemen, kan het snel uit de hand lopen.”
Hoffmann werkt onder andere met gedragspsychologen om te begrijpen waarom mensen zich ondanks waarschuwingen toch onveilig blijven gedragen. “Je kunt gebruikers wel twintig keer vertellen dat ze niet op verdachte linkjes moeten klikken, maar bij de eenentwintigste keer gebeurt het toch. Dan zit het probleem ergens anders.”
Artikel gaat verder onder kader
Cyberbeveiliging NATO Summit 2025
Op 24 en 25 juni 2025 vindt in World Forum The Hague de NAVO-top plaats. Naast de strenge beveiliging van regeringsleiders en andere hoogwaardigheidsbekleders kent het congrescentrum ook een hoogwaardige beveiliging van haar digitale infrastructuur.
Zo is World Forum The Hague het eerste congrescentrum ter wereld dat Trulifi van Signify heeft geïnstalleerd. Deze technologie biedt een veilige, betrouwbare en snelle draadloze verbinding via lichtgolven in plaats van radiogolven, waardoor het netwerk strikt beperkt blijft tot de fysieke ruimte. Dit voorkomt dat onbevoegde gebruikers toegang krijgen tot het netwerk buiten de vergaderruimte. Trulifi biedt extra beveiliging door middel van aangepaste encryptie en specifieke toegangssleutels
Daarnaast beschikt de venue over een hoog beveiligd WiFi-netwerk. Dit netwerk wordt voortdurend aangepast en gecontroleerd om te voldoen aan de nieuwste beveiligingsstandaarden en om klanten te beschermen tegen mogelijke datalekken of cyberaanvallen
Event Risk Profile
Sinds juni 2023 werkt World Forum The Hague met NineID als beveiligingsplatform. NineID zorgt ervoor dat alle benodigde informatie zoals trainingen, veiligheidschecks, vergunningen, identiteitsbewijzen en certificaten van bezoekers, aannemers en werknemers verzameld wordt nog voor ze de locatie bezoeken. Wanneer een persoon geverifieerd en gecontroleerd is, wordt er toegang geven tot het gebouw door middel van biometrische gezichtsauthenticatie, QR-codescanning of mobiele-telefoonauthenticatie.
Voor elk evenement stelt World Forum een Event Risk Profile op, waarin potentiële risico's worden geïnventariseerd, inclusief digitale bedreigingen. Op basis hiervan worden aanbevelingen gedaan om bezoekers en organisatoren te beschermen tegen cyber- en fysieke dreigingen
Het congrescentrum heeft verder nog een on-site crisismanagementteam dat direct kan reageren op veiligheidsincidenten, waaronder digitale aanvallen. Dit team werkt nauw samen met lokale autoriteiten zoals politie en noodhulpdiensten
Zenuwstelsel van de samenleving
In ‘Cybersecuritybeeld Nederland 2024’ noemt het NCTV (Nationaal Coördinator Terrorisme en Veiligheid) digitale processen het zenuwstelsel van de samenleving. Als die processen worden verstoord, raakt dat niet alleen de organisatie zelf, maar vaak ook andere onderdelen van het digitale ecosysteem. Dat bleek in juli 2024, toen een fout in de software van CrowdStrike wereldwijd leidde tot stilgevallen ziekenhuizen, vliegvelden en overheidsdiensten. In Nederland moesten operaties worden geannuleerd en liep het vliegverkeer via Eindhoven volledig vast.
“Dat soort incidenten maakt het belang van digitale weerbaarheid tastbaar”, zegt Spruit. “Zeker nu veel organisaties afhankelijk zijn van een paar grote cloudleveranciers. Dat is een kwetsbaar punt. Als daar iets fout gaat, dan voel je het meteen overal.”
Congressector vaak kwetsbaar
Ook organisaties in de congressector moeten alert zijn, benadrukken beide experts. Niet alleen omdat zij persoonsgegevens verwerken van bezoekers, leveranciers en personeel, maar ook omdat het type communicatie – veel mails, open netwerken, lastminute-aanpassingen – extra risico’s met zich meebrengt.
“De evenementenbranche denkt nog te vaak dat zij geen interessant doelwit is”, zegt Molenaar. “Maar juist door die houding zijn ze kwetsbaar. Ze hebben klantgegevens, ticketinformatie, bankrekeningnummers. En in een sector waar de tijdsdruk hoog is, is er weinig ruimte om ‘even goed na te denken’ bij verdachte e-mails.”
Evenementen zijn al eerder doelwit geweest, benadrukt hij. Zo lagen in 2024 de gegevens van miljoenen Ticketmaster-gebruikers op straat. ‘Dat laat zien dat het ook in deze branche echt mis kan gaan.”
Wat moet je op orde hebben?
Wat kunnen organisaties doen om zich beter te beschermen? Spruit is duidelijk: “Begin met de basis. Zorg dat je weet wat je in huis hebt en weet wat het waard is, dat je systemen up-to-date zijn en dat je de toegang ertoe goed en veilig hebt geregeld. En maak regelmatig een back-up. Dat klinkt simpel, maar heel veel organisaties hebben dat nog niet goed geregeld.”
Het Nationaal Cyber Security Centrum (NCSC) en het Digital Trust Center (DTC) hanteren vijf basisprincipes die elke organisatie zou moeten toepassen. Die principes zijn: inventariseer je digitale kroonjuwelen, segmenteer je netwerk, monitor je systemen, oefen met incidenten en zorg voor herstelmogelijkheden.
Volgens Molenaar is ook het besef van kwetsbaarheden cruciaal. “Je moet eigenlijk altijd uitgaan van het scenario dat er al een kwaadwillende in je netwerk zit. ‘Assume breach’ noemen we dat. Dan ga je automatisch anders kijken naar je beveiliging.”
Je zou hopen dat organisaties
zelf al de urgentie voelen,
maar soms is wetgeving
het enige dat werkt
om die bewustwording
op gang te brengen.Marco Spruit
Wettelijke druk groeit
Voor vitale sectoren zoals waterleidingbedrijven, energiebedrijven en telecom geldt al langer aanvullende wetgeving. Maar die reikwijdte breidt zich nu snel uit. Door de nieuwe NIS2-richtlijn (De Network and Information Security directive 2) van de Europese Unie, die is bedoeld om de cyberbeveiliging en weerbaarheid van essentiële diensten in EU-lidstaten te verbeteren – vallen ook gemeenten en bepaalde commerciële sectoren onder strengere cybersecurityeisen. Veel organisaties zijn daar nu pas mee bezig. Dan zie je ineens paniek, want dan moet er van alles geregeld worden.”
Spruit vindt het jammer dat cybersecurity vaak pas serieus wordt genomen als de wet het eist. “Het is eigenlijk armoe dat er een wet nodig is. Je zou hopen dat organisaties zelf al de urgentie voelen. Maar soms is wetgeving het enige dat werkt om die bewustwording op gang te brengen.”
MKB blijft achter
Toch zit het grootste gat nog steeds in het midden- en kleinbedrijf, benadrukken beide experts. “De meeste hebben geen IT-afdeling. Hun digitale infrastructuur wordt vaak onderhouden door een ingehuurde specialist, of zelfs door de eigenaar zelf”, zegt Molenaar. “Daar zit weinig kennis van zaken. En al helemaal geen tijd of budget om structureel aan security te werken.”
Spruit vult aan: “We hebben in Nederland ongeveer 400.000 kleine organisaties. Als die worden geraakt, merk je dat misschien niet meteen in de nationale veiligheid. Maar het zijn wel schakels in de keten. En via zo’n zwakke schakel kun je alsnog een grotere organisatie raken.”
De evenementenbranche denkt vaak
dat zij geen interessant doelwit is,
maar juist door die houding
zijn ze kwetsbaarRobert Molenaar
Congressen extra kwetsbaar
Voor de congressector is het extra belangrijk om alert te zijn op die ketenafhankelijkheid. Veel organisatoren werken met externe partijen voor ticketing, communicatie en databases. “Als één van die schakels niet veilig is, dan ben je als organisator ook kwetsbaar”, waarschuwt Molenaar. En dat gevaar is reëel, blijkt ook uit recente DDoS-aanvallen op culturele en politieke instellingen.
In oktober 2023 werd het Centrum Informatie en Documentatie Israël bijvoorbeeld dagenlang aangevallen door hacktivisten. En ook overheden zijn steeds vaker doelwit. Zo trof een cyberaanval in 2024 een netwerk van Defensie, wat onder andere de communicatie van hulpdiensten platlegde en vliegverkeer ontregelde.
