Home Security Vier veelvoorkomende blunders maken cyberaanvallen mogelijk

Vier veelvoorkomende blunders maken cyberaanvallen mogelijk

110

2014 gaat de boeken in als een jaar vol geslaagde cyberaanvallen. Het succes van de cybercriminelen kost Nederlanders volgens een onderzoek van McAfee jaarlijks 8,8 miljard euro. Dat moet anders.
Wat ging er mis? Veel. Denk aan de ontdekking van Shellshock: een softwarebug die al sinds 1992 bestaat in Linux/UNIX OS en Apple Mac OS X. Cybercriminelen kunnen via deze bug gemakkelijk allerlei besturingssystemen infecteren. Of bijvoorbeeld de fout van Drupal in versie 7,  waardoor cybercriminelen ruim een miljoen websites konden hacken. Om dit te voorkomen moest de hele community (dat zijn een miljoen gebruikers en dertigduizend developers) binnen zeven uur een patch downloaden.
Dit zijn twee grote namen met grote beveiligingsblunders. Ook kleinere organisaties zijn kwetsbaar voor criminele activiteiten. Stopcybercrime.nu beweert dat 40 procent van de Nederlandse ondernemers slachtoffer is geweest van cyberaanvallen. De onderstaande vier veelvoorkomende fouten tonen aan dat het vaak al bij de basis misgaat.

    1. ‘Mij hacken ze toch niet’

Deze uitspraak hoor je vaak. Een misvatting: elk NAW-gegeven levert op de zwarte markt al een paar dollar op. Vermenigvuldig dit met het aantal persoonsgegevens dat jouw bedrijf bewaart. Dan begrijp je hoe waardevol die gegevens zijn en dat dus echt elke organisatie een gewild doelwit is.
De overheid beseft dit en eist dat organisaties persoonsgegevens goed beschermen. Dat doen ze al jaren via de Wet bescherming persoonsgegevens. Maar in 2015 komt er een extra maatregel bij: een datalek kost een organisatie 4 procent van de omzet aan boete.

    1. Niet communiceren

Cyberaanvallen hebben grote gevolgen en veroorzaken daardoor veel paniek. Door die paniek hebben mensen vaak de neiging om de aanval geheim te houden. Dat is onverstandig. Een cyberaanval heeft impact op de gehele organisatie.
De IT-afdeling moet bijvoorbeeld vaak beslissingen nemen waarvoor ze niet bevoegd zijn. Als ze op eigen houtje toch iets besluiten, dan gebeurt dit vanuit puur technisch oogpunt zonder rekening te houden met de gevolgen voor andere onderdelen in de organisatie. De directie moet dus direct weten dat er een aanval plaatsvindt. Nog belangrijker: de directie hoort te weten hoe ze vervolgens moet handelen. Stel een plan op waarbij duidelijk is wie wat moet doen in noodgevallen.

    1. Denken dat je goed beschermd bent

Een honderd procent veilige online omgeving bestaat niet. Cybercriminelen lopen altijd een stapje voor, omdat ze kennis delen op Darknets. Hackers zijn – in tegenstelling tot veel organisaties – op die manier doorgaans goed geïnformeerd. Een cyberaanval kan daardoor onopgemerkt blijven.
Het continu monitoren van alle systemen kan helpen cyberaanvallen te voorkomen. Daarnaast wint de inzet van ethical hackers aan populariteit. Zij speuren naar lekken door te handelen als een hacker, uiteraard met toestemming van de directie. Deze professionals zijn net als criminele hackers op de hoogte van de nieuwste ontwikkelingen en kennen de aanvalsstrategieën. Ze leggen dus zwakke punten in de online security bloot. Zo kunnen bedrijven proactief maatregelen treffen. Een informatie centrische beveiligingsstrategie kan hiertegen een prima alternatieve manier zijn om je effectief te beschermen.

    1. Medewerkers niet scholen

De internetbeveiliging van een organisatie is wellicht technisch in orde. Dat dachten ze bij eBay dit jaar ook. Maar begin 2014 stalen cybercriminelen persoonsgegevens van 128 miljoen leden via social engineering: het misleiden van werknemers. Dit gaat vaak makkelijker dan gedacht. Soms bellen cybercriminelen om te vragen welk beveiligingssysteem een organisatie gebruikt. Werknemers die niet de waarde van deze informatie begrijpen geven dit zonder pardon door. Cybercriminelen kennen de zwaktes van het systeem en komen vervolgens zonder moeite binnen. Er bestaan veel meer social engineering-technieken. Train daarom medewerkers; bewustwording is vaak het halve werk.
De juiste houding, communicatie, en scholing kunnen veel ellende voorkomen. Het lijkt simpel en voor de hand liggend, maar toch gaat het nog vaak fout. De trend zit bovendien tegen: volgend jaar neemt cybercriminaliteit alleen maar toe. Bereid de organisatie hierop voor, de boetes van de overheid zijn niet mals en imagoschade kan je faillissement betekenen.

Henk van der Heijden, Managing Director (a.i.) bij Comsec Consultancy in Nederland en oprichter & partner bij TecHarbor

1 REACTIE

  1. Mooie bijdrage. Vooral de illusie in de categorie van ‘bij mij wordt niet ingebroken, want ik heb goede sloten en een alarm’ is herkenbaar.
    Als tegenmaatregel tegen hacken mis ik het beperken van het schade-risico door gewoon minder gegevens vast te leggen en eerder te verwijderen. Zo snap ik dat ik adres en telefoonnummer moet opgeven wanneer ik on-line spullen bestel, maar waarom worden die gegevens zo lang dan vastgehouden? Het structureel wissen van niet meer nodige data maakt de organisatie voor de boze buitenwereld stukje minder aantrekkelijk. En voor een big-data analyse heb je veel gegevens echt niet nodig.

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in