Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
Security
Whitepaper Dreigingen, gevolgen & oplossingen
De digitale transformatie reis
Wat tien jaar geleden ondenkbaar leek, is in 2019 waarheid geworden. De Verenigde Staten beschuldigen
China van het spioneren van het Westen door het gebruik van apparatuur van Huawei en ZTE. De Amerikaanse
security diensten adviseerden geen apparatuur meer van deze merken in te zetten. Deze waarschuwing
komt voort uit een onderzoek dat in 2010 van start ging. Naar aanleiding van ditzelfde onderzoek is recent de
topvrouw van Huawei gearresteerd.
Op securitygebied bestaan dus diverse soorten dreigingen, met potentieel grote gevolgen voor een
organisatie. Denk aan omzetderving, imagoschade en zelfs boetes. Techniek, organisatie & beleid en mensen
zijn hierbij de risicofactoren in een organisatie. Zorg daarom dat uw organisatie een passend securitybeleid
hanteert en blijft hanteren. In deze whitepaper leest u hoe dit in uw organisatie toegepast kan worden.
Bovenstaand nieuws staat niet op zichzelf. Begin 2018
werd bekend dat Facebook via een app onterecht
persoonsgegevens deelde met Cambridge Analytica. Deze
organisatie gebruikte gegevens voor gerichte reclame
tijdens de presidentsverkiezingen in de Verenigde Staten
in 2016.
Ook komen distributed-denial-of-service aanvallen steeds
vaker voor. Deze DDoS-aanvallen zijn pogingen om een
computer of netwerk onbereikbaar te maken voor de
bedoelde klanten. In het verleden werd niet alleen DigiD
slachtoffer van dit soort aanvallen, ook banken en zelfs
schoolsoftwarefabrikant Magister konden de dans niet
ontspringen.
Ook vragen fraudeurs in valse e-mails of WhatsApp-
berichten regelmatig om geld. De financiële afdeling van
Pathé maakte zo te goeder trouw veel geld over naar een
bankrekeningnummer, dat achteraf frauduleus bleek te
zijn.
Daarnaast vormt gijzelsoftware als WannaCry of SamSam
een reële dreiging.
Al deze zaken zijn helaas slechts enkele voorbeelden
uit het nieuws. In de toekomst gaan dit soort
securityincidenten veel vaker voorkomen. Voor een
consument betekent dat bijvoorbeeld een verstoring
bij het internetbankieren. Of dat persoonsgegevens en
wachtwoorden op straat komen te liggen, wanneer een
slecht beveiligde webshop gehackt wordt. Heel vervelend
en soms met grote gevolgen voor consumenten.
Voor organisaties gaat het nog een stap verder. Hier
kan bedrijfsspionage of een hack desastreuze gevolgen
hebben. Gelukkig kunnen slimme oplossingen een hoop
ellende voorkomen. In deze whitepaper komt een aantal
van deze slimme oplossingen aan bod.
Dreigingen in alle soorten en maten
www.nbcnews.comVoor een consument betekent dat bijvoorbeeld een verstoring bij het internetbankieren, voor organisaties gaat het nog een stap verder.
Bedrijfscontinuïteit
Aanvallen van buitenaf zoals de eerdergenoemde DDoS-aanvallen of de aanvallen met
gijzelsoftware, zorgen ervoor dat een organisatie (tijdelijk) niet kan werken. Dit betekent
bijvoorbeeld dat klanten de organisatie niet kunnen bereiken. Afhankelijk van het type
aanval en de gebruikte back-up oplossing, kan het even duren voordat de organisatie
weer in de lucht is. Tevens kan het voorkomen dat een organisatie een deel van de
bedrijfsdata kwijtraakt door een aanval. Wederom afhankelijk van wanneer de laatste
back-up plaatsvond.
Intellectueel eigendom
Bedrijfsspionage is een reële dreiging. Deze dreiging wordt nog groter als de
organisatie bezig is met nieuwe ontwikkelingen of zeer concurrentiegevoelige
informatie in het bezit heeft. Stelt u zich eens voor dat deze gegevens gestolen
worden… De Nederlandse chipgigant ASML heeft dit onlangs helaas aan den lijve
ondervonden.
AVG/GDPR
Sinds mei 2018 is elke organisatie verplicht zich aan de privacywetgeving te houden.
Inbreuk in de gegevens van een organisatie betekent vaak ook dat persoonsgegevens
van klanten of werknemers ‘op straat komen te liggen’. Hiermee handelt de organisatie
in strijd met de Algemene verordening gegevensbescherming (AVG.
Kunt u aantonen dat u alle maatregelen genomen heeft om datalekken te voorkomen?
Dan zal naar alle waarschijnlijkheid geen sanctie volgen. Als echter blijkt dat deze
maatregelen niet (voldoende) getroffen zijn kan dit vervelend uitpakken: een serieuze
overtreding kan bestraft worden met een geldboete van maximaal €20.000.000,- of
4% van de wereldwijde omzet.
Denk eraan dat niet alleen hackers gegevens kunnen stelen. Het komt voor dat een
medewerker niet zorgvuldig met de gegevens omgaat en deze verliest. Denk aan de
verhalen over een verloren laptop in de trein of USB-sticks die bij het vuilnis belanden.
Ook in dit geval is de organisatie in overtreding met de AVG. Een goed beleid is
daarom zeer belangrijk.
Imago
Alle bovenstaande gevolgen vormen samen nog een probleem, namelijk schade
aan het imago van de organisatie. Als klanten geen gehoor krijgen, gaan ze naar
de concurrent. Als hun gegevens onterecht bij derden terecht komen, gaat hun
vertrouwen verloren. Het imago van een organisatie loopt bij ieder incident schade op.
Deze schade kan zorgen voor klantverlies, of erger.
Zo nam Facebook het niet altijd even nauw met het beschermen van
persoonsgegevens. Nadat dit nieuws naar buiten kwam ontstond een waar schandaal.
Miljoenen mensen verwijderden vervolgens hun Facebookaccount.
De gevolgen van inbreuk op security
Denkt u nu, dit overkomt mij niet want ik ben ‘maar’
een mkb’er? Helaas, wijst onderzoek uit dat ook mkb-
organisaties het doelwit van hackers zijn. Iedereen is
namelijk een potentieel doelwit. Gaat het om een huis of
bedrijfspand, dan geeft de overheid een goedbedoelde
waarschuwing om ramen en deuren af te sluiten. Dit mag
immers geen makkelijk doelwit voor inbrekers of dieven
vormen. Digitaal geldt het securitybeleid als graadmeter of
een organisatie een makkelijk doelwit is of niet. Net als bij
inbrekers geldt voor hackers: gelegenheid maakt de dief.
Hackers houden vaak dezelfde vuistregels aan als dieven:
hoe groter het bedrijf, hoe meer men geïnvesteerd heeft in
securitymaatregelen en hoe lastiger het binnendringen is.
Juist daarom is het mkb interessant voor hackers. In het
mkb staat security vaak niet op de eerste plaats. Hierdoor
worden bedrijfsnetwerken gemakkelijk toegankelijk voor
hackers en de kans op besmetting, fraude, gijzeling of het
stelen van bedrijfs- en/of persoonsgegevens zeer reëel.
Gelukkig zijn niet alle hackers crimineel. Ethische hackers
verdienen hun geld met het aantonen van zwakke plekken.
Vervolgens denken ze met de organisatie mee over
oplossingen om deze zwakke plekken te dichten, zodat
criminele hackers minder makkelijk binnen kunnen komen.
Gelegenheid maakt de hacker
Het is belangrijk om goed over securitymaatregelen na te
denken en een beleid op te stellen. Maar welke factoren
spelen nu een rol in het bepalen van securitybeleid?
We kunnen deze factoren opdelen in drie categorieën:
mens, organisatie & beleid en techniek. Vaak denkt
men dat techniek het belangrijkste is, gevolgd door
organisatie & beleid. Het menselijke aspect slaat men vaak
grotendeels over. Terwijl de mens, de eindgebruiker, juist
een sleutelrol speelt in het succes van een securitybeleid!
Neem het voorbeeld van Pathé: als de medewerkers
beter waren voorgelicht over hoe officiële betaalverzoeken
(ook intern) eruit horen te zien en welke e-maildomeinen
Techniek
Vanuit technisch oogpunt is het belangrijk om inzicht
te hebben in een drietal zaken. Ten eerste het aantal
kwetsbaarheden (vulnerabilities) binnen de IT-omgeving.
Bent u bekend met alle zaken binnen uw IT-netwerk, weet
u wat er allemaal draait? Zijn alle werkplekken en servers
voorzien van antivirus, encryptie en de laatste updates?
De juiste tooling en/of een managed securitydienst kan dit
netwerkverkeer analyseren en periodiek kwetsbaarheden
in kaart brengen. Vervolgens kan de beheerder actie
ondernemen.
Ten tweede is het verstandig om na te denken over welke
connecties binnen het netwerk (zouden moeten) bestaan.