Het aantal aanvallen op computers en mobiele apparatuur is in 2012 flink gestegen. In dat jaar waren er wereldwijd 30 procent meer internetaanvallen dan het voorgaande jaar. De groei van aanvallen met kwaadaardige software (malware) op mobiele computers (tablets, slimme telefoons, laptops) kwam zelfs uit op 58 procent.
Dan blijkt ook nog eens dat de misdadigers gerichter te werk gaan. Het aantal gerichte aanvallen is gestegen met 42 procent. Daarbij ging het de kwaadwillenden vooral om de industrie (24%) en op bedrijven met een omvang van minder dan 250 werkplekken (33%). Dat de afdeling Onderzoek & Ontwikkeling bij ondernemingen het vaakst het slachtoffer is, geeft te denken. 75 Procent van de inbraken was gepleegd om er financieel beter van te worden.
Dit alles blijkt uit cijfers van beveiligingsspecialist Symantec. Zij werden gepresenteerd tijdens Kaseya Connect 2013 in Las Vegas. Hier komt de top van professionals op het vlak van systeembeheer uit de hele wereld bij elkaar. Wat mij opviel, waren vooral de trends op het gebied van beveiliging. Gewoonlijk is het ‘what happens in Vegas, stays in Vegas’, maar die vlieger gaat nu niet op, want beveiliging begint met bewustwording. Daarom deel ik graag de informatie.
Authenticatie voorkomt aanvallen
Zo blijkt dat maar liefst 80 procent van de aanvallen tevergeefs zou zijn geweest bij een afdoende authenticatie: het gebruik van ‘two factor authentication’. Dat werkt met authenticatie tokens (hardwarematig, zoals pasjes, of softwarematig via het bijvoorbeeld sturen van codes naar de telefoon); een extra slot op de deur.
Kleine(re) bedrijven denken vaak dat er bij hen niets valt te halen, maar de cijfers laten juist zien dat zij het doelwit zijn. Het gaat trouwens niet alleen om halen. Tegenwoordig verdienen chanteurs grof geld met ‘ransomware’. Dit is software die bij ondernemers zonder goede beveiliging (geen goede anti-virus, geen anti-malware) valt te installeren. Het programmaatje versleutelt alle gegevens, zodat je er niet meer mee kunt werken. Na betaling van een x bedrag via de credit card stuurt de chanteur de sleutel om alle data te herstellen. Althans dat belooft hij, maar vaak gebeurt er niks.
Belangrijk is de volgorde people, process, product. Eerst moeten alle medewerkers zich bewust zijn van de beveiligingsvraagstukken. Vervolgens moeten de automatiseringsprocessen op orde zijn. Welke data zijn het waard om te worden beschermd? Op welk niveau? Wie mag wat doen met welke gegevens? Pas daarna kun je passende beschermingsmaatregelen treffen. Meestal werken bedrijven andersom en dat kan vervelend uitpakken.
Een voorbeeld: Een bedrijf koopt token authenticatie voor een terminal server. Helemaal goed, maar er is geen mobiel device management aanwezig bij het bedrijf. Daardoor is er geen beveiliging voor de gebruiker die zijn e-mail account aanmaakt op zijn Galaxy 3S. De login gegevens worden onversleuteld op het apparaat opgeslagen. Als iemand het toestel verliest, of als het wordt gestolen, dan kan iemand die gegevens er zo uit halen en heeft vervolgens ongehinderd toegang tot de mailbox. Ook (misschien wel juist) de mobiele gebruiker moet in de te kiezen beveiligingsoplossing zijn opgenomen.
Honderd procent beveiliging is nooit te garanderen, maar maak het kwaadwillenden vooral zo moeilijk mogelijk. Vergelijk het met uw huis. Als het bij u lastiger is in te breken dan bij de buren, dan is de buurman het haasje.
Martijn van der Schaaf, Computication BV
