In analogie met de beveiliging van je huis: zelfs als je beveiliging niet 100% op orde is, is dat geen reden voor onbekenden om binnen te dringen, laat staan vernielingen aan te richten. Er is weinig heroïsch aan het “gijzelen” van een bedrijf of instelling en aandeelhouders, medewerkers en klanten te benadelen. Of erger, mensenlevens in gevaar te brengen door bijvoorbeeld systemen van een gezondheidsorganisatie aan te vallen. Dat is crimineel gedrag.
Er zijn inmiddels genoeg gevallen bekend van organisaties die ten prooi zijn gevallen aan ransomware en waar een deel of de gehele IT-omgeving versleuteld is. Dat loopt van complete onderzoeksinstituten en universiteiten die vastlopen tot aan het doelbewust saboteren van de logistiek zodat een supermarkt geen (gaten)kaas meer in de schappen heeft liggen. De aanvallers gaan ook steeds geraffineerder te werk. Zo zagen we onlangs dat de naam van een leverancier werd gebruikt om de juiste IT-medewerkers per telefoon en later ook per mail te benaderen om zo toegang te krijgen tot de kritische infrastructuur. We zien ook dat hackers zich voordoen als een headhunter om zo informatie over de in gebruik zijnde software te verkrijgen. Op basis daarvan wordt dan verder onderzoek gedaan of kan gebruik worden gemaakt van kwetsbaarheden. Zijn medewerkers zich niet bewust van dit soort dreigingen, dan resulteert een kleine fout of onoplettendheid in grote consequenties.
Een volledig sluitend recept voor de volledige beveiliging van IT-omgevingen bestaat niet. Er kunnen echter wel een aantal stappen worden gezet om onbevoegden zo veel mogelijk buiten de deur te houden en/of de mogelijke schade te beperken.
Voorkom. Volledig voorkomen is niet mogelijk. Software is helaas niet perfect en zelfs als we alle mogelijke lekken al zouden kennen, is een patch niet altijd direct beschikbaar, laat staan direct geïnstalleerd. Echter met de juiste SPAM filters kan veel ongewenste email buiten de deur gehouden worden en door middel van anti-virus software kunnen de meest voorkomende en bekende virusuitbraken worden voorkomen. Het gebruik van Multi factor Authenticatie maakt binnendringen een stuk ingewikkelder En is daarmee een minimale vereiste voor organisaties die ongewenste toegang willen voorkomen.
Verminder. Mocht er toch een poging worden gedaan om toegang te krijgen (fysiek, mail, mobiel), dan is het zaak dat pogingen zo veel mogelijk worden herkend. Het gezegde luidt: “één klikker, is genoeg”. Met behulp van awareness trainingen kan de kans drastisch worden verkleind. Bij phishing tests hebben we gezien dat vóór het volgen van een awareness training, tot wel 30% van de medewerkers klikken op een phishing mail. Na een gedegen training is dat vaak nog maar 2%!
Beperk. Mocht er toch een werkplek of de IT-omgeving versleuteld worden, dan is het zorg deze te kunnen herstellen. Door Back-ups (uiteraard mogen die niet ook versleuteld zijn) die gescheiden van de rest van de omgeving worden opgeslagen, kunnen zaken worden hersteld.
Afhankelijk van het aantal stappen dat een organisatie neemt, neemt het risico af. Nul risico wordt het helaas nooit. Zeker niet als er ook nog eens gebruik wordt gemaakt van social engineering technieken om mensen over te halen om data te delen, documenten te openen of fysiek toegang te verlenen. Hacking is een business geworden. Maak tijd en Euro’s vrij om te investeren in security, is dat niet mogelijk, dan wordt het waarschijnlijk betalen in Bitcoins.
Geschreven door Wiebe Nauta - Managing Director, Claranet Benelux
Wiebe heeft een afgeronde HBO opleiding Technische Computerkunde, een MBA van de Rotterdam School of Management en meer dan 25 jaar ervaring in de telecommunicatie en IT-diensten bij onder andere Colt en KPN.