Security

Whitepaper Dreigingen, gevolgen & oplossingen

De digitale transformatie reis

Wat tien jaar geleden ondenkbaar leek, is in 2019 waarheid geworden. De Verenigde Staten beschuldigen

China van het spioneren van het Westen door het gebruik van apparatuur van Huawei en ZTE. De Amerikaanse

security diensten adviseerden geen apparatuur meer van deze merken in te zetten. Deze waarschuwing

komt voort uit een onderzoek dat in 2010 van start ging. Naar aanleiding van ditzelfde onderzoek is recent de

topvrouw van Huawei gearresteerd.

Op securitygebied bestaan dus diverse soorten dreigingen, met potentieel grote gevolgen voor een

organisatie. Denk aan omzetderving, imagoschade en zelfs boetes. Techniek, organisatie & beleid en mensen

zijn hierbij de risicofactoren in een organisatie. Zorg daarom dat uw organisatie een passend securitybeleid

hanteert en blijft hanteren. In deze whitepaper leest u hoe dit in uw organisatie toegepast kan worden.

Bovenstaand nieuws staat niet op zichzelf. Begin 2018

werd bekend dat Facebook via een app onterecht

persoonsgegevens deelde met Cambridge Analytica. Deze

organisatie gebruikte gegevens voor gerichte reclame

tijdens de presidentsverkiezingen in de Verenigde Staten

in 2016.

Ook komen distributed-denial-of-service aanvallen steeds

vaker voor. Deze DDoS-aanvallen zijn pogingen om een

computer of netwerk onbereikbaar te maken voor de

bedoelde klanten. In het verleden werd niet alleen DigiD

slachtoffer van dit soort aanvallen, ook banken en zelfs

schoolsoftwarefabrikant Magister konden de dans niet

ontspringen.

Ook vragen fraudeurs in valse e-mails of WhatsApp-

berichten regelmatig om geld. De financiële afdeling van

Pathé maakte zo te goeder trouw veel geld over naar een

bankrekeningnummer, dat achteraf frauduleus bleek te

zijn.

Daarnaast vormt gijzelsoftware als WannaCry of SamSam

een reële dreiging.

Al deze zaken zijn helaas slechts enkele voorbeelden

uit het nieuws. In de toekomst gaan dit soort

securityincidenten veel vaker voorkomen. Voor een

consument betekent dat bijvoorbeeld een verstoring

bij het internetbankieren. Of dat persoonsgegevens en

wachtwoorden op straat komen te liggen, wanneer een

slecht beveiligde webshop gehackt wordt. Heel vervelend

en soms met grote gevolgen voor consumenten.

Voor organisaties gaat het nog een stap verder. Hier

kan bedrijfsspionage of een hack desastreuze gevolgen

hebben. Gelukkig kunnen slimme oplossingen een hoop

ellende voorkomen. In deze whitepaper komt een aantal

van deze slimme oplossingen aan bod.

Dreigingen in alle soorten en maten

www.nbcnews.comVoor een consument betekent dat bijvoorbeeld een verstoring bij het internetbankieren, voor organisaties gaat het nog een stap verder.

Bedrijfscontinuïteit

Aanvallen van buitenaf zoals de eerdergenoemde DDoS-aanvallen of de aanvallen met

gijzelsoftware, zorgen ervoor dat een organisatie (tijdelijk) niet kan werken. Dit betekent

bijvoorbeeld dat klanten de organisatie niet kunnen bereiken. Afhankelijk van het type

aanval en de gebruikte back-up oplossing, kan het even duren voordat de organisatie

weer in de lucht is. Tevens kan het voorkomen dat een organisatie een deel van de

bedrijfsdata kwijtraakt door een aanval. Wederom afhankelijk van wanneer de laatste

back-up plaatsvond.

Intellectueel eigendom

Bedrijfsspionage is een reële dreiging. Deze dreiging wordt nog groter als de

organisatie bezig is met nieuwe ontwikkelingen of zeer concurrentiegevoelige

informatie in het bezit heeft. Stelt u zich eens voor dat deze gegevens gestolen

worden… De Nederlandse chipgigant ASML heeft dit onlangs helaas aan den lijve

ondervonden.

AVG/GDPR

Sinds mei 2018 is elke organisatie verplicht zich aan de privacywetgeving te houden.

Inbreuk in de gegevens van een organisatie betekent vaak ook dat persoonsgegevens

van klanten of werknemers ‘op straat komen te liggen’. Hiermee handelt de organisatie

in strijd met de Algemene verordening gegevensbescherming (AVG.

