Sponsored content
Sponsored content

Pssst, je digitale achterdeur is niet op slot


Als je de voordeur open laat staan of je sleutels in het slot laat zitten, hoop je dat de buren je waarschuwen. Hoe handig zou het zijn als iemand met verstand van zaken je komt uitleggen dat je achterdeur simpel te forceren is en hoe je dat kunt voorkomen. In de IT heten deze mensen ethical hackers en zij besparen bedrijven tijd, ellende en heel veel geld.

In 2008 kraakten onderzoekers van de Radboud Universiteit de OV-chipkaart. Ze konden gratis reizen door het hele land. De makers van de gekraakte chips in de pasjes werden snel geïnformeerd, net als de ministeries die dezelfde chip gebruikten in toegangspasjes voor hun gebouwen. De chipmaker was not amused, de overheid was juist blij met het hackwerk van de onderzoekers. Er was een lek aangetoond dat letterlijk de voordeur had kunnen openen voor kwaadwillenden.

Bedrijven hebben sindsdien steeds meer oog gekregen voor de gevaren van cybercrime. Beveiliging hangt niet af van de grootte van je organisatie, maar van de hoeveelheid diensten en producten die online wordt aangeboden, aldus Coen Steenbeek. Hij begon in 2007 bij Deloitte als ethical hacker, ook wel security tester genoemd. Inmiddels werkt hij in een managementfunctie en controleert hij de kwaliteit van uitgevoerde testen en de opgeleverde documentatie.

Steenbeek vertelt hoe ethical hackers toegangspaden, zeg maar ‘de ramen en deuren’ testen door ze aan te vallen, net zoals winkelketen Ikea een stoel test door hem 50.000 keer te buigen. Enkele voorbeelden van tests die veel worden uitgevoerd:

  • De ‘voordeur’: met alleen een url of ip-adres gaan de hackers kijken of ze in een applicatie of systeem kunnen kijken en dingen kunnen veranderen.
  • De ‘huiskamerdeur’: via een testaccount kijken de hackers waar ze allemaal bij kunnen van binnen uit, zit de kluis wel op slot?
  • De ‘plattegrond met de sleutels’: ethical hackers lopen de code van de software na om alle gaten te ontdekken. En de gevaren te zoeken waarmee informatie kan worden ontvreemd.

Het belang van digitale veiligheid is inmiddels bekend bij bedrijven. Dat de aanval de beste verdediging is, is soms nog even wennen. Om het systeem echt goed op slot te zetten, moet je het van alle kanten testen. Ikea duwt een stoel in, beveiligers controleren ramen, deuren en sloten, en ethical hackers sporen alle digitale lekken op.

Het gaat echter niet alleen om het testen van digitale lekken, maar ook het menselijke aspect is van belang. Zo zijn we als het goed is, bekend met phishing. Een mailtje met de tekst: ‘Gefeliciteerd u gewonnen heeft. klik hier voor ophalen van prijs voor U’. Wie klikt is de pineut. Minder mensen zijn echter bekend met spearphishing (speervissen), de verfijnde variant: goed Nederlands, gepersonaliseerd en met een bedrijfslogo. Vergelijkbaar met spookfacturen van niet bestaande organisaties. Coen Steenbeek “Wij versturen dergelijke e-mails en verzorgen vervolgens een training voor de medewerkers, waarin we hen informeren over de risico’s. Daarna versturen we weer een serie e-mails en meten het verschil.”

Coen Steenbeek is Manager binnen Deloitte Cyber Risk Services, hij is gespecialiseerd in Security Management en Vulnerability Management. Bekijk hier de video waarin hij uitlegt hoe de aanval de beste verdediging is.