Cybersecurity begint bij jezelf

Veel bedrijven onderschatten de risico’s van cyberaanvallen op hun bedrijfssystemen. Een virusscanner, een firewall en af en toe een update voldoen niet meer. Preventie zonder echte maatregelen is zinloos. Een workshop over hoe u uw bedrijf minder kwetsbaar maakt voor cybercriminelen.

Bent u bekend met DDoS-aanvallen?
Nee: Dan is het de hoogste tijd om u bij te praten. Er zijn nog twee andere typen aanvallen die u niet wilt. Lees aandachtig de toelichting door.
Ja: Precies, vooral banken hebben er de laatste tijd last van. Lees verder om te zien wat u zelf aan preventie kunt doen.

Toelichting:
Een DDoS-aanval is gericht op het verstoren van een (online) dienst of systeem. Er zijn ook ongerichte aanvallen, op gebruikers op kantoor of systemen, met vaak geldelijk gewin als oogmerk. Tot slot zijn er ook gerichtere aanvallen, soms op individuele personen, veelal om informatie te stelen.

Bent u tegen deze drie aanvallen beschermd?
Nee: Dat is niet altijd een probleem, het is per bedrijf verschillend en hangt af van de mate van risico’s (die u wilt lopen).
Ja: Besef dat honderd procent veiligheid een utopie is en blijft. Een escalatieplan is minstens zo belangrijk.

Toelichting:
Bescherm uzelf in elk geval tegen geautomatiseerde systemen die aan het internet hangen. Is de back-end bijvoorbeeld goed afgeschermd (www.mijnwebsite.nl/admin)? En tegen ongerichte aanvallen op gebruikers (bijvoorbeeld phishing)? Deze aanvallen kunnen vaak lang onopgemerkt blijven, omdat ze door antivirus software niet altijd worden ontdekt. Een voorbeeld is die van NU.nl, waarbij de website vorig jaar januari tijdelijk bezoekers infecteerde. Zorg ervoor dat als het misgaat, bekend is wie verantwoordelijk is voor alle communicatie over het probleem, en de oplossing.

Kent u de risico’s?
Nee: Dan onderschat u waarschijnlijk de risico’s van systemen die (in)direct aan internet hangen. Lees de toelichting.
Ja: Dan weet u dat een goede digitale basishygiëne veel ellende kan voorkomen en uw eigen verantwoordelijkheid is.

Toelichting:
Sla voortaan geen update of patch over. En weet hoe u misbruik kunt herkennen. Inzicht in risico’s en een stappenplan bepaalt u het beste samen met specialisten. Die zullen ook vertellen op welke signalen u zelf kunt letten, zoals rare verbindingen die vanaf het netwerk worden opgezet naar buiten. Ook een database die ’s nachts volledig wordt uitgelezen door een onbekende bron is natuurlijk verdacht. Kijk en leer van dumpsite pastebin.com, waar ook hackers teksten en codes uitwisselen. Als daar (delen van) uw data staan, is er een inbreker bezig geweest.

Kent u de usual suspects?
Ja: Trap er dus niet in, lees voor de opsomming nog eens de toelichting.
Nee: Lees hieronder welke valkuilen u voortaan kunt vermijden.

Toelichting:
Marketingsites worden vaak op korte termijn en onder tijdsdruk opgeleverd, zwakke plekken met potentieel veel persoonsgegevens (leads).
Ook in tijden van overnames en fusies dreigt gevaar, als ICT vaak overal achteraan moet rennen en fouten snel gemaakt zijn. Test ook geen databases of servers om ze vervolgens niet meer terug of uit te zetten.

En uw IT-specialist, is die al getest?
Ja: Keurmerken als een SAS-70 verklaring of ISO27001 geven enig houvast, maar geen garanties, maar vraag ernaar.
Nee: Met uw gezonde verstand een huidige of nieuwe aanbieder beoordelen, kan problemen voorkomen.

Toelichting:
Verklaringen en ISO-normen hebben hun nut, maar de praktijk op de werkvloer is vaak weerbarstig. Hoe goed de regels worden nageleefd, is niet altijd helder. Laat u bij de aanschaf van systemen of diensten bij voorkeur adviseren door een specialist. Hij of zij kan de juiste vragen stellen aan de beoogde leverancier. Meer informatie over ISO27001 vindt u hier.

Is de basis op orde?
Ja: Mooi zo, lees toch nog even het Java-voorbeeld hieronder om echt zeker te zijn.
Nee: U weet niet hoe? Lees de toelichting.

Toelichting:
Regel nummer een is om al uw systemen up-to-date te houden. Fox-IT constateert bij veel relaties onder meer verouderde versies van Java. En dat terwijl deze software juist gevoelig is voor hacks. Bedenk (of vraag advies) of u deze software wel nodig hebt, anders kan het uit uw systemen worden verwijderd. Als het voor interne applicaties nodig is, kunt u ook overwegen om toegang vanaf internet te (laten) blokkeren.

Alles gecheckt?
Ja: Super. Hou ook externe leveranciers goed in de gaten.
Nee: Lees de toelichting voor extra tips.

Toelichting:
Webapplicaties die onveilig blijken, zijn vaak ‘onveilig’ geprogrammeerd. Begin daarover als een klus wordt uitbesteed; hoe gaat de bouwer om met uw digitale veiligheid? Verder is het essentieel dat u binnen uw bedrijf iemand aanwijst die het topmanagement hierover bijpraat en inseint als er gevaar of problemen dreigen.

Het gaat mis, weet u wat u te doen staat?
Ja: Heel goed, zo beperkt u de schade tot het minimum.
Nee: Lees de simpele stappen naar een goede aanpak, zie de toelichting.

Toelichting:
Zorg dat informatie snel naar uw leidinggevende gaat (en vervolgens hogerop). Vaak moet in het begin op basis van weinig informatie besluiten worden genomen. Iemand moet de afweging ‘business versus security’ snel kunnen en vooral mogen maken. Zet verder nooit systemen uit, hiermee kunt u sporen wissen die IT-specialisten juist nodig hebben om het probleem te analyseren en op te lossen. Druk dus niet op Stop, maar haal uw systemen van het netwerk. Een externe deskundige inschakelen, is in deze altijd verstandig: een incident is een uitzonderlijke situatie waarbij meestal specifieke kennis nodig is.

* Dit artikel is tot stand gekomen met input van Erik de Jong van Fox-IT

** Dit artikel is tevens gepubliceerd in het Juninummer van Emerce Magazine (#123)