Kunt u aantonen dat u alle maatregelen genomen heeft om datalekken te voorkomen?

Dan zal naar alle waarschijnlijkheid geen sanctie volgen. Als echter blijkt dat deze

maatregelen niet (voldoende) getroffen zijn kan dit vervelend uitpakken: een serieuze

overtreding kan bestraft worden met een geldboete van maximaal €20.000.000,- of

4% van de wereldwijde omzet.

Denk eraan dat niet alleen hackers gegevens kunnen stelen. Het komt voor dat een

medewerker niet zorgvuldig met de gegevens omgaat en deze verliest. Denk aan de

verhalen over een verloren laptop in de trein of USB-sticks die bij het vuilnis belanden.

Ook in dit geval is de organisatie in overtreding met de AVG. Een goed beleid is

daarom zeer belangrijk.

Imago

Alle bovenstaande gevolgen vormen samen nog een probleem, namelijk schade

aan het imago van de organisatie. Als klanten geen gehoor krijgen, gaan ze naar

de concurrent. Als hun gegevens onterecht bij derden terecht komen, gaat hun

vertrouwen verloren. Het imago van een organisatie loopt bij ieder incident schade op.

Deze schade kan zorgen voor klantverlies, of erger.

Zo nam Facebook het niet altijd even nauw met het beschermen van

persoonsgegevens. Nadat dit nieuws naar buiten kwam ontstond een waar schandaal.

Miljoenen mensen verwijderden vervolgens hun Facebookaccount.

De gevolgen van inbreuk op security

Denkt u nu, dit overkomt mij niet want ik ben ‘maar’

een mkb’er? Helaas, wijst onderzoek uit dat ook mkb-

organisaties het doelwit van hackers zijn. Iedereen is

namelijk een potentieel doelwit. Gaat het om een huis of

bedrijfspand, dan geeft de overheid een goedbedoelde

waarschuwing om ramen en deuren af te sluiten. Dit mag

immers geen makkelijk doelwit voor inbrekers of dieven

vormen. Digitaal geldt het securitybeleid als graadmeter of

een organisatie een makkelijk doelwit is of niet. Net als bij

inbrekers geldt voor hackers: gelegenheid maakt de dief.

Hackers houden vaak dezelfde vuistregels aan als dieven:

hoe groter het bedrijf, hoe meer men geïnvesteerd heeft in

securitymaatregelen en hoe lastiger het binnendringen is.

Juist daarom is het mkb interessant voor hackers. In het

mkb staat security vaak niet op de eerste plaats. Hierdoor

worden bedrijfsnetwerken gemakkelijk toegankelijk voor

hackers en de kans op besmetting, fraude, gijzeling of het

stelen van bedrijfs- en/of persoonsgegevens zeer reëel.

Gelukkig zijn niet alle hackers crimineel. Ethische hackers

verdienen hun geld met het aantonen van zwakke plekken.

Vervolgens denken ze met de organisatie mee over

oplossingen om deze zwakke plekken te dichten, zodat

criminele hackers minder makkelijk binnen kunnen komen.

Gelegenheid maakt de hacker

Het is belangrijk om goed over securitymaatregelen na te

denken en een beleid op te stellen. Maar welke factoren

spelen nu een rol in het bepalen van securitybeleid?

We kunnen deze factoren opdelen in drie categorieën:

mens, organisatie & beleid en techniek. Vaak denkt

men dat techniek het belangrijkste is, gevolgd door

organisatie & beleid. Het menselijke aspect slaat men vaak

grotendeels over. Terwijl de mens, de eindgebruiker, juist

een sleutelrol speelt in het succes van een securitybeleid!

Neem het voorbeeld van Pathé: als de medewerkers

beter waren voorgelicht over hoe officiële betaalverzoeken

(ook intern) eruit horen te zien en welke e-maildomeinen

Techniek

Vanuit technisch oogpunt is het belangrijk om inzicht

te hebben in een drietal zaken. Ten eerste het aantal

kwetsbaarheden (vulnerabilities) binnen de IT-omgeving.

Bent u bekend met alle zaken binnen uw IT-netwerk, weet

u wat er allemaal draait? Zijn alle werkplekken en servers

voorzien van antivirus, encryptie en de laatste updates?

De juiste tooling en/of een managed securitydienst kan dit

netwerkverkeer analyseren en periodiek kwetsbaarheden

in kaart brengen. Vervolgens kan de beheerder actie

ondernemen.

