Cyberweerbaar in 9 concrete stappen
De dagelijkse realiteit waar ik mee te maken heb is, dat voor veel bedrijven de ICT en beveiliging daarvan een sluitpost is. Wat ik vaak van ondernemers hoor: ‘Wij moeten al aan zoveel wettelijke verplichtingen voldoen, en dan komt heel dat cyber gebeuren er ook nog eens bij!’ Dat kan ik inderdaad niet ontkennen. Vaak worden er op het gebied van digitale beveiliging (bewust) risico’s gelopen om kosten te besparen. Of dat een verstandige keuze is valt te betwisten, omdat menig MKB-er na een cyberaanval dit vaak niet meer te boven komt en zijn zaak kan sluiten. Als we dan vervolgens gaan kijken hoe hackers toeslaan, kunnen we dat vaak terugvoeren naar een aantal aanvalsvectoren die ik verder zal beschrijven en waar u veelal zelf maatregelen tegen kunt nemen. Het betreft hier zowel technische als sociale maatregelen, waarvan sommigen elkaar doorkruisen.
1. Het grootste lek zit tussen het toetsenbord en de stoel!
Het klinkt niet vriendelijk, sorry daarvoor. Het is helaas wel waar. Je kan technisch alles nog zo goed beveiligen maar als mensen bewust of onbewust slordig omgaan met data, systemen verkeerd inrichten of gebruiken dan ga je alsnog de bietenbrug op. Dat heeft met twee factoren te maken: Mensen zijn zich vaak niet bewust van de risico’s en kiezen graag voor de weg van de minste weerstand. Neem dat mee bij het doorlezen van onderstaande tips en adviezen.
2. Wachtwoordbeleid.
Over wachtwoorden heb ik eerder al een uitgebreid artikel geschreven. Kort samengevat: We zien nog vaak dat er zwakke en/of standaard wachtwoorden worden gebruikt, dat twee factor authenticatie ontbreekt en/of dat inloggegevens worden gedeeld met derden. Berucht zijn briefjes op de monitor etc. Maar ook een beheerder die zijn inloggegevens even deelt omdat er even snel iets moet gebeuren kom voor.
Tip: gebruik een wachtwoordmanager, implementeer daar waar het kan twee factor authenticatie en deel geen inloggegevens.
3. De cloud is niet heilig!
Veel ondernemers wanen zich veilig omdat ze werken in de cloud. Niet zelden kom ik bij bedrijven die daarom geen back-ups meer maken (want alles staat in de cloud) en ook weinig doen aan hun eigen netwerk en PC beveiliging. Dat is een schijnveiligheid. Er is immers voldoende malware die gewoon via de lokale systemen ook cloud opslag kan infecteren. Werken in de cloud ontslaat je niet van het nemen van lokale maatregelen.
Tip: Zorg dus voor goede back-ups: online, offline en off-site. Offline back-ups moeten worden ontkoppeld van servers en werkstations zodat een eventuele infectie hier niet bij kan. Daarnaast is een off-site back-up aan te bevelen. Dit is een back-up die buiten uw eigen bedrijfspand wordt opgeslagen.
4. Kijk goed naar de inrichting van je (gasten) netwerk.
In veel bedrijven waar ik audits doe, kom ik slecht ingerichte netwerken tegen. In een aantal gevallen kost het mij geen enkele moeite om via het WiFi netwerk voor gasten over te springen naar het bedrijfsnetwerk en dan op een netwerkopslag rond te neuzen. Dat kan natuurlijk niet de bedoeling zijn. Als je al gasten WiFi wil aanbieden (mobiel internet kost tegenwoordig niet meer zo veel) zorg dan dat je dit goed beveiligt.
Tip: Zorg voor een goede scheiding van verschillende netwerksegmenten. Dit kan je doen met VLAN’s, firewalls en deugdelijke sub-netting. Het WiFi accespoint in hetzelfde netwerk plaatsen met alleen een ander IP-adres en netwerknaam is niet voldoende. Op deze manier voorkom je dat onbevoegden al te makkelijk in je netwerk gaan rondneuzen. Een ander voordeel is dat bij een eventuele ransomware uitbraak niet direct heel je netwerk wordt geraakt.
Bonus tip: Ben zeer terughoudend met het gebruik van gratis WiFi. Deze netwerken zijn vaak slecht beveiligd waardoor kwaadwillende op zo’n netwerk makkelijk verkeer kunnen aftappen en/of omleiden. Als je dan toch van zo’n netwerk gebruik moet maken, doe dit dan altijd met een betaalde VPN dienst. Niet duur en wel zo veilig.
5. Installeren van updates.
Waar code wordt geschreven worden fouten gemaakt. Zo simpel is het! Hackers en onderzoekers vinden aan de lopende band zwakke plekken in software die ze vervolgens kunnen uitbuiten. Softwaremakers brengen voor dit soort lekken weer updates uit die deze gaatjes dichten, maar daar profiteert u alleen van als ze ook daadwerkelijk worden geïnstalleerd. Dit updaten wordt soms doelbewust nagelaten omdat nieuwe updates er soms toe leiden dat verouderde hardware en software niet meer functioneert. Vaak wordt het gewoon vergeten.
