Dit is een BIZON Inspiratieblog
Ben je op de hoogte van de risico’s die je loopt wanneer je online zaken doet? Waar moet je rekening mee houden als je een nieuwe (cloud) applicatie gaat gebruiken? Zijn de gegevens die ik van mijn klanten heb wel veilig? Vragen die ook jij je wellicht wel eens stelt gezien de vele nieuwsberichten over hacking en datalekken.
De titel van deze blog is weinig geruststellend, maar helaas realiteit. Ik zal jullie aan de hand van een aantal voorbeelden meenemen in welke maatregelen je zelf kunt nemen om het moment waarop je gehackt wordt zo ver mogelijk vooruit te schuiven.
Ten eerste; Updates, updates en updates!
Enkele weken geleden stonden grote koppen in de krant “lek in Citrix software”. Het probleem, een kwetsbaarheid in de software van Citrix maakte het mogelijk dat hackers op eenvoudige wijze de server konden overnemen en vervolgens het netwerk binnendringen. De impact van deze kwetsbaarheid; lange files op de wegen omdat mensen naar kantoor moesten komen omdat hun bedrijf het systeem voor de zekerheid had uitgezet. En enkele organisaties werden daadwerkelijk gehackt.
Er worden regelmatig kwetsbaarheden ontdekt in software. Leveranciers brengen dan updates uit om de kwetsbaarheid te verhelpen. Hackers weten dat mensen traag zijn met het installeren van updates. Hier maken zij dankbaar gebruik van door programma’s te maken die de kwetsbaarheid misbruiken. Wanneer dit programma van de hacker (ook wel een exploit genoemd) vervolgens in de openbaarheid komt, kan iedereen met een muisklik een server hacken en ontstaan de problemen.
Ironisch genoeg was door Citrix eind december al een update uitgebracht om de kwetsbaarheid te verhelpen. Bedrijven die deze update hadden geïnstalleerd werden niet getroffen. Bovenstaand voorbeeld staat helaas niet op zichzelf. Door de jaren heen zijn grote hoeveelheden gegevens gestolen door het niet tijdig uitvoeren van updates. Houd hackers dus simpel buiten de deur door ervoor te zorgen dat je nieuwe updates tijdig draait.
Stel de volgende keer Windows, Apple of Acrobat updates niet uit! Dit voorkomt een hoop ellende.
Ten tweede; beheers de toegang.
Zonder toegang zijn hackers nergens. Zij hopen door toegang in het ene systeem, bijv. jouw mail, in het volgende te rollen, bijv. je inloggegevens van je klantendatabase, waarna ze deze gegevens weer kunnen gebruiken om bij jouw klanten ‘binnen’ te komen. Om toegangsgegevens te krijgen worden verschillende technieken gebruikt. De twee meest bekende zijn het versturen van phishing mails en het systematisch raden van wachtwoorden.
Zorg er daarom allereerst voor dat je complexe wachtwoorden kiest, je overal een ander wachtwoord gebruikt en je je wachtwoorden regelmatig wijzigt. Allemaal bekende tips, maar toch nog zeker niet altijd toegepast. En, hoe houd je dit uitvoerbaar? Het gebruikmaken van een wachtwoordmanager maakt hierbij een groot verschil. Deze zorgt ervoor dat hij voor iedere site een nieuw, complex wachtwoord aanmaakt en als je naar een site toe gaat, vult hij je gegevens automatische in. De wachtwoordmanager zelf ontgrendel je met een wachtwoord (of je vingerafdruk).
Helaas is alleen een sterk wachtwoord niet genoeg. Hackers kunnen relatief makkelijk achter wachtwoorden komen door continue phishing acties. Als je naast je wachtwoord nog iets anders gebruikt om toegang te krijgen tot bijv. je Google omgeving, maak je het voor een hacker bijna onmogelijk om erin te komen. Daarom bieden de meeste grote leveranciers tegenwoordig een vorm van Multi Factor Authentication (MFA) aan. Als je gebruik maakt van een MFA, krijg je na het invullen van je wachtwoord een SMS code of melding op je mobiele telefoon. Deze heb je naast je wachtwoord nodig om je aan te melden. Voor een gewone hacker is het bijna onmogelijk om ook deze tweede factor in zijn bezit te krijgen.
Google, Microsoft en Apple bieden gebruikers tegenwoordig verschillende mogelijkheden voor een tweede factor zonder extra kosten. Dit terwijl de extra complexiteit voor gebruikers minimaal is. Nog een relatief simpele manier dus om de kans dat je gehackt wordt te verkleinen.
Wachtwoorden zijn als een tandenborstel. kies een goeie, hou hem voor jezelf en vervang hem regelmatig
Kijk zelf eens of je mailadres of wachtwoord bekend is bij hackers. Een mogelijkheid om dit te controleren is via https://haveibeenpwned.com/. Hier kun je eenvoudig je mailadres intypen en zien of en waar je gegevens gelekt zijn.
Controleer ook je wachtwoorden via deze site. Als ze bekend zijn uit een eerder lek, pas ze dan aan. Anders kunnen hackers de wachtwoorden die van jou bekend zijn gebruiken om te kijken of ze daarmee ook in andere systemen die je gebruikt kunnen komen.
Ten derde: Je digitale voetafdruk
Updates, goede wachtwoorden en MFA vormen een belangrijke bron van bescherming. Maar weet je zeker dat al je systemen zijn afgesloten voor de buitenwereld? Is bijvoorbeeld je beveiligingscamera, printer of NAS toch niet gewoon voor iedereen vanaf internet bereikbaar? Of heb je een gevoelig document per ongeluk op internet gedeeld? Veel onervaren hackers zijn helemaal niet van plan jouw bedrijf te hacken, maar vinden toevallig een gaatje in je beveiliging en maken hier misbruik van. Gevolg; systeem geïnfecteerd met malware of je gegevens onbereikbaar.
Om zeker te zijn dat je niet per ongeluk zaken op internet deelt, helpt het om regelmatig te zoeken naar je eigen digitale voetafdruk op internet. Zie het zoeken naar jezelf op internet als het controleren van je huis voordat je op vakantie gaat. Zijn bijv. alle deuren op slot en de waardevolle zaken uit het zicht? Het goed waarnemen van je digitale voetafdruk vereist wel wat kennis van hoe je zoekmachines hiervoor kunt benutten. Zeker ook omdat je digitale voetafdruk niet alleen afhankelijk is van wat je zelf doet, maar ook van mogelijke fouten van leveranciers waar je systemen van gebruikt. Afhankelijk van het risico dat je loopt als particulier of bedrijf kun je overwegen een expert in te schakelen om een keer in de zoveel tijd te kijken naar je digitale voetafdruk.
Zorg dat jouw digitale omgeving beter is beveiligd dan die van de buren!
En de Amerikanen of Russen dan?
Niet veel bedrijven zullen direct de aandacht trekken van staten met hackers die voortdurend gericht proberen binnen te dringen en spionnen die proberen te infiltreren. Wanneer u de basis op orde heeft kost het ook hen meer moeite om binnen te komen. Maar uiteraard beschikken dit soort inlichtingendiensten over bijna onbeperkte financiële middelen om te krijgen wat ze zoeken en hebben ze een leger aan experts in dienst. Ik zou me dan ook niet op hen richten, maar op de meer waarschijnlijke tegenstanders: de huis tuin en keuken hacker (de zgn. scriptkiddies).
Met het opvolgen van bovenstaande tips ben je al goed op weg. Zo is het voor iedere particulier of organisatie goed mogelijk om zijn basisbeveiligingsniveau te verbeteren. Voor de rest belt u 25 North;).
Over de auteur
Dit inspiratieblog is geschreven door Jeroen Aijtink, ruim 20 jaar actief in de ICT en informatiebeveiliging. Hij heeft ervaring opgedaan bij verschillende organisaties; van MKB tot internationale, beursgenoteerde organisaties. In alle gevallen werkt hij vanuit daadwerkelijke risico’s en stelt de doelstelling van de organisatie voorop. Dit maakt dat een pakket aan beveiligingsmaatregelen ontstaat waar de organisatie iets mee kan en beveiliging geen doel op zich wordt.
Naast kennis van netwerk security, cloud security en privacy wetgeving is hij gecertificeerd als lead auditor (informatiebeveiliging en kwaliteitsmanagement) en CISSP.
Als eigenaar van 25 North is het zijn doel om organisaties veilig informatie te laten gebruiken. Security mag geen belemmering zijn. Door te helpen een goed beeld te krijgen van de digitale voetafdruk en waarschijnlijke aanvallers kunnen technische en organisatorische maatregelen worden genomen. Dit is belangrijk voor iedere organisatie die informatie verwerkt, groot en klein.
BIZON Baarn is een netwerk van, voor en door ZP’ers in en uit Baarn en directe omgeving.
Meer informatie over BIZON >