Red alert! De klassieke Star Trek-scène: sirenes loeien, bemanningsleden rennen door de gangen, paniek. Bij Infomedics maakten ze het eerder dit jaar zelf mee. Het medische facturatieplatform uit Almere lag niet onder vuur van vijandige aliens, maar wel van cybercriminelen. Die verstuurden phishingmails en nepfacturen die sterk leken op communicatie van het bedrijf. Ontvangers werden onder druk gezet om openstaande zorgnota’s te betalen.
“Onze medewerkers binnen data security waren 24/7 bezig om het dark web af te speuren naar domeinen die op de onze leken”
Jacqueline Aarts Infomedics
Red alert dus voor managing director Jacqueline Aarts en haar team. „Op het moment dat zo’n phishingfactuur wordt ontdekt, ren je onmiddellijk naar één ruimte om samen zo snel mogelijk in kaart te brengen wat er gebeurt en op welke schaal. Van echte paniek wil ik niet spreken, want wij pakten dit zorgvuldig op. Maar we zaten wel een week of twee in een alarmfase.”
Het waren lange weken, vertelt ze. „Onze medewerkers binnen data security waren 24/7 bezig het dark web af te speuren naar domeinen die op de onze leken. Ook de collega’s van de afdeling marketing & communicatie waren continu bezig met hoe we onze klanten – zorgverleners en zorgconsumenten – beter konden informeren. De drukte in ons klantcontactcentrum nam toe, dus we moesten mensen sneller zien te helpen. Iedereen heeft echt overuren gemaakt.”
Lees ook: Reputatie-expert Frank Peters over de Odido-crisis: ‘Huur een filosoof in voor de boardroom’
Fraude steeds geraffineerder
Jarenlang was vertrouwen een van de belangrijkste bezittingen van een organisatie. Klanten gingen ervan uit dat een brief van hun bank daadwerkelijk van hun bank kwam, dat een factuur van een zorgverlener echt was en dat een telefoontje van een bekende organisatie betrouwbaar was.
Die vanzelfsprekendheid verdwijnt snel. Vrijwel dagelijks verschijnen berichten over datalekken, phishingcampagnes en cyberaanvallen. De buitgemaakte gegevens blijven vaak jarenlang circuleren op het dark web en worden gebruikt voor steeds geraffineerdere vormen van fraude.
Volgens Aarts wordt dit eerder de norm dan de uitzondering. „Het is inmiddels zo’n grote economie geworden op het dark web en het lukt nog steeds zo vaak om consumenten hierin te laten trappen dat het blijkbaar voldoende oplevert. Daarom denk ik dat we moeten accepteren dat dit onderdeel van onze samenleving is geworden.”
Hoe groter, hoe gevoeliger
Juist bekendheid en omvang maken een merk aantrekkelijk voor cybercriminelen. Infomedics is onderdeel van MSPS (Medical Software & Processing Services) en verwerkt jaarlijks zo’n twintig miljoen zorgnota’s en miljarden euro’s aan zorgdeclaraties.
Van een datalek binnen Infomedics bleek uiteindelijk geen sprake. De gebruikte gegevens waren afkomstig uit eerdere hacks elders. Maar voor de consument maakt het niet uit waar de gegevens vandaan komen, zegt Aarts. „Die ziet een geloofwaardige factuur, een bekend logo en een naam die hij kent. AI en andere technologie maken het bovendien steeds makkelijker om dat soort communicatie overtuigend na te bootsen.”
Essentie van je bedrijf
Er ontstaat een nieuw soort bedrijfsrisico. Waar merkbescherming vroeger vooral draaide om reputatie en klantbeleving, moeten organisaties zich nu ook afvragen hoe zij kunnen aantonen dat communicatie daadwerkelijk van hen afkomstig is. De grens tussen cyberveiligheid, klantvertrouwen en merkmanagement vervaagt daardoor snel.
Dat verklaart waarom de reactie binnen Infomedics veel breder ging dan alleen een technisch onderzoek. Niet alleen IT en security werden betrokken, maar ook communicatie, digitale dienstverlening en de business zelf. „Dit onderwerp liep door tot in de directie en naar onze aandeelhouders. Het raakt de essentie van ons bedrijf en daarom is het nadrukkelijk geen IT-onderwerp alleen. Het gaat niet alleen om systemen die uitvallen of data die worden gestolen, maar ook om de vraag hoe je het vertrouwen van klanten behoudt wanneer criminelen zich steeds overtuigender kunnen voordoen als jouw organisatie.”
