Security maatregelen voor een betere beveiliging tegen cybercrime

01 mei 2018 Consultancy.nl

Organisaties ontkomen er vandaag de dag niet meer aan zich te wapenen tegen de dreigingen van cybercrime. “Zij die denken dat ze niet zullen worden aangevallen vergissen zich”, stelt Rob Havermans, Director IT Advisory bij Baker Tilly Berk en een expert in het vakgebied. Digitale naïviteit blijkt vaak echter nog een grote rol te spelen bij getroffen bedrijven of personen. Om hier verandering in te brengen, heeft Havermans verschillende tips voor het op orde krijgen van een gedegen verdedigingslinie.

De laatste jaren is cybercrime – criminaliteit waarin ICT zowel het middel als het doelwit vormt – niet weg te slaan uit het nieuws. Of het nou gaat om het onrechtmatig gebruik van de Facebook-gegevens van miljoenen gebruikers, de vele DDoS-aanvallen op financiële instellingen of de verspreiding van (naakt)foto’s uit gehackte clouds, er lijkt geen eind te komen aan de stroom incidenten. De criminele activiteiten kunnen gericht zijn tegen personen, eigendommen, organisaties, elektronische communicatienetwerken of informatiesystemen.

Aan dit alles hangt een flink prijskaartje. Zo werd berekend dat cybercrime binnen het Nederlandse bedrijfsleven jaarlijks zorgt voor een schadepost van €10 miljard. Het gaat hierbij niet alleen om grote corporates. Terwijl zij wel veruit het grootste deel van de schade lijden, zijn ze over het algemeen goed in staat deze kosten te dragen. Bij ondernemingen in de mkb-sector is dit lang niet altijd het geval. Rob Havermans van Baker Tilly Berk benadrukt dat in het gedigitaliseerde landschap van vandaag de dag iedereen getroffen kan worden: “Bedrijfsapplicaties hangen in de cloud, je hebt een webshop of bedient klanten via een online portal, orders en betalingen aan vaste leveranciers handel je digitaal af en medewerkers maken de hele dag door gebruik van e-mail en internet. Het cybertijdperk is hier en nu.”

Net als dat de doelwitten uiteenlopen, zijn er ook allerlei verschillende soorten daders. “Cybercriminelen zijn niet langer alleen de superslimme jongens die de zwaarste beveiligingsmaatregelen weten te kraken. In YouTube-filmpjes wordt heel eenvoudig uitgelegd hoe je kwaadaardige software kunt inzetten. En er is een digitale zwarte markt waar men voor een habbekrats een cybercrimineel inhuurt”, vertelt Havermans. De digitale inbrekers kunnen georganiseerde bendes zijn, of concurrenten – maar ook activisten en hobbyisten, of hackers die naam willen maken op het ‘dark web’. 

Het kunnen zelfs jonge kinderen zijn die kattenkwaad uithalen. Havermans: “Wat is er leuker dan te proberen of je een website van een school of het bedrijf om de hoek kunt neerhalen? Of op de computer van je buurman kunt komen?” Tot slot bestaan er ook nog ethische hackers, die er niet op uit zijn schade te berokkenen, maar juist proberen mensen en organisaties bewust te maken van de risico’s die ze lopen en van lekken in hun digitale beveiliging.

Security maatregelen voor een betere beveiliging tegen cybercrime

Van de slaapkamer naar het internet

Onlangs organiseerde Baker Tilly Berk een ondernemerscollege, waar ethisch hacker Barry van Kampen – die tevens Managing Director is van beveiligingsbedrijf S-Unit – het had over cybersecurity. Tijdens het college illustreerde hij hoe incidenten vaak grotendeels worden veroorzaakt doordat mensen en organisaties nog niet goed op de hoogte zijn van de digitale valkuilen binnen de huidige wereld. Hiervoor gebruikte hij het voorbeeld van de massale verspreiding van naaktfoto’s van beroemdheden die op Apple’s iCloud stonden. 

“Het is een handige dienst”, vertelt Van Kampen over iCloud. “Het mooie is dat hij zorgt dat je je informatie overal via internet beschikbaar hebt, en als je je telefoon dan niet bij je hebt, dat je er dan toch bij kan. Een jaar of drie geleden was er een aantal bekende wereldburgers die het ook wel een handige dienst vonden. Die hadden namelijk hun foto’s allemaal netjes gesynchroniseerd van hun iPhone met die iCloud. Da’s wel handig, want als je hem kwijtraakt heb je die foto’s nog. Ze waren alleen vergeten dat ze ook foto’s hadden genomen in de slaapkamer, en die werden netjes gesynchroniseerd met de iCloud.” Wat ze zich ook niet goed realiseerden was een probleem in de beveiliging van de iCloud. Van Kampen: “Je kon wachtwoorden blijven raden. Wij noemen dat ‘brute forcing’.” Zo kon het gebeuren dat de intieme foto’s uiteindelijk wijd werden verspreid op het internet. 

De naïviteit voorbij

Ook Havermans benadrukt dat onwetendheid vaak aan de basis ligt van de problemen. Het bovenstaande voorbeeld laat zien dat de meest simpele hacks grote gevolgen kunnen hebben. Hier waren geen meestercriminelen aan het werk, maar gewoon mensen die eindeloos wachtwoorden bleven proberen. Havermans legt uit dat aanvallen van dit soort digitale inbrekers al met een basisniveau aan digitale beveiliging kunnen worden tegengehouden. Voor organisaties die deze basis beter op orde willen brengen, heeft hij en aantal tips.

Ten eerste is het zaak bedrijfsgegevens op te slaan in een goed beheerd en beveiligd datacentrum, en deze data daar ook te houden: “U gaat naar de data met uw werkmiddelen, de data komt niet naar u.” Daarnaast is het belangrijk om de beveiligingssoftware altijd up-to-date te houden. De digitale techniek staat bepaald niet stil en cybercriminelen ook niet, dus verouderde programma’s bieden geen goede garanties. Om er zeker van te zijn dat de beveiliging nog op orde is, moeten er ook met zekere regelmaat beveiligingstests worden uitgevoerd op de kritische onderdelen van de IT-omgeving. Daarbij moeten eventuele aangetroffen zwakheden uiteraard zo spoedig mogelijk worden gerepareerd. 

Beveiliging is mensenwerk

Met alleen goed beveiligde computers kom je er volgens Havermans echter niet. Het is ook van groot belang dat er op een verantwoorde manier met de systemen wordt omgegaan. Het is dus belangrijk dat er een bewustzijn wordt gekweekt onder medewerkers. Dit inzicht is ook in lijn met de uitkomsten van een recent onderzoek, waaruit naar voren komt dat mensen de belangrijkste schakel vormen in een goede digitale beveiliging: “Besteed met enige regelmaat aandacht aan gewenst gedrag van uw medewerkers en ongewenst gedrag van derden”, aldus Havermans. Dat het zaak is medewerkers bewust te maken, wordt bovendien nog eens benadrukt door een andere studie, die laat zien dat Nederlanders zich opvallend weinig zorgen maken over cybersecurity.

Wat organisaties op dit vlak verder kunnen doen, is streng en zorgvuldig omspringen met hoge bevoegdheden en het voeren van een strikt beleid aangaande gebruikersnamen, wachtwoorden en gebruikersrechten. Havermans: “Hanteer een absolute discipline in uw IT-omgeving.” En omdat beveiliging dus mensenwerk is, en mensen nu eenmaal fouten maken, is het ook nodig alle activiteiten te monitoren, van begin tot eind. “Stuur op het onderwerp met behulp van een aantal passende key performance indicatoren (KPI’s) waarop u regelmatig terugkoppeling wenst. Denk daarbij aan uw medewerkers, maar vergeet uw (software)leveranciers ook niet”, geeft Havermans aan. 

Quote Rob Havermans

Hij maakt daarnaast duidelijk dat de mogelijkheid aangevallen te worden wel altijd blijft bestaan, “je kunt je organisatie niet honderd procent beveiligen, maar je kunt wel íets doen”. De genoemde beveiligingsstappen bieden volgens Havermans een ‘first defense’ tegen internetcriminelen: “Cybercriminelen scannen eenvoudig bij welke organisaties zij gemakkelijk binnen kunnen komen. Door een aantal basismaatregelen te treffen, werpt u een eerste blokkade op, waardoor een cybercrimineel sneller een deur verder kijkt.” 

