Rene Bouter

Op 12 mei 2017 en de dagen erna was de wereld in de ban van de Wannacry ransomware cryptoworm, een stukje malware dat computers over de hele wereld gegijzeld hield. Computers waren tijdelijk onbruikbaar; gebruikers werd om “losgeld” gevraagd. Op 15 mei 2017 was het grootste gevaar geweken, al zijn er sindsdien nog verschillende versies van deze malware gedetecteerd.

Eind juni 2017 kwam er een volgende grootscheepse aanval met Petya ransomware. Bij deze aanval werd een groot containeroverslagbedrijf in de Rotterdamse haven getroffen waardoor het enkele dagen geen containers kon laden en lossen. De schade voor dit ene bedrijf liep al in de miljoenen euro’s, en er waren uiteraard veel meer slachtoffers…

In dit artikel deel ik graag een aantal inzichten, tips en best practices die me in de praktijk al vaak geholpen hebben om klanten te beschermen tegen ongewenste invloeden van buitenaf.

Hackers, viruses and malware are here to stay

Inmiddels zijn de meeste mensen de naam Wannacry en Petya wellicht al weer vergeten, maar “hackers, viruses and malware are here to stay”. De verwachting is dat dit soort aanvallen en cybercrime in het algemeen de komende jaren alleen maar gaat toenemen.

U kunt zich als organisatie dus maar beter wapenen tegen dit soort aanvallen. Want of u nu een commerciële organisatie, overheid of zorginstelling bent, u kunt zeer snel “uit de lucht” zijn, met ontevreden klanten of patiënten en veel financiële schade en andere ellende tot gevolg.

Toch beveiligen we ons onvoldoende tegen nieuwe aanvallen

De bovengenoemde aanvallen waren mogelijk door een bekende kwetsbaarheid in het Windows besturingssysteem. Deze kwetsbaarheid werd in maart 2017 bekend gemaakt. In april 2017 bracht Microsoft een patch uit.

Door het installeren van deze patch is het Windows besturingssysteem niet meer kwetsbaar voor deze aanval. Toch blijkt nu dat een (groot) aantal bedrijven niet in staat is geweest om deze eenvoudige maatregel toe te passen.

Zelfs na de eerste Wannacry aanval die duidelijk aantoonde dat niet-gepatchte systemen op eenvoudige wijze getroffen konden worden hebben veel organisaties nagelaten om zichzelf tegen nieuwe aanvallen te beschermen.

De oplossing: betere informatiebeveiliging en meer security awareness

De oplossing voor dergelijke vervelende scenario’s is tweeledig: meer informatiebeveiliging en meer aandacht voor het verhogen van security awareness van de medewerkers. Een gecombineerd beleid dus waarin u zich als organisatie op 2 manieren tegen ongewenste indringers beveiligt: op het technische en op het menselijke niveau.

En daar knelt nu net vaak het schoentje: steeds meer organisaties wapenen zich op technisch gebied tegen hackers, virussen en ransomware; maar te weinig organisaties wapenen zich op menselijk gebied.

Zoals we eerder al aankaartten: elke beveiliging is maar zo sterk als zijn zwakste schakel en die schakel blijkt vaak de mens te zijn.

Praktische tips voor een betere bescherming tegen hackers, virussen en ransomware

Zoals gezegd moeten zowel de technologische als de menselijke kant van een organisatie beveiligd worden. En deze beveiligingsmaatregelen moeten op elkaar afgestemd worden. Wij besteden in onze dagelijkse praktijk bij DiVetro alvast veel aandacht aan de volgende zaken:

1. Technische maatregelen tegen hackers

Allereerst dient de basisbeveiliging van de technische omgeving op orde te zijn. Om deze beveiliging in te richten kunt u als onderneming zelf veel regelen. Wij raden aan om zoveel mogelijk gebruik te maken van de standaarden die in IT-beveiliging veelvuldig toegepast worden.

Denk hierbij aan ISO27001/2 of specifiek voor de zorg in Nederland de NEN7510. Als u deze standaarden op een juiste manier toepast dan krijgt u een uniforme, controleerbare inrichting van uw IT-infrastructuur. Hierdoor kunt u technische kwetsbaarheden tot een minimum beperken.