Tip: Installeer zo snel mogelijk software updates zodra deze uitkomen. Dit geldt voor zowel applicaties op de computers, apps op de smartphone maar bijvoorbeeld ook de firmware van (netwerk) apparatuur. Laat ze waar mogelijk automatisch installeren.
Overweeg oude apparatuur waar geen updates meer voor worden uitgebracht uit te schakelen en op te ruimen. Ditzelfde geldt voor software die niet langer wordt ondersteund. Ik kom nog steeds Windows XP en oude server systemen tegen waarvan de support allang is verstreken. Dat is vragen om problemen!
6. Gemak dient de mens, maar is dat wel altijd verstandig?
Steeds meer apparaten worden smart en zijn verbonden met het internet. Deze IoT (Internet of Things) apparaten maken ons leven vaak een stuk gemakkelijker maar bij veel van dit soort apparaten laat de beveiliging te wensen over. Dit komt omdat ze vaak worden ontwikkeld met gebruikersgemak en een lage consumentenprijs in het achterhoofd. Vraag jezelf af of alles wel smart moet zijn. Veel hacks vinden plaats via de zwakke beveiliging van IoT apparaten.
Een ander aspect is het in gebruik nemen van nieuwe hard en software. Het loont echt de moeite om bij ingebruikname goed te kijken naar de standaard instellingen en deze aan te passen zodat je een goede balans kan vinden tussen werkbaarheid en beveiliging. Een firewall die standaard al het verkeer doorlaat is niet functioneel. Hetzelfde geldt voor een antivirus scanner die bijvoorbeeld wel een dreiging detecteert maar vervolgens niet ingrijpt. Voorkom dat je de dupe wordt van schijnveiligheid.
7. Eerst checken, dan klikken.
Denk even terug aan punt 1. Veel hack pogingen en ransomware aanvallen lukken door een combinatie van factoren die ik hierboven al benoemd heb. Een van de belangrijkste is dat er gebruik wordt gemaakt van de menselijke psyche. Dit verschijnsel noemen we Human Hacking en Social Engineering. Voorbeeld: Hackers sturen heel geraffineerde phishing mails met als doel je gegevens te ontfutselen of je kwaadaardige software te laten installeren.
Tip: klik niet zomaar op links in e-mails, ook niet als deze vertrouwd lijken. Ga eerst met je muis over de link (niet klikken dus) en dan zal er vaak een balkje verschijnen met daarin de daadwerkelijke link achter de tekstregel. Staan daar spelfouten in, veel vreemde tekens, of bijvoorbeeld een reeks getallen? Klik dan niet! Voorbeeld: Rabobank.nl moet niet verwijzen naar b382734463740957.io Dat is foute boel. Op deze manier kan je ook nagaan of een afzender wel deugt. Voor mails met betaalverzoeken geldt het advies om altijd eerst telefonisch na te bellen of dit wel daadwerkelijk verstuurd is door de facturerende partij. Met name als bepaalde gegevens als het IBAN nummer ineens anders is dan eerder bekend was of bij facturen van kosten die je niet verwacht.
8. Werk veilig!
Vaak zie ik dat personeel werkt op gebruikersaccounts met onbeperkte rechten. Het is verstandig om na te denken over: Wie moet waar wel en niet bij kunnen? Mogen alle medewerkers zomaar software installeren en/of systeeminstellingen aanpassen? Bij een goed ingericht bedrijfsnetwerk kun je dit centraal regelen.
Zorg daarnaast voor de beschikbaarheid van: Goede anti-virus (gratis is beter dan niets, maar vaak onvoldoende) firewalls, VPN verbindingen, spam-filters, rechtenbeheer, wachtwoordmanagers etc. Richt deze ook goed in, zie punt 6.
9. 100% veiligheid bestaat niet.
Als je met bovenstaande tips aan de slag bent gegaan dan ben je al een heel eind op weg en een stuk veiliger. Naast het streven naar een zo optimaal mogelijke veiligheid en werkbaarheid moeten we ook nog aandacht hebben voor het component beheersbaarheid. Anders gezegd: wat te doen als het mis gaat? Denk daar vooraf over na! Welke data kan er uitlekken en hoe kwalijk is dat? Wie ga ik bellen als ik getroffen ben door ransomware? Hoe zorg ik dat ik kan blijven doorwerken? Wat communiceer ik naar mijn klanten en hoe doe ik dat? Net zoals je een plan hebt voor de BHV, kun je dit ook maken voor je digitale brandoefening. Voorkom dat een incident uitloopt op een complete ramp.
Erik van der Heijden,
Ethical Hacker.
Sequrence Beheer B.V.