Vrijwel wekelijks hoor je dat bedrijven te maken hebben gehad met hackers. Vaak denk je dan dat het bij jouw bedrijf niet zo’n vaart zal lopen. Maar niets is minder waar: het is niet de vraag of, maar wanneer ze bij jou komen. Zakelijk gehackt, wat nu? Tijd voor herbezinning van jouw cyber security beleid en op weg naar Security 2.0.
Voor het mkb blijven veel IT-kwesties een uitdaging. Je bedrijf is te klein voor een echte IT-afdeling. Dus jij of iemand die iets van computers afweet doen het er even bij. Voor sommige dingen roep je de hulp in van een gespecialiseerde IT-dienstverlener die zorgt voor jouw internetverbinding en softwareabonnementen. Logisch dat cybersecurity niet direct de hoogste prioriteit heeft.
Maar dat zou het wel moeten hebben. Cybercriminelen slaan steeds vaker toe. Ze worden steeds slimmer en gebruiken geavanceerde tools die net zo lang proberen om bij je binnen te komen tot het is gelukt. Dan ben je zakelijk gehackt en ligt jouw netwerk open. We vertellen je dit niet om je angst aan te jagen. Maar om te helpen maatregelen te nemen die jouw onderneming beschermen tegen hackers.
Lange tijd was het simpel. Je had een router voor de verbinding met internet, met daarop een firewall die indringers buiten de deur moest houden. Op elke computer draaide een antivirusprogramma dat ervoor moest zorgen dat verschillende vormen van ‘malware’, eenmaal binnengekomen via bestanden of e-mail, geen schade aan kon richten. Helaas is deze ‘security 1.0’ niet meer genoeg om indringers buiten te houden. Tijd voor Security 2.0.
Cyber criminelen hebben veel meer mogelijkheden
Criminelen gebruiken allang niet meer alleen de router of de e-mail om binnen te komen. Als bedrijf heb je tegenwoordig veel meer verbindingen met de buitenwereld dan vroeger.
- Cloud – vrijwel elke onderneming gebruikt vandaag de dag de cloud. Ook al merk je daar misschien weinig van. Maar als je gebruik maakt van Microsoft 365 voor Outlook, Word en Excel, dan heb je al een verbinding met de cloud. Dat levert verschillende uitdagingen op als het gaat om beveiliging.
- Mobiele telefoons en tablets – bijna iedereen heeft tenminste een smartphone en veel mensen ook een tablet. Deze wordt vaak ook meegenomen naar het werk en daar gebruikt voor werkgerelateerde zaken. Prima, maar hoe bescherm je je bedrijf tegen aanvallen op apparaten die geen bedrijfseigendom zijn?
- Hybride werkplekken – heb jij ook medewerkers die soms thuis werken of op een andere locatie? Dan heb je als werkgever vaak nauwelijks zicht op de beveiliging van die werkplekken.
- Websites – een website is eenmaal opgezet een gemakkelijk vergeten ding. Maar verouderde websites bieden criminelen een uitgelezen kans om te hacken.
- Servers – wat voor websites geldt, geldt vaak ook voor de servers die in je bedrijf staan. Ze werken, dus je wilt er geen omkijken naar hebben. Maar geen updates draaien, betekent een steeds groter wordende kwetsbaarheid in je onderneming.
- Applicaties – en ook voor de in jouw bedrijf gebruikte applicaties geldt dat ze op tijd moeten worden bijgewerkt om bescherming te bieden tegen hackers.
Voor al deze zaken geldt dat criminelen steeds vaardiger worden in het exploiteren van kwetsbaarheden. En dat niet alleen. Cybercriminaliteit loont zodanig de moeite dat er steeds criminelen een gok wagen.
Wat gebeurt er als ik zakelijk gehackt ben?
Het meest in het oog springende bedreiging van de laatste tijd is ransomware. Criminelen dringen binnen, versleutelen de servers, data of andere computers en een organisatie kan vervolgens niets meer doen. Losgeld betalen lijkt de enige mogelijkheid en zelfs dan is het nog maar de vraag of criminelen de boel weer vrijgeven.
Datadiefstal is ook erg populair onder hackers. Persoonsgegevens, vooral als er creditcardgegevens of identiteitsinformatie bij zit, zijn er waardevol op de zwarte markt voor cybercriminaliteit, het Dark Web.
Hoe komen hackers bij mijn bedrijf binnen?
Cybercriminelen bedienen zich van allerlei middelen om binnen te komen:
- Phishing – kwaadaardige software zit verstopt in iets onschuldigs, zoals een bestand in de mail.
- Scannen van de router – een internetverbinding bestaat uit honderden kleine subverbindingen, zogeheten ‘poorten’. Soms staan ze open terwijl ze niet gebruikt worden. Criminelen scannen jouw router op zulke onbewaakte poorten.
- Brute kracht – criminelen beuken net zolang op de deur, door wachtwoorden op een beveiligd onderdeel als een website of server af te vuren, tot er een match is. Omdat dit automatisch gebeurt, kost het een hacker geen enkele moeite. Alleen geduld.
- Verkeerd geconfigureerde accounts – online software – in de cloud – wordt vaak gebruikt met een simpele naam/wachtwoord-combinatie. Voor criminelen een relatief eenvoudig te kraken manier van inloggen.
Security 2.0 dus. Voorkomt het dat mijn bedrijf zakelijk gehackt wordt?
Op de eerste plaats komt bewustwording. Jij en je medewerkers moeten je realiseren dat er criminelen zijn die uiteindelijk ook jouw bedrijf en de bijbehorende gegevens interessant vinden. Dat betekent dat je bij het gebruik van de computer en software er steeds op bedacht moet zijn dat er gevaar op de loer ligt.
Maar nog belangrijker dan dat is de nieuwe benadering die steeds meer bedrijven hanteren. Die gaan uit van een holistisch beleid: niet langer een losse beveiliging op de router en simpele antivirussoftware op de computer, maar een alles omvattend beveiligingsbeleid dat alle kwetsbare onderdelen van je ICT beschermt.
- Endpoints – dit zijn de computers, telefoons, tablets enz die door jou en je medewerkers worden gebruikt. Omdat deze aan het uiteinde van de informatieketen zitten, worden ze ‘eindpunten’ genoemd. Goede detectiesoftware die – realtime! – verdachte activiteit signaleert is essentieel.
- Servers en de cloud – het andere uiteinde van de informatieketen. Een stevig slot op de deur voorkomt inbraken en datadiefstal.
- Netwerk – het netwerk plus de bijbehorende apparatuur als switches en routers kent zo zijn eigen kwetsbaarheden. Hier is vooral analyse van het verschillende dataverkeer belangrijk om verdachte activiteiten te spotten.
Zero trust security
De kern van Security 2.0 is ‘vertrouw niemand’. Dat klinkt voor de hand liggend, maar dit zogeheten ‘zero trust’-idee begint de laatste tijd echt ingeburgerd te raken. Wat betekent dit in de praktijk? Het betekent dat niets en niemand toegang heeft, tenzij de persoon (en het apparaat) zich kan identificeren. Met andere woorden: het netwerk en de bronnen daarop, zoals servers of de cloud, staan standaard dicht. Dat is anders dan in de oude situatie waar bijvoorbeeld een router open staat, om verkeer toe te laten, zodat een persoon zich kan identificeren voor toegang tot een bron áchter de firewall, dus binnen.
Zero trust gaat heel ver. Het systeem gaat ervan uit dat in principe iedereen een indringer is, tenzij. De eerste stap is dat een medewerker zich identificeert, liefst met tweestapsverificatie. De volgende stap is dat ook het apparaat van die medewerker zich moet identificeren. Gebruiker en apparaat horen dus bij elkaar. De computer of ander apparaat moet een soort ‘gezondheidsverklaring’ overleggen, die bewijst dat de machine sinds de laatste keer dat de medewerkers inlogde geen rare dingen heeft opgelopen. Dan ben je er nog niet. De reeks wordt voortgezet met verificatie dat medewerker en computer toegang mogen hebben tot bepaalde software of gegevens. En het gaat nog een paar lagen dieper, maar je begrijpt het principe.
Laat je helpen met cyberveiligheid en voorkom zakelijk gehackt te worden
Het is best te begrijpen dat het je allemaal duizelt na al deze uitleg. Maar er zijn gespecialiseerde IT-dienstverleners die dit allemaal voor je kunnen regelen en in stand houden. Zij bekijken jouw situatie en komen met adviezen en oplossingen die jouw bedrijf van alle kanten dichttimmeren voor criminelen. Vaak kun je via een eenvoudig te begrijpen dashboard monitoren hoe het ervoor staat. Maar het is heel goed mogelijk dat je daar in jouw bedrijf helemaal geen tijd voor hebt. Zulke dienstverleners nemen ook deze taak graag van je over.
De wereld van cybercrime zit vol bedreigingen. Maar met behulp van een doordacht beveiligingsbeleid en een goede IT-dienstverlener, én bewustwording bij jou en je medewerkers, kun je criminelen buiten de deur houden. Op naar Security 2.0!