Als de basisbescherming van uw IT-infrastructuur in orde is dan kunt u uw beveiliging verder verhogen met meer detectieve maatregelen waardoor u als onderneming proactief kwetsbaarheden in uw IT-infrastructuur kunt opsporen en oplossen.

Een belangrijk uitgangspunt bij beveiliging is dat alle systemen minimaal aan een bepaald ‘basis security’ niveau moeten voldoen. Wij raden aan om een Security Baseline te hanteren bij de installatie van nieuwe systemen en de terugkerende rapportage over de status van ieder systeem. Hiermee voorkomt u dat de security-instellingen per systeem anders ingesteld zijn. Hierdoor worden IT-systemen minder kwetsbaar voor kwaadwillenden.

Daarnaast is het van belang om niet alleen naar dreigingen van buiten te kijken, maar ook om de autorisaties en rechten van eigen medewerkers goed te bekijken (least privilege principe).

Deze genoemde maatregelen staan uiteraard niet op zichzelf; ze maken deel uit van een samenhangend geheel van technische en organisatorische maatregelen (procedures) die naadloos op elkaar moeten aansluiten.

Na het afronden van ISO27000 of NEN7510 implementatieprojecten zien we regelmatig dat de technische maatregelen goed ingericht zijn maar dat er onvoldoende aandacht is besteed aan de juiste procedures om deze maatregelen regelmatig te evalueren. De werking van technische maatregelen dient echter regelmatig gecontroleerd te worden, net als de relevantie van deze maatregelen.

Als u de maatregelen en procedures goed inricht dan heeft u een integraal ingerichte security die regelmatig beoordeeld kan worden op werking en relevantie. Dit vermindert de kans op incidenten en het zorgt ervoor dat u zeer waarschijnlijk voldoet aan de richtlijnen van de AVG voor de beveiliging van de persoonsgegevens.

2. Menselijke maatregelen tegen hackers

De grootste oorzaak van kwetsbaarheden in de IT-infrastructuur zijn nog steeds degenen die gebruik maken van de IT-systemen. Wij merken vaak dat gebruikers zich vaak niet bewust zijn van de risico’s die zich met het gebruik van IT-systemen voordoen.

Zij gebruiken bijvoorbeeld vaak USB-sticks die gevonden worden of die gratis verstrekt worden door een leverancier of een collega. Ze tuinen ook vaak in de val van legitiem uitziende mails die aangeven dat er een security lek in de bankomgeving gevonden is… terwijl ze op die manier vaak de poort openzetten voor kwaadwillige hackers, virussen en malware van buitenaf. Dergelijke ‘phishing mails’ zien er heel echt uit en je moet tegenwoordig heel goed kijken om te zien dat er toch iets niet klopt.

Om deze ‘oorzaken’ weg te nemen moeten medewerkers bewust worden van de security risico’s waar zij en hun organisaties aan blootstaan. Verder moeten ze weten hoe ze deze risico’s kunnen voorkomen. Er moet dus bewust en voortdurend geïnvesteerd worden in security awareness programma’s.

Beter voorkomen dan genezen

Informatiebeveiliging is en blijft een voortdurend proces. Technologie verandert, risico’s veranderen en mensen vergeten. Zorg er daarom voor dat u als organisatie altijd op de hoogte bent van de laatste technologische mogelijkheden van hackers, kwetsbaarheden van uw systemen en ‘zwaktes’ van uw menselijke operatie. Zorg voor technologische en menselijke discipline en schakel zoveel mogelijk variabele factoren uit.

Enkel de combinatie van technologische en menselijke beveiliging zal ervoor zorgen dat een groot deel van de kwetsbaarheden tijdig opgelost worden. Dit kan nog uitgebreid worden met detectieve maatregelen, waardoor u tijdig geïnformeerd wordt over mogelijke aanvallen. Hierdoor kunt u tijdig de juiste maatregelen nemen om aanvallen te stoppen, nog voor zij uw bedrijfsactiviteiten verstoren.

Hoe sterk zijn uw informatiebeveiliging en security awareness?

Hoe gaat u om met uw informatiebeveiliging en de security awareness van uw medewerkers en andere gebruikers? Hoe zeker bent u van uw stuk?

Heeft u vragen of wilt u vrijblijvend klankborden? Aarzel niet en deel uw mening via het reactieformulier hieronder of contacteer ons via info@divetro.nl of +31 (0) 88 000 54 00.