Overslaande brand

Naast dat deze basis vaak nog onvoldoende op orde is, zijn ook veel organisaties zich onvoldoende bewust dat ze ook getroffen kunnen worden door cyberaanvallen gericht op anderen. “Dit soort gevallen laat zien, dat iedereen slachtoffer kan worden van cybercrime. Bij zo’n constatering past wat mij betreft maar één reactie: voorbereiden op wat komen kan”, aldus Havermans. Terwijl er volgens hem nog wel begrip is voor dergelijke slachtoffers, duurt dit wellicht niet lang meer: “Omdat het vaker voorkomt, zie je dat de samenleving zich steeds kritischer opstelt. Welke maatregelen zijn er wel of juist niet getroffen?” Dergelijke maatschappelijke eisen komen ook tot uiting in de aanstaande AVG-wetgeving, die 25 mei van kracht wordt.

Een van de manieren waarop bedrijven kunnen worden getroffen door een aanval op een ander, is als ze zich binnen het digitale netwerk van een aangevallen partij bevinden. Havermans: “Geavanceerde cyberaanvallen worden vaak uitgevoerd tussen landen of op grote bedrijven. Als u zich in het ecosysteem van zo’n land of bedrijf bevindt, kan uw organisatie ook schade oplopen tijdens of door zo’n cyberaanval.” Ook hiertegen zijn maatregels te treffen: “Vergelijk het met een brand in een aangrenzend bedrijfspand, waardoor uw eigen bedrijfspand schade oploopt of op zijn minst gevaar loopt. Ook al kunt u dit soort situaties niet voorkomen, toch kunt u er wel rekening mee houden.”  

Verdedigingslinie

Op dit gebied heeft Havermans wederom een aantal tips. Deze zijn niet alleen van toepassing op bedrijven die zijn aangesloten op zo’n groter digitaal netwerk, maar ook bijvoorbeeld op organisaties die werken met gevoelige of waardevolle informatie, actief zijn in een risicovolle branche of anderszins een verhoogd gevaar lopen te het doelwit te worden van meer geavanceerde cybercriminelen. Om dergelijke aanvallen af te slaan, zijn volgens Havermans extra beveiligingsstappen vereist.

Om te beginnen stelt hij dat organisaties de voor hun geldende risico’s moeten inventariseren. Op basis van de uitkomsten daarvan kan per risicogebied worden bepaald welke beveiligingsmaatregelen nodig zijn. Daarnaast is het belangrijk om helder te hebben wat de ambities van de organisatie zijn. In lijn met die ambities kan worden gekeken wat voor aanvullende preventieve en detectieve beveiligingstechnologie dient te worden toegevoegd in het netwerk en/of het datacentrum. Net als bij de basismaatregels, is het ook hier belangrijk de beveiliging goed te testen. Havermans beveelt aan dit doorlopend te blijven doen, waarbij zowel procedurele als technische tests moeten worden uitgevoerd. Uiteraard kunnen de resultaten worden ingezet om de cybersecurity verder te verbeteren. 

Verder is het volgens Havermans raadzaam een security officer aan te stellen, een vaste functionaris die verantwoordelijk is voor de beveiliging van de kostbare gegevens binnen de organisatie. Tot slot is het natuurlijk belangrijk om altijd goed voorbereid te zijn op mogelijke incidenten, mocht het toch een keer misgaan. Hiertoe kunnen organisaties security incident response-procedures voorbereiden en oefenen: “Op het moment dat er iets misgaat, bent u optimaal voorbereid om snel in te grijpen en de schade te beperken”, aldus Havermans. 

Noeste arbeid

Samenvattend, geeft Havermans aan dat het er voor individuele organisaties op neerkomt dat ze hun cybersecuritymaatregels moeten afwegen tegen de risico’s die ze lopen: “Een bepaalde basis aan digitale beveiliging is voor elke organisatie van belang. Het risicoprofiel van de organisatie is vervolgens bepalend voor de noodzaak voor aanvullende stappen.” Terwijl volledige veiligheid niet te garanderen valt, kunnen organisaties zelf veel doen om ongewenste bezoekers buiten de digitale deur te houden. Havermans: “Digitale veiligheid is een combinatie van zorgvuldige planning, noeste arbeid en discipline. Maar die noeste arbeid loont wel.”

En mocht het dan onverhoopt toch een keer misgaan, dan zijn – zeker na het ingaan van de AVG-wetgeving – de (maatschappelijke) consequenties voor de organisatie beter te overzien: “Slachtoffer zijn na goede voorbereiding schept een heel ander beeld dan slachtoffer zijn wanneer je niets gedaan hebt om het te voorkomen”, besluit Havermans.

Nieuws

Meer nieuws over