“Evenementen zijn misschien geen vitaal belang in strikte zin”, zegt Spruit, “maar een uitval kan wel maatschappelijke impact hebben – denk aan chaos, imagoschade en financiële claims. En als zo'n bijeenkomst door een gemeente of overheid wordt georganiseerd, dan kan het ook nog onder de nieuwe wetgeving vallen.”
Zie cybersecurity als bedrijfsrisico
De belangrijkste boodschap van beide experts: zie cybersecurity niet als een IT-onderwerp, maar als een bedrijfsbelang. “Het is net als brandveiligheid”, zegt Spruit. “Je hoopt dat het nooit gebeurt, maar je moet er wel klaar voor zijn.”
Volgens Molenaar helpt het om het gesprek daarover te normaliseren. “Directies moeten zich afvragen: wat gebeurt er als we drie dagen platliggen? Wat kost dat? Wat doet dat met ons imago? Dat soort vragen zijn veel concreter dan ‘is onze firewall up-to-date?’.”
En het goede nieuws? Wie de basis goed op orde heeft, is al een stuk minder kwetsbaar. “Je hoeft geen Fort Knox te zijn”, zegt Molenaar. “Maar je moet het hackers in elk geval lastig maken, want de meeste zoeken de makkelijkste prooi.”
3 recente hacks op congresinfrastructuren
Bij een congres georganiseerd door gamingplatform Roblox in juni 2024 werd de registratieservice van FNTech gehackt, waardoor persoonlijke gegevens van deelnemers werden gestolen, zoals volledige namen, e-mailadressen en IP-adressen. Dit incident benadrukt de kwetsbaarheid van congressen door externe leveranciers die betrokken zijn bij de organisatie.
Tijdens de G20-top in India in september 2023 richtten Indonesische hacktivistengroepen zich op de digitale infrastructuur. In de aanloop naar het evenement was de website van de summit regelmatig onbereikbaar door DDoS-aanvallen. Tijdens het evenement zelf vond de grootste overbelasting van het netwerk plaats, door gemiddeld 1,6 miljoen botaanvallen per minuut. Het laat zien hoe internationale evenementen een aantrekkelijk doelwit kunnen zijn uit oogpunt van politieke motieven.
De BT Conferencing-divisie van het Britse telecombedrijf BT werd in december 2024 getroffen door een Black Basta ransomware-aanval. Hoewel de diensten niet direct werden beïnvloed, beweerden de hackers 500 GB aan gevoelige gegevens te hebben gestolen, waaronder gebruikersinformatie en vertrouwelijke documenten. Het geeft aan dat conferentie-infrastructuren kwetsbaar kunnen zijn voor datadiefstal.
ISO 27001 is een internationale standaard voor informatiebeveiliging die richtlijnen biedt voor het opzetten, implementeren, beheren en continu verbeteren van een Information Security Management System (ISMS).
De norm beschrijft hoe organisaties hun informatiebeveiliging procesmatig kunnen inrichten om risico's te identificeren, beheersen en verminderen
Het ISMS vormt de kern van ISO 27001. Dit systeem helpt organisaties om gevoelige informatie te beveiligen door middel van beleidsmaatregelen, processen en controles die aansluiten bij hun bedrijfsdoelen
Een belangrijk onderdeel van de norm is het uitvoeren van een risicoanalyse. Organisaties identificeren potentiële bedreigingen en nemen maatregelen om de kans en impact van deze risico's te minimaliseren.
Congreslocaties
In de Nederlandse congressector zijn er drie bedrijven met een ISO 27001 certificering. De Koninklijke Jaarbeurs in Utrecht is een van de eerste congrescentra in Europa die de ISO 27001-certificering heeft behaald. Daarnaast is ook Onemeeting gecertificeerd, een boekingsplatform dat zelf ook een aantal meeting centres beheert. Esprit ICT, aanbieder van hybride vergadersystemen is eveneens houder van het ISO 27001-certificaat.
Deel dit bericht
Reacties
Er zijn nog geen reacties.
Plaats een reactie
Je moet ingelogd zijn om een reactie te plaatsen.