Elk bedrijf kan leren van de Sony-hack: beveiliging is meer dan een IT-klus

Computerinbraak les voor bedrijven die zich willen beschermen

Cybercriminelen hebben het vaak voorzien op bankrekeningen en creditcards van particulieren. Denk aan de Amerikaanse winkelketens Target en Staples, bij wie miljoenen creditcardgegevens werden gestolen. Maar de bedreiging verschuift: hackers hebben het nu gemunt op de software die geldautomaten aanstuurt en vallen bedrijven rechtstreeks aan, zoals de hack bij Sony Pictures.

Volgens veiligheidsbedrijf Kaspersky Lab zijn afgelopen jaar gerichte aanvallen uitgevoerd op meer dan twintig sectoren, variërend van ziekenhuizen tot media-instellingen en telecombedrijven. Het aantal gerichte aanvallen op bedrijven verdubbelde dit jaar ten opzichte van 2013, tot ruim 4.400. Criminelen hoeven zich niet eens zelf in computers te verdiepen: ze kunnen professionele cyberteams inhuren die attacks-as-a-service aanbieden: een aanval op bestelling.

Vorige week leidde beveiligingsbedrijf Pinewood een rondetafelgesprek over cybersecurity, waaraan verschillende specialisten uit de branche deelnamen. Beveiligingsbedrijven zijn geneigd om risico’s aan te dikken; uiteindelijk is het in hun commercieel belang om diensten te leveren aan een klant die zich onveilig waant.

De Sony-hack toont echter aan wat er kan gebeuren als je de risico’s van een gerichte aanval onderschat. Dit zijn negen denkfouten die je volgens experts niet zou moeten maken.

1 Het valt wel mee

Het risico op een computerinbraak of chantage door cybercriminelen is groter dan je denkt. De meeste hacks worden niet algemeen bekend. Er geldt in Nederland nog geen meldplicht voor computerinbraken – alleen voor gelekte gegevens van klanten. Veiligheidsbedrijven die opsporingswerk verrichten moeten een geheimhoudingsverklaring ondertekenen.

2 We hebben al een firewall

De aanschaf van beveiligingsproducten is niet voldoende. Ze moeten adequaat geïnstalleerd worden, goed samenwerken met andere producten, bijgehouden en controlebestanden moeten geanalyseerd worden. Dat kost tijd en geld.

3 Het is te veel gedoe

Veiligheid gaat meestal ten koste van gebruiksgemak. Dat gaat over personeelsleden die niet zelfstandig software mogen installeren op hun computer, tot de IT-afdeling die geen tijd heeft om ingewikkelde regels in te stellen om servers af te schermen voor elkaar of de buitenwereld. Dat geldt ook voor toeleveranciers en externen die toegang hebben tot de servers: hun wachtwoorden en inlognamen moeten goed gecontroleerd worden.

4 We laten ons al testen

Alleen onderzoek naar kwetsbaarheden uit laten voeren, vaak een verplichte oefening, is niet voldoende. Typisch voorbeeld: een ziekenhuis dat een jaarlijkse penetratietest laat uitvoeren op kwetsbare computers, krijgt een waslijst met aanbevelingen. Na een jaar staan dezelfde gammele Windows XP-machines er nog altijd, en zijn de virusscanners verouderd.

5 Het gaat al jaren goed

Het moet eerst goed fout gaan voordat het belang van veiligheid doordringt. KPN paste zijn veiligheidsbeleid drastisch aan nadat het in 2011 slachtoffer was van een hack. Leer ook van hacks buiten de eigen branche. Als je een advocatenkantoor runt en nog nooit hebt gehoord van een advocatenkantoor dat getroffen werd door een gerichte aanval, is dat geen garantie.

6 Niemand komt binnen

In veel bedrijven ligt de nadruk op het buiten houden van indringers. Maar als hackers toch eenmaal binnen zijn, treffen ze vaak servers aan die amper beveiligd of onvoldoende van elkaar gescheiden zijn. Inventariseer welke data cruciaal zijn voor de bedrijfsvoering en bescherm die optimaal, ook intern.  Niet alle bits zijn gelijk.

7 We hebben toch IT’ers

Risicomanagement is een vak. Veiligheid hangt niet alleen af van techneuten en IT’ers. Zorg dat er in de raad van bestuur of op directieniveau iemand verantwoordelijk is voor de veiligheid van informatie binnen het bedrijf. Iemand met de macht om personeel te dwingen veiliger te werken, de bedrijfsleiding bij de les te houden, met kennis van juridische eisen en een eigen budget voor informatiebeveiliging.

8 We lopen het risico wel

Sommige bedrijven vinden zichzelf niet waardevol genoeg om te investeren in extra beveiliging: ze gokken dat de schade die ontstaat door een eventuele hack kleiner is. Voor een worstcasescenario zou een bedrijf moeten afwegen wat er gebeurt als een inbraak in een computer openbaar gemaakt moet worden. Hoe reageren klanten dan? En hoe zou het zijn als iedereen je laatste duizend mails kan meelezen op het web? Wat is het noodplan?

9 Mij overkomt dat niet

Hackers zijn altijd in het voordeel. Ze zijn anoniem, werken in het geheim en over de (juridische) grens, hebben alle tijd en zijn behalve technisch onderlegd ook uitermate handig in social engineering.