Doe je Updates — Dylan, ethisch hacker bij Access42

In de afgelopen weken hebben wij vanuit Access42 geholpen aan de Rijksoverheidscampagne “Doe je updates”. Mogelijk heb je al een filmpje voorbij zien komen waarin Dylan, een van onze ethische hackers, laat zien hoe eenvoudig je toegang kan krijgen tot een draadloos netwerk en uiteindelijk een Smart TV kan overnemen. We hebben Dylan gevraagd een blog te schrijven over zijn ervaringen en uiteraard zijn adviezen.

Ik ben Dylan, ethisch hacker bij Access42. Als ethisch hacker probeer ik op systemen binnen te komen voordat kwaadwillenden dat doen. Toen ik werd gevraagd om mee te werken aan de Rijksoverheidscampagne “Doe je Updates”zei ik direct ja. Niet omdat ik van camera’s houd, maar omdat dit een unieke kans is om Nederland weer een stukje veiliger te maken.

De campagne heeft één duidelijke boodschap: zorg dat je updates doet. Simpel, maar vaak vergeten…. met grote gevolgen.

Waarom updates zo belangrijk zijn

Als ethisch hacker zie ik dagelijks wat verouderde software kan veroorzaken: apparaten die al jaren geen update hebben gekregen, standaardwachtwoorden die nooit zijn veranderd en apparaten die onbedoeld vanaf het internet bereikbaar zijn. Die problemen leiden tot privacy‑inbreuk, datadiefstal en zelfs fysieke risico’s.

In de praktijk zijn het niet altijd ingewikkelde zero‑days die het grootste risico vormen. Meestal gaat het om verouderde componenten en verkeerd geconfigureerde netwerken. Voor veel IoT‑apparaten volstaat een relatief eenvoudige aanval als je niet oplet, denk aan het Mirai‑botnet uit 2016, waar aanvallers honderdduizenden apparaten gebruikten omdat ze op standaardlogins stonden (bijvoorbeeld admin/admin of root/12345).

Recente cijfers laten zien dat er in Nederland miljoenen apparaten staan die niet altijd op de laatste versie draaien, en dat vergroot de kans op misbruik, van DDoS tot fysieke toegang. (Bron: Rijksoverheid / campagneonderzoek).

De voorbereiding voor de filmpjes

Voor een demonstratie gelden dezelfde basisprincipes als bij een security assessment: inventarisatie, expliciete toestemming en een gedegen plan. Ik check welke apparaten aanwezig zijn, welke softwareversies draaien, of er bekende kwetsbaarheden zijn en of beheeraccounts nog op de fabrieksinstellingen staan.

Voor de opnames kozen we apparaten die veel mensen herkennen en die duidelijk laten zien welke risico’s er bestaan. De insteek: eenvoudig te begrijpen, technisch correct en herkenbaar.

Wat we hebben laten zien

In de filmpjes tonen we drie apparaten die veel in huishoudens voorkomen:

• Smart TV — overname kan privacy‑gevoelig materiaal tonen of de TV gebruiken als toegangspunt naar het thuisnetwerk.
• Babyfoon — onversleutelde of openbaar bereikbare videostreams zijn een directe inbreuk op privacy.
• Smart lock — een slecht beveiligd slot kan leiden tot fysieke toegang tot iemands huis.

Technisch was het geen Hollywood‑hack. Wel hebben we oplettend gefilmd zodat de clips geen stappen bevatten waarmee iemand direct kan misbruiken. Echt hacken ziet er voor een niet‑ingevoerde toehoorder vaak saai uit, daarom maken we het beeldend zonder instructies te geven.

Opnames en ministerbezoek

De opnames namen drie dagen in beslag; twee dagen voor de Rijksoverheidfilmpjes zelf en een derde dag voor opnames met minister Vincent Karremans (Minister van Economische Zaken). We gingen met de minister mee in de bus om de praktische kant te laten zien en vragen te beantwoorden. Minister Karremans toonde oprechte interesse en stelde scherpe vragen, prettig om te merken dat cybersecurity ook op dat niveau aandacht krijgt.

Filmwerk is intensiever dan je denkt: een filmpje van 2–3 minuten kost soms een hele dag aan licht, geluid en compositie. Uiteindelijk waren de lange draaidagen wel gezellig en leerzaam.

Praktische maatregelen — mijn advies

Je hoeft geen expert te zijn om veel risico’s te verkleinen. Begin met deze eenvoudige stappen:

1. Zet automatische updates aan waar mogelijk.
2. Vervang of verwijder apparaten die geen updates meer krijgen.
3. Verander standaardwachtwoorden direct en gebruik sterke, unieke wachtwoorden of een wachtwoordmanager.
4. Segmenteer je netwerk: zet IoT‑apparaten op een apart netwerk of gastnetwerk, niet naast je werkpc of NAS.
5. Controleer router‑firmware regelmatig en open geen onnodige poorten.
6. Lees privacy‑ & supportinformatie bij aankoop: kies merken met een duidelijk updatebeleid en lange ondersteuning.

Kleine handelingen (geen onbekende op je wifi laten, wachtwoorden veranderen en up‑to‑date blijven) maken al een groot verschil.

Afsluiting & call to action

Updates zijn niet sexy, maar ze werken. Wil je direct iets doen? Pak je telefoon, open de apps van je slimme apparaten en kijk of er updates klaarstaan. Heb je vragen over hoe je jouw zakelijke netwerk slimmer kunt indelen of wil je een korte scan van je netwerk? Neem contact op met Access42, we helpen je graag op weg.