Ten tweede is het verstandig om na te denken over welke

connecties binnen het netwerk (zouden moeten) bestaan.

Bijvoorbeeld: hebben mobiele telefoons toegang nodig

tot het bedrijfsnetwerk? In veel gevallen is alleen een

internetverbinding voor deze toestellen al voldoende. Het is

onnodig om (onveilige) mobiele telefoons toegang te geven

tot een bedrijfsnetwerk.

Ten derde is het noodzaak om ook technische

beveiligingsmaatregelen in te zetten. Denk hierbij aan een

‘next generation firewall’. Zo’n nieuwe firewall houdt niet

alleen poorten open of dicht, maar filtert het netwerkverkeer

ook inhoudelijk. Een ander voorbeeld van een technische

beveiligingsmaatregel is een geavanceerd antiviruspakket

voorzien van ‘exploit prevention’. Dit antiviruspakket

detecteert naast virussen ook afwijkend gedrag. Een derde

goede maatregel is een effectieve antispamfilter. Het liefst

een met sandbox-functionaliteit, zodat o.a. links in e-mails in

een veilige omgeving gecontroleerd kunnen worden.

bij het bedrijf horen, hadden ze wellicht geen geld

overgemaakt naar de fraudeurs.

Security staat dus deels gelijk aan ‘risicomanagement’.

Het is belangrijk de risico’s in beeld te brengen. Wanneer

risico’s in beeld zijn wordt het mogelijk om gepaste

actie te ondernemen. Daarmee verkleint het mogelijke

aanvalsoppervlak en dus ook de risico’s. Een hacker heeft

immers minder mogelijkheden bij een organisatie met een

klein aanvalsoppervlak.

Welke factoren spelen een rol bij het securitybeleid?

Mens

Beleid &Organisa e

O

Techniek

Organisatorisch beleid

Hoe gaat uw bedrijf om met security? Welke bedreigingen

zijn reëel voor uw bedrijf? Welk beleid gaat u opstellen en

hoe gaat u zorgen dat uw werknemers het beleid naleven?

Het organisatorische vlak van security richt zich vooral

op beleid. Denk aan het onderhouden van technische

oplossingen, het vastleggen van procedures bij incidenten

en het voorlichten van medewerkers.

Security is onderdeel van het gehele IT-beleid. Door de

veranderende IT-wereld wordt dit beleid steeds belangrijker.

Tien jaar geleden was het fenomeen BYOD (Bring Your Own

Device) nog niet aan de orde. Laat staan IoT (Internet

of Things). Tegenwoordig zijn dit echter zaken die het

IT-beleid, maar zeker ook het securitybeleid van een

organisatie raken.

Het beleid rondom wachtwoorden en multi-

factor authenticatie is ook erg belangrijk en

kan uit diverse onderdelen bestaan. Ten eerste

zijn lange wachtwoorden veiliger dan korte

wachtwoorden. Om het onthouden makkelijk

te maken, kan een gebruiker bijvoorbeeld een

zin bedenken: “onzehondbellois22jaar”. Verder

blijkt het verstandig gebruikers niet te vaak van

wachtwoord te laten wisselen, zeker niet meer

dan jaarlijks. Gebruikers vallen dan vaak terug op

onveilige geheugensteuntjes.

Een ander onderdeel van een goed beveiligingsbeleid

draait om het uitlenen van apparaten. Wanneer een

medewerker een (digitaal) apparaat ontvangt, is het soms

slim een bruikleenovereenkomst te gebruiken. Hierin staat

bijvoorbeeld hoe de werknemer correct moet omgaan met

de apparatuur.

Technisch beleid

Naast organisatorisch beleid is het belangrijk na te denken

over het technische beleid. Zorg ervoor dat apparaten

op tijd vervangen worden. Dat kan door vervaldatums

op ondersteuning voor hard- en software bij te houden,

en apparaten die niet meer ondersteund worden te

vervangen. Dit voorkomt gevaarlijke situaties en onvoorziene

investeringen.

Apparaten zoals laptops en tablets komen regelmatig

buiten de veilige muren van de organisatie. Daarom is het

verstandig een aantal zaken technisch af te dwingen. Denk

hierbij aan encryptie van data, antivirus en firewall-regels.

Mens

Beleid &Organisa e

O

Techniek

BYODBring YourOwn Device

Mens

Helaas spelen mensen in een groot deel van de gevallen een

belangrijke factor bij beveiligingsincidenten. Medewerkers

moeten daarom op de hoogte zijn van (1) getroffen

maatregelen, (2) risico-beperkende acties die zij zelf kunnen

ondernemen en (3) van de consequenties van foutief

handelen. Is dit niet het geval, dan zal het securitybeleid

alsnog falen. Het opleiden en informeren van medewerkers

hoort daarom bij het beleid.

Ook hier zijn kennisdeling en de kracht van herhaling de

sleutel tot begrip en dus succes. Denk aan het opstellen van

een ‘Security Quick Reference Card’. Zo’n kaartje schept

bij gebruikers snel duidelijkheid over de benodigde acties

bij een incident. Een organisatie kan ook bewustzijn creëren

met een ‘Bedrijfsquiz datalekken & Security Awareness

Training’. Of met voorlichting vanuit praktijkvoorbeelden.

Er zijn zelfs diensten die op regelmatige basis een vals

‘phishing’ bericht versturen aan gebruikers. Zo houden ze

mensen bewust van gevaarlijke mails.

Het is belangrijk om gebruikers te stimuleren incidenten en

verdachte zaken te melden. Val gebruikers daarom niet af

wanneer een incident heeft plaats gevonden.

Mens

Beleid &Organisa e

O

Techniek

Naar een passend securitybeleid

Nu de risicofactoren en gevolgen bekend zijn, is het belangrijk om te bepalen welk beleid bij uw organisatie past. Het

type organisatie is hierin een bepalende factor, evenals de vraag of u veel met klantgegevens werkt. Een bakker heeft

andere behoeften en risico’s dan een advocatenkantoor. Dat betekent niet dat de bakker geen securitybeleid nodig heeft.

Alleen dat dit beleid er anders uit zal zien dan dat van een advocaat.

Om tot een passend beleid te komen en dit ook te implementeren,

kunnen we grofweg drie fases onderscheiden.

Fase 1: analyseDe eerste fase draait om de huidige

situatie. Is er al een securitybeleid?

Wordt dit nageleefd? Hoe sluit dit

aan bij wet- en regelgeving zoals

de AVG? Zijn er normeringen of

certificeringen die in de branche

gelden? Deze analyse vormt het

startpunt van het verdere proces.

Bij een scala aan dreigingen met bijbehorende gevolgen

hoort een scala aan maatregelen en oplossingen.

Het opstellen van een solide securitybeleid en het

implementeren van dat beleid is dus belangrijk. Een

goed beleid vereist kennis en tijd. Kennis en tijd die

u wellicht niet in huis heeft, of wil hebben. Daarmee

willen we uw organisatie uiteraard graag helpen. Voor

een complete managed oplossing bent u bij Unica ICT

Solutions aan het juiste adres. Voor elke behoefte bieden

wij een oplossing, van standaard security tot volledig

beveiligingsmanagement.

Wilt u het securitybeleid liever bij uzelf houden, dan kan

Unica ICT Solutions u ondersteunen in het analyseren,

vormen en toetsen van beleid.

Het consultancy team van Unica ICT Solutions neemt graag de mogelijkheden voor uw organisatie door.

Unica ICT SolutionsManaged Security Services

Ambachtsweg 188152 BA Lemelerveld

Science Park Eindhoven 52045692 EG Son

Zutphenseweg 31B7418 AH Deventer

088 - 22 22 676www.unica.nl/ict-solutions

Fase 2: opstellen en uitvoeren beleidEen bestaand beleid wordt in deze

fase waar nodig herzien, aangepast of

aangevuld. Indien er nog geen beleid is,

wordt dat hier bepaald. Hierbij worden

zowel de technische, organisatorische

als menselijke aspecten vastgelegd.

Daarna kan het beleid worden

toegepast.

Fase 3: toetsing en evaluatieHet is belangrijk om te meten en controleren of

het beleid werkt. Het securitybeleid dient dus op

gezette tijden getoetst en geëvalueerd te worden.

Afhankelijk van de uitkomst van de toetsing kan het

beleid aangepast worden.

Het toetsen, evalueren en aanpassen van het beleid

is een continu proces. Dreigingen veranderen,

evenals wetgevingen, normeringen, certificeringen

en oplossingen. Een securitybeleid is dus niet

statisch, maar aan verandering onderhevig.

Gijs KoenjerSecurity Consultant Unica ICT Solutions

gkoenjer@unicaschutte-ict.nl

06 - 512 75 510

Bas MarqueringSecurity Consultant Unica ICT Solutions

bmarquering@unicaschutte-ict.nl