“Digitale weerbaarheid wordt steeds meer een basisvaardigheid en bedrijven kunnen consumenten helpen om verdachte signalen sneller te herkennen”
Jacqueline Aarts Infomedics
Ook dertigers kwetsbaar
Cruciaal in de crisisaanpak was de communicatie. Infomedics zette websites, chatbots, klantcontactteams en een phishingchecker in om consumenten te helpen onderscheid te maken tussen echte en valse berichten. „Wij leggen mensen uit om eerst goed na te denken alvorens tot actie over te gaan. Heb ik daadwerkelijk gebruikgemaakt van deze zorgverlener? Verwacht ik deze factuur? Klopt de afzender? Die paar seconden extra kunnen het verschil maken."
Wat haar opvalt, is dat niet alleen ouderen slachtoffer worden van cybercriminelen, maar ook dertigers die veel even snel via hun smartphone regelen. „Iedereen kan slachtoffer worden als hij even niet oplet.” Daardoor ontstaat ook een maatschappelijke verantwoordelijkheid voor organisaties, vindt ze. „Digitale weerbaarheid wordt steeds meer een basisvaardigheid en bedrijven kunnen consumenten helpen om verdachte signalen sneller te herkennen.”
Menselijk contact steeds belangrijker
De phishingcampagne bracht nog een opvallende les aan het licht. Terwijl veel organisaties investeren in AI, automatisering en selfservice, wordt vooral persoonlijk contact waardevoller wanneer vertrouwen onder druk staat. „Wij gebruiken veel digitale hulpmiddelen en dat werkt uitstekend. Maar tijdens deze situatie zagen we hoe belangrijk het is dat mensen ook gewoon iemand kunnen spreken.”
Volgens Aarts wordt de mogelijkheid om een mens te spreken daardoor steeds meer onderdeel van de merkbelofte. „Technologie kan processen versnellen, maar vertrouwen ontstaat vaak pas wanneer iemand persoonlijk aan de telefoon bevestigt dat iets klopt."
Binnen Infomedics zijn de lessen uit de phishingcampagne onderdeel geworden van de dagelijkse bedrijfsvoering. Daarnaast zoekt het bedrijf actief samenwerking met andere organisaties om consumenten beter te beschermen tegen phishing en merkfraude.
Vertrouwen als strategische pijler
Waar vertrouwen vroeger grotendeels voortkwam uit reputatie en bekendheid, wordt het volgens Aarts steeds meer iets dat organisaties actief moeten onderhouden en bewijzen. „Vroeger vertrouwde je een telefoontje van de bank automatisch. Tegenwoordig leren we mensen juist eerst te controleren of iets klopt. Vertrouwen is niet meer vanzelfsprekend."
Het maakt vertrouwen misschien wel tot een van de belangrijkste strategische assets van de komende jaren. Niet omdat organisaties minder digitaal worden, maar juist omdat technologie het steeds eenvoudiger maakt om digitale identiteiten te kopiëren. „In zo’n wereld winnen uiteindelijk niet de bedrijven die het hardst roepen dat ze betrouwbaar zijn, maar de bedrijven die keer op keer kunnen bewijzen dat ze daadwerkelijk zijn wie ze zeggen dat ze zijn.”
Vijf lessen van Jacqueline Aarts
- 1.
Beschouw cyberveiligheid als een strategisch bedrijfsrisico, niet als een IT-project.
- 2.
Richt bij incidenten direct een multidisciplinair team in met IT, communicatie, klantcontact en business.
- 3.
Help klanten actief om echte communicatie van valse communicatie te onderscheiden.
- 4.
Investeer in veilige verificatiemethoden en maak controle eenvoudig.
- 5.
Vergeet het menselijke contact niet: juist in een tijdperk van AI wordt persoonlijke bevestiging waardevoller.
Ontvang elke week het beste van BusinessWise in je mailbox. Schrijf je hier nu gratis in:
