In een digitale BHV leg je vast wat er moet gebeuren als je systeem uitvalt door een hack.
Bedrijven zijn druk bezig met bedrijfshulpverlening (BHV). Voor bijna alle calamiteiten zijn er binnen de organisatie protocollen beschikbaar. Toch wordt de grootste kwetsbaarheid binnen het bedrijf over het hoofd gezien, stellen Bart Jacobs en Henk Liebeek van Claranet Benelux. De poort naar essentiële bedrijfsgegevens staat vaak wagenwijd open en daarom pleiten ze voor een BHV-protocol voor digitale calamiteiten.
“Als je bij een organisatie binnenkomt, zie je vaak al een Automatische Externe Defibrillator (AED) hangen”, zegt commercieel directeur Jacobs. “Soms hangt er ook nog een vluchtplan en zijn er standaardprotocollen opgesteld voor allerlei calamiteiten.”
Productmanager Liebeek vult aan: “Medewerkers weten zo precies wat er moet gebeuren bij brand, of als iemand onwel wordt. En er zijn op gezette tijden oefeningen en trainingen, zodat die kennis up-to-date blijft.”
Als het aan de mensen van Claranet ligt, zouden organisaties ook zo’n risicoplan voor digitale calamiteiten moeten opstellen. “Je legt daarin vast wat er moet gebeuren als je systeem uitvalt door een hack”, zegt Liebeek. “Er staat in wat je moet doen, en vooral wie wat gaat doen. Welke leveranciers licht je in? En, als je een organisatie bent met een vitale rol in de maatschappij; met welke andere instanties neem je contact op.”
Volgens Jacobs moet je zo’n risicoplan regelmatig controleren en testen. “Maar het is ook belangrijk dat mensen weten waar ze het plan kunnen vinden. En zet ‘m niet alleen op het intranet. Want daar kun je bij een hack waarschijnlijk ook niet meer bij. Zorg dus voor fysieke exemplaren.”
Claranet is eind jaren negentig voortgekomen vanuit de wens internet veilig te houden. Het wereldwijd opererend bedrijf is gespecialiseerd in het opsporen van kwetsbaarheden in IT-systemen en het monitoren van het hele internet om snel in te kunnen spelen op nieuwe gevaren die digitale bedrijfsprocessen bedreigen. Daarnaast heeft Claranet in de achterliggende jaren een reputatie opgebouwd in het trainen van mensen binnen organisaties als het gaat om internetveiligheid.
Omdat het concern zo verweven is met internet en security merken medewerkers van Claranet dat nog veel te winnen valt in het bedrijfsleven als het gaat om digitale veiligheid. Dat organisaties weinig doen met het beveiligen van hun bedrijfsgegevens heeft volgens Jacobs en Liebeek een aantal oorzaken. Onderschatting is misschien wel de belangrijkste. “Bij ons valt niks te halen, of: wij zijn maar een klein bedrijf, denken veel leidinggevenden”, stelt Liebeek. “Maar ze vergeten dan wel dat hackers helemaal niet zo gericht te werk gaan. Via allerlei trucs gaan hackers langs bedrijven om te zien of ze binnen kunnen komen. Als dat eenmaal gelukt is, kijken ze op hun gemak wat er te halen is. Bij jou, of bij bedrijven waarmee je zaken doet.”
NIS2
Dat is een van de bij-effecten van gehackt worden. Via jouw gegevens, worden ook de gegevens van je zakenpartners blootgelegd, legt Jacobs uit. “Als bedrijf maak je immers onderdeel uit van een keten.” Die keten wordt belangrijk omdat volgend jaar de Europese Network and Information Security directive 2 (NIS2-richtlijn) in werking treedt. NIS2 geldt voor organisaties die als essentieel worden gezien voor het functioneren van de maatschappij en de economie. Maar ook bedrijven die toeleverancier zijn van organisaties die onder de richtlijn vallen, moeten aan NIS2 voldoen door te zorgen dat hun digitale systemen op orde zijn. Accountantskantoren hoeven zelf niet NIS2-compliant te zijn, maar omdat ze vanwege hun rol als financiële dienstverlener wel deel uitmaken van diverse ketens, moeten ze wel mee met de richtlijn. Voor accountants is het sowieso verstandig om te zorgen dat de bedrijfsgegevens veilig zijn. “Je zal maar financiële dienstverlener zijn van een bedrijf dat in een overname zit”, zegt Jacobs. “Als er dan via een hack gegevens op straat komen te liggen die strikt geheim zijn, heb je echt een heel groot probleem.”
Bij iedereen valt wat te halen, is de stelregel van Claranet. “Voor hackers is iedereen interessant, dus kun je je maar beter wapenen”, zegt Jacobs. Dat begint volgens hem naast een risicoplan met de meest basale zaken. “Zorg bijvoorbeeld dat je antivirus up-to-date is.” Ook raadt hij aan het netwerk te segmenteren. Liebeek vergelijkt dat met inbreken in een huis. “In een huis heb je een woonkamer, een badkamer, een keuken en een paar slaapkamers. Dat is voor inbrekers best lastig. Als ze via jouw voordeur binnen zijn, moeten ze al die ruimtes af om jouw kostbaarheden te vinden. Jij moet dus zorgen dat je niet al je waardevolle spullen op één plek hebt. Zo moet je ook met de gegevens van je bedrijfsnetwerk omgaan. Verdeel het en zorg dat je goede back-ups hebt.”
Achilleshiel
Het ontbreken van een goede back-up vormt vaak de achilleshiel van veel organisaties. “Accountants moeten veel belangrijke gegevens van klanten bewaren, vaak voor langere tijd”, legt Liebeek uit. “Vroeger gebeurde dat op tapes en later op externe harde schijven die veilig in een kluis lagen. Nu staat de back-up en het hele archief meestal in de cloud en is daardoor via het systeem benaderbaar.”
Het gevaar is dat bij een hack ook nog eens je back-up verdwijnt, met alle gevolgen van dien. En ook al heb je je back-up veilig opgeborgen in een kluis, dan nog weet je niet of je die na een hack zonder problemen kan gebruiken. “Hackers zijn vaak al langer bij je binnen dan je denkt”, zegt Liebeek. “Het kan wel honderd tot tweehonderd dagen duren voor ze aanvallen. Maar dat betekent dat jouw meest recente back-up ook vervuild kan zijn.”
Meer nog dan een veilige back-up en een gesegmenteerd gegevenssysteem, is user awareness belangrijk. Via trainingen kun je de security maturity van de medewerkers vergroten, en dat is hard nodig, stellen Jacobs en Liebeek. “Je kunt een prima uitgewerkt risicoplan en een goed beveiligd systeem hebben; de mens blijft de meest kwetsbare schakel”, zegt Jacobs.
Als voorbeeld noemt hij phishing. “Negen van de tien hacks gebeuren via phishing. Daarom moet je je medewerkers niet alleen bewust maken van hoe hackers werken, je moet ze ook bewust maken van hoe ze phishing kunnen herkennen en wat ze moeten doen om te voorkomen om er niet in te trappen.”
Volgens Liebeek zijn er talloze voorbeelden van phishing. Zoals een nepmailtje van de CEO die vraagt of de financiële afdeling op vrijdagmiddag nog even snel een groot bedrag wil storten op een bankrekening, of een zogenaamde medewerker van de afdeling IT die via een mail allerlei gegevens vraagt vanwege werkzaamheden aan het netwerk. “Het zero trust principe is hierbij heel belangrijk”, legt hij uit. “Krijg je zo’n mail, verifieer dat dan bij de desbetreffende medewerker. Dat zero trust principe is te trainen. Via user awareness-trainingen die wij als Claranet aanbieden verlaag je zulke aanvallen door phishing.”
Vishing
De techniek staat niet stil en hackers weten prima in te spelen op nieuwe trends en snufjes. Artificial Intelligence (AI) verrijkt niet alleen de mogelijkheden voor de goedwillenden; ook de kwaadwillenden varen er wel bij. Vishing is bijvoorbeeld een trend die de experts van Claranet de laatste tijd zien opkomen. “Via AI is het mogelijk om iemands stem zo perfect mogelijk na te bootsen”, vertelt Jacobs. “Ja kan met een opname van een paar seconden al iemands stem nabootsen met AI. Dus kun je de CEO nu gewoon laten bellen met de financiële afdeling voor die dubieuze storting.” Volgens Liebeek gaat de techniek nog veel verder. “Je kunt via AI ook videobeelden bewerken en het doen voorkomen alsof je CEO in een videomeeting meedoet.”
De securityexperts van Claranet zijn gespecialiseerd in het herkennen en opsporen van nieuwe trends. “We hebben experts over de hele wereld en kunnen zo 24/7 het hele internet en het dark web monitoren”, legt Jacobs uit. “Daardoor zien wij meteen nieuwe bedreigingen, zoals DDoS-aanvallen, opkomen en kunnen daar proactief op reageren.” “Als er in de ochtend een nieuwe vorm van malware of een virus ontdekt wordt, zit die ’s middags al in onze training”, zegt Liebeek. Door die close monitoring weet Claranet letterlijk ook wat er te koop is op het dark web. “Zo kunnen we bedrijven snel waarschuwen als hun gegevens daar verhandeld worden”, zegt Jacobs. “We adviseren ze wat ze moeten doen omdat we ook weten welke gegevens er aangeboden worden. Daarnaast kunnen we achterhalen waar de hack heeft plaatsgevonden zodat meteen het geïnfecteerde apparaat of deel van het systeem verwijderd kan worden”, vult Liebeek aan. “Ons voordeel ten opzichte van lokale securitybedrijven is dat wij constant in verbinding staan met onze ethische hackers over de hele wereld. Die voeren gedurende een etmaal zoveel pentestings uit, dat ze precies weten wat er speelt.”
Met een fysiek risicoplan, een gesegmenteerd systeem en medewerkers van hoog tot laag die goed getraind blijven als het gaat om security maturity kun je als organisatie een hoop ellende voorkomen. “Praat daar ook over met elkaar”, adviseren Jacobs en Liebeek tot slot. “Maak het voor iedereen duidelijk dat leidinggevenden nooit via een telefoontje, mail of appje vragen grote sommen geld over te maken, of bedrijfsgegevens willen weten”, adviseert Liebeek. “En zorg dat iedereen een training krijgt”, benadrukt Jacobs. “Vaak denken mensen dat ze wel slim genoeg zijn om niet in phishing of andere fratsen van hackers te trappen. Maar helaas. Iedereen kan slachtoffer zijn.”
Dit interview is eerder geplaatst op www.accountantweek.nl