Vervolg op
Cyber special deel 2: Bedrijfsschade na privacy lek: inkomensverlies, klantverlies, boetes en meer
Wat kun je doen/bijdragen om cyberrisico’s te beperken? Investeren in een anti-virussoftware alleen is niet genoeg. Goed risicobeheer met duidelijke interne procedures is minstens zo belangrijk. Net als het creëren van awareness bij medewerkers. Die moeten zich er permanent bewust zijn dat er vijanden op de loer liggen.
Als je de berichten in de media moet geloven, ben je als MKB’er weerloos tegen cybercriminelen. “Dat beeld verdient enige nuancering“, vindt Wouter Wissink. Hij is als risk engineer bij Chubb gespecialiseerd in cyberrisico’s. “MKB’ers zijn niet weerloos tegen cybercrime. Maar het onderwerp verdient wel de aandacht. Als het gaat om een gerichte aanval van hackers, is het moeilijk je daar tegen te verweren. Je kunt wel een groot deel van de risico’s beperken, zodat je baseline goed is.”
Het is net als met een ‘gewone’ inbraak, legt Wissink uit. “Een gerichte inbraak kun je niet uitsluiten, maar je moet wel sloten op de deur hebben. Een verzekeraar verwacht ook een bepaald minimumniveau als het gaat om beveiligingsmaatregelen tegen internetcriminaliteit.” Behalve dat je investeert in preventieve beveiligingsmaatregelen, is het ook belangrijk te denken aan detectiemiddelen. “Als cybercriminelen dan toch je netwerk weten binnen te dringen, zorg dan dat je hiervan zo snel mogelijk op de hoogte bent.”
Drievoudige aanpak
Bij de bestrijding van cyberrisico’s is een drievoudige ‘gelaagde aanpak’ belangrijk: “Natuurlijk is het een must om je antivirussoftware en netwerkbeveiliging op orde te hebben. Maar er moet ook intern in het bedrijf sprake zijn van een goed risicobeheer met doordachte procedures. Internetcriminaliteit bestrijden heeft drie pijlers: preventie, detectie en respons, maar het begint met goed risicobeheer.”
Risicobeheer
Naast de beveiliging van je netwerk is goed risicobeheer een must. “Begin eens te bedenken: welke applicaties heb ik allemaal? En wat gebeurt er als die niet beschikbaar zijn, of gehackt worden?” Wissink wijst op de ISO 27000 001 BIV-analyse die staat voor ‘Beschikbaarheid, Integriteit & Vertrouwelijkheid’. Denk na over bedrijfscontinuïteit: “Als er iets gebeurt, kan ik mijn dienst nog leveren? Wat zijn de consequenties als vertrouwelijke data gestolen wordt? Het kan zeker geen kwaad over dat soort vragen gewoon eens te brainstormen met een aantal mensen in je bedrijf. Verder is het zaak in ieder geval te zorgen dat je een back-up systeem hebt en een draaiboek in geval van een calamiteit.”
Preventie
Op het gebied van preventie is een goede virusscanner belangrijk, maar absoluut niet genoeg. “De meeste scanners kunnen alleen bestaande virussen detecteren, maar herkennen geen nieuwe virussen”, legt Wissink uit. “Maar nieuwe virussen ontwikkelingen zich razendsnel.” Gelukkig bestaan er wel geavanceerde virusscanners die in staat zijn patronen te herkennen. “Aan de hand hiervan zouden deze scanners nieuwe virussen kunnen identificeren.”
Data opslaan in een publieke cloud, zoals van Microsoft, kan helpen omdat een bedrijf als Microsoft veel deskundigheid in huis heeft, als het gaat om het bestrijden van indringers. Daar kun je als eenvoudige MKB’er niet aan tippen. “Maar let wel: ook als alles in de cloud staat, blijf jij eindverantwoordelijk voor je data”, waarschuwt Wissink. “In de nieuwe Europese wet databeveiliging -de European General Data Protection Regulation (GDPR)- is overigens wel opgenomen dat een deel van de verantwoordelijkheid bij de cloud-provider komt te liggen.”
Awareness-trainingen
Werken aan de awareness van je medewerkers is tevens een belangrijk onderdeel van een goed preventie-aanpak. Uit onderzoek blijkt dat je 60 tot 70 procent van de aanvallen kunt voorkomen door awarenesstrainingen te geven aan je medewerkers. “De basis is wantrouwen”, legt Wissink het awareness-concept uit. “Je moet bij elke mail die je krijgt, argwanend zijn. Is iets ‘too good to be true’ dan is dat meestal ook zo. Is iets logisch? Open nooit bestanden van mensen die je niet kent. Soms verschijnt er een andere naam, als je op het mailadres klikt.”
Speerfishing
Cybercrime wordt steeds geavanceerder. Een van de nieuwere ontwikkelingen is speerfishing. “Dat is een gerichte aanval op een persoon. Hackers halen dan informatie van bijvoorbeeld LinkedIn en gebruiken die informatie om zich voor te doen als iemand van de IT-afdeling van jouw bedrijf: “Kun je even je wachtwoord toesturen.” Het is belangrijk om ervoor te zorgen dat je medewerkers op de hoogte zijn van zulke ontwikkelingen.
Admin123
“Diefstal van credentials is een van de grootste risico’s,” waarschuwt Wissink. “Bekijk of ergens in je applicaties default wachtwoorden staan, Admin123, bijvoorbeeld. Ook daar kun je software voor kopen. En geef hoe dan ook nooit je wachtwoord door. Gebruik sterke user ID’s en wachtwoorden van minimaal acht tekens met hoofdletters en speciale karakters.”
Uit onderzoek van Symantec blijkt dat de meeste volwassenen steeds opnieuw dezelfde (default) wachtwoorden gebruiken. Voor wie moeite heeft wachtwoorden te onthouden heeft Wissink wel wat tips. “Bij sommige systemen kun je password-frases gebruiken, zoals ‘Ik moet om 9 uur Wouter bellen”.
Verder is het ook niet nodig iedereen toegang tot het hele systeem te geven. Geef medewerkers ‘role-based access control (RBAC) tot informatie die ze echt nodig hebben. En maak duidelijke afspraken over thuiswerken: bijvoorbeeld geen informatie van het kantoor op een privé laptop.
Detectie
Het duurt gemiddeld zes maanden voor een bedrijf erachter komt dat er in het netwerk is ingebroken. Vaak zijn het externen die hen daarop wijzen, omdat gestolen gegevens bijvoorbeeld al in de openbaarheid zijn geraakt. “Detectie is cruciaal om de schade van een inbreuk te beperken”, aldus Wissink. “Verzekeraars eisen vaker intrusion- detectiesystemen die het datalek registreren. Zo’n systeem detecteert bijvoorbeeld data die op een vreemd tijdstip ongeoorloofd uit een systeem verdwijnt. Je kunt daarvoor contracten afsluiten bij een extern bedrijf dat je systemen monitort.”
Respons
De wet Meldplicht Datalekken stelt dat je een goed plan moet hebben om een inbreuk te melden bij de Autoriteit Persoonsgegevens. Je moet binnen 72 uur melden nadat je erachter bent gekomen dat er een lek is. Stel samen met je provider een data loss incident plan op. En zorg vooral voor een hele goede offline back-up. Dan zet je in het geval van versleuteling alles weer snel terug. Zorg ook voor een continuïteitsplan zodat bij het niet beschikbaar zijn van systemen medewerkers toch verder kunnen werken.
GDPR
Risicobeheer staat nog hoger op de agenda sinds de Meldplicht Datalekken in Nederland geldt. Daar komt vanaf mei 2018 de eerder genoemde GDPR voor in de plaats. Die GDPR vraagt dat je op regelmatige en systematische wijze data monitort. Daarbij gaat het niet om de grootte van je bedrijf, maar om het type data dat je verwerkt: ‘gewone persoonsgegevens’ versus ‘bijzondere persoonsgegevens’ (bijv. gegevens over iemands ras, godsdienst, gezondheid, strafrechtelijk verleden of seksuele leven). Wissink: “Stel je hebt een klein bedrijfje in de medische sector met maar drie man personeel, dan moet je ook je data monitoren, want je beschikt over bijzondere (medische) persoonsgegevens.”
Basisrisicobeheer
Als kleine ondernemer moet je realistisch zijn over wat je wel en niet kunt. “Een klein MKB-bedrijf met twee man op de IT-afdeling krijgt nooit dezelfde deskundigheid op het gebied van cybersecurity als Microsoft. Om toch van die deskundigheid gebruik te kunnen maken, is uitbesteden een goede optie. Er zijn ‘managed security’- bedrijven die je firewall en security beheren en monitoren. Installeren van een Security Incident Management systeem dat meldingen doorstuurt naar een extern bedrijf kan natuurlijk ook.”
Als je de kosten van uitbesteding niet kan of wil dragen, zorg dan in ieder geval voor een goede back-up. En bewaar alleen informatie die je echt nodig hebt. Wissink: “Als je geen informatie verzamelt, kan het ook niet gestolen worden.”
Stappenplan Cybersecurity:
1) Inventariseer je applicaties en risico’s
2) Installeer antivirussoftware die patronen herkent
3) Investeer in next generation firewalls met detectiesoftware (IDS en IPS)
4) Zorg voor een goede opvolging van logs
5) Zorg voor een goede patching-procedure
6) Besteed cybersecurity eventueel uit aan ‘managed-security’ bedrijven
7) Zorg voor strenge wachtwoorden en eventueel 2factor-authenticatie
8) Geef werknemers role based (RBAC) toegang tot het systeem
9) Scheid de productieomgeving van de overage omgevingen
10) Bied awareness-trainingen aan werknemers
Deze educatieve serie over de gevaren van Cybercrime is een idee van de redactie van Findinet en is tot stand gekomen i.s.m. Bex communicatie en Partner van Findinet CHUBB.
Op 15 februari jl verscheen Deel 1 van deze serie over cybercriminaliteit
