Jouw grootste cyberdreiging? Die komt van jouw mensen

Cyber Security is het veilig houden van computersystemen zoals laptops, smartphones, servers en netwerken, inclusief de gegevens die zich op die systemen bevinden. In deze blog wil ik uitleggen wat cyberveiligheid voor jouw bedrijf betekent en waarom het grootste risico voor de beveiliging van een IT-systeem altijd jouw mensen zijn.

Cyber Security Threats: It's All About People

Blog is geschreven door Nigel van Houten, Hoofd NetOps bij Ekco in Alkmaar

Inbreuken op de beveiliging kosten bedrijven veel geld. Ik zou enkele cijfers kunnen delen, maar ze betekenen niet zoveel en ze laten alleen de financiële impact zien. Probeer je in plaats daarvan zelf een voorstelling te maken van wat er bij jouw klanten, leads, patiënten of medewerkers gebeurt als er er iets ernstig mis is gegaan.

Bijvoorbeeld als hun gegevens verloren zijn gegaan. Of als ze geen toegang meer krijgen tot de services die ze nodig hebben, of als jij ontdekt dat onbekende admins al een tijdje toegang hebben tot jouw systeem – het zal nooit een prettige ervaring zijn.

Sluit je ogen en visualiseer de situatie. Jouw core services zijn niet beschikbaar. Je telefoon trilt non-stop terwijl mensen eisen dat je vertelt wat er aan de hand is en dat jij ze op de hoogte houdt van het verloop. Voel je al wat ongemak? Mooi zo. Als het om IT-beveiliging gaat, mag je je nooit helemaal op je gemak voelen.

De grootste Cyber Security-risico's

Allereerst: laten we eens kijken naar de grondbeginselen van cyber security of – in goed Nederlands – informatiebeveiliging. Er zijn verschillende gebieden waar beveiliging een rol speelt. Ik zal de meest voorkomende behandelen.

Netwerkbeveiliging

Dit is de kunst om indringers uit het netwerk te houden. Dat is vrij eenvoudig: knip gewoon alle draden naar internet door en je bent veilig. Maar zodra we services op internet gaan gebruiken, merken we dat het ingewikkeld wordt. De netwerkbeveiliging is verschoven van het dichthouden van deuren naar het kunnen openen van deuren, maar alleen indien toegestaan.

Applicatiebeveiliging

Ondermaatse applicatiebeveiliging veroorzaakt de meeste datalekken die binnen een systeem zelf plaatsvinden. Slechte softwarecode, verkeerde configuratie, verouderde software … dit alles kan leiden tot potentiële beveiligingsincidenten binnen een applicatie. Maar we zullen toch mensen moeten binnenlaten om die applicatie te gebruiken – dus daarom moeten we ervoor zorgen dat ze geen lades en kasten kunnen openen die dicht moeten blijven.

Informatiebeveiliging

Informatiebeveiliging gaat over het beschermen van data die zijn opgeslagen in een applicatie of die tussen systemen heen en weer bewegen.

Beveiligingsoperaties

Alle processen en beleidsmaatregelen die worden afgedwongen om ervoor te zorgen dat het netwerk, de applicatie en de gegevens veilig blijven en tegelijkertijd toegankelijk zijn voor degenen die toegang mogen hebben.

Bedrijfscontinuïteit en noodherstel

Bedrijfscontinuïteit draait erom voorbereid te zijn op rampen en schadeherstel daarna. Je plant de slechtste scenario’s in om elke situatie een reddingslijn te kunnen bieden. Dit betekent dat als jij aan de telefoon bent met een klant die geen toegang heeft tot gegevens of services, jij een ??indicatie kunt geven hoe lang het duurt om zijn gegevens te herstellen of om de zaken weer aan de praat te krijgen.

De menselijke factor

Eindelijk het leuke gedeelte. Zelfs als jij over de beste technologie, security management en disaster recovery beschikt, heb je nog steeds te maken met mensen. Er is een oude grap die al decennia in IT de ronde doet: alles zou prima lopen als er maar geen mensen tussen kwamen! Social Engineering is menselijke interactie gebruiken om malafide activiteiten uit te voeren. Het vormt al meer dan 20 jaar een enorm veiligheidsrisico, en het risico wordt alleen maar groter. Jouw mensen moeten weten dat alles wat ze doen en delen met anderen tegen hen zal worden gebruikt.

Rolling Stones: Security is an Open Mouth

Social engineering, de grootste dreiging voor jouw bedrijf

Meteen nadat ik mijn studie Informatiebeveiliging had afgerond en als de eerste en jongste beveiligingsfunctionaris aan een universiteit werd aangesteld, leerde ik dat het grootste beveiligingsrisico een open mond is.

We kregen allemaal een T-shirt met het klassieke Rolling Stones-logo om mensen te herinneren aan het risico van een open mond. We hebben personeel getraind om niet zomaar aan willekeurige mensen ook maar iets te vertellen over de structuur van de instelling of de systemen die we in gebruik hadden. Geef geen informatie weg die mensen zouden kunnen misbruiken.

Het idee achter de slagzin over de open mond was eenvoudig. Welke technologie we ook implementeren en hoe perfect we die ook maken, als we niet genoeg tijd besteden aan het trainen van onze medewerkers in het omgaan met beveiliging en in discretie… dan blijf je beveiligingsincidenten houden.

20 jaar later is social engineering de grootste oorzaak van beveiligingsincidenten, en bij 30 procent van alle inbreuken is social engineering betrokken. Social engineering gaat heel ver; in beginsel omvat het alles wat mensen ertoe brengt om iets te doen dat ze niet zouden moeten doen.

Bijvoorbeeld …

Phishing-e-mails

Dit zijn e-mails die jou ergens op laten klikken of iets laten doen. Een van de bekendste en oudste is de ‘I love you’ e-mail die in het jaar 2000 rondging. We willen ons allemaal geliefd voelen en als gevolg daarvan was deze zwendel-e-mail enorm succesvol. Het was één van de snelst verspreide virussen ooit en heeft naar schatting $ 5,5 miljard aan schade veroorzaakt.

Telefoontjes om informatie te krijgen

Ik heb ongeveer een decennium gewerkt in het bank- en verzekeringswezen en ik was verantwoordelijk voor een reeks verschillende IT-projecten. Elke week kreeg ik telefoontjes van iemand die zich als verre bekende voordeed en die informatie nodig had over een bepaalde persoon of systeem binnen de organisatie. Dit lijkt nogal onschuldig, maar criminelen nemen de tijd om hun overval goed voor te bereiden. Deze korte telefoontjes hebben een functie in het aanvalspatroon. Hackers hoeven zich niet op de fysieke beveiliging te richten – ze krijgen genoeg inzicht van binnenuit en kijken naar de digitale beveiliging. De informatie die ze ophalen wordt gebruikt om de kwetsbaarheden in technologie en van mensen te vinden. Het hacken van de accounts van een belangrijke werknemer kan bijvoorbeeld informatie opleveren om hem te chanteren. Meer voorbeelden en hun schade, vind je hier.

De grondbeginselen van cyberveiligheid veranderen niet

Terug naar het begin van deze blog, over dat ongemakkelijke gevoel wanneer we nadenken over een beveiligingsprobleem: ik denk dat het nut heeft om ons ongemakkelijk voelen bij het overdenken van dergelijke situaties. Want dit laat ons proactief meedenken over het verkleinen van het risico op beveiligingsincidenten. Dus wat moeten we doen om veilig te blijven? In wezen zijn er drie dingen die ik twintig jaar geleden moest doen toen ik op de universiteit werkte. Ze zijn 20 jaar later allemaal nog steeds van toepassing.

De drie basisprincipes zijn …

Zorg ervoor dat je een Cyber Security Plan hebt

Stel je voor dat jij een huis met vijf deuren bouwt. Eén deur heeft drie sloten, twee hebben één slot en de andere hebben helemaal geen sloten. Waarom zou je zelfs de moeite nemen om één deur met drie sloten te hebben? Tenzij jij zeker weet dat alle dieven maar één deur zullen proberen, geef jij je geld op de verkeerde manier uit. Zorg ervoor dat alle vijf de deuren één slot hebben. Onze complexe, moderne IT-omgevingen vereisen het ontwikkelen, oefenen en onderhouden van een degelijk plan. Dit moet bestaan ??uit baseline, beleid, procedures en een Plan/ Do /Check/Act-cyclus. Dus ja, ook audits.
Onderkennen dat de verdediging jouw taak is

De receptioniste is een van de eerste verdedigingslinies op het gebied van beveiliging. Deze persoon zou iedereen die om informatie vraagt ??de wedervraag moeten stellen ‘waarom?’ en ook de achtergrond en de bedoelingen van de beller moeten verifiëren. Maak iedereen van hoog tot laag onderdeel van de cyberbeveiliging. Mensen zouden minder toegang moeten vragen in plaats van meer om hun werk te kunnen doen. Jouw medewerkers moeten zich afvragen of wat zij willen nodig is, en bijdraagt ??aan de veiligheid van klanten, data en services. Net als het op slot doen van de deur telkens wanneer je het huis verlaat, moet beveiliging onderdeel worden van ieders gedrag.
Bereid je voor op het ergste, hoop op het beste

Ik ben een grote fan van oneliners – ik hoop dat er niet teveel in deze blog staan. De bovenstaande echter verdient een plaats. Het gaat erom dat je voorbereid bent als je de gedachteoefening uit het begin van de blog werkelijkheid wordt. Verplaats jezelf terug in die situatie en stel je voor dat je weer de controle over al je systemen verliest, maar dat je deze keer precies weet wat je moet doen. Dat is beter, is het niet? Business Continuity Planning en voorbereiding op noodherstel moeten leuk zijn en niet alleen iets dat we doen omdat ons juridische team of het certificeringsinstituut dit van ons eist. En het beste ervan hopen? Nou, hopen dat er niets ergs gebeurt kan natuurlijk nooit kwaad. Maar preventie en voorbereiding zijn net wat effectiever.

Afsluitend kan ik me voorstellen dat jij het al druk genoeg hebt met het runnen van je bedrijf of afdeling. Bovendien kost de dagelijkse operatie al het een en ander. Hoe vind jij tijd en budget om mijn advies op te volgen?

Welnu, de vraag waar jij over zou moeten nadenken, is: ‘wat gebeurt er als ik dit advies niet opvolg?’ Ik ben van mening dat de bedrijven die cyberveiligheid nu serieus nemen, over 20 jaar nog steeds bestaan. Degene die dat niet doen, zijn er niet meer.

Verlies de basisprincipes van cyberveiligheid niet uit het oog. Blijf jezelf en je teamgenoten bijscholen. Leid je personeel op: van de stagiair tot de CEO, ze spelen allemaal een rol bij het veilig houden van jullie organisatie.

Als jij vragen of opmerkingen hebt, staan ??onze teams altijd klaar om te chatten. Het begint allemaal met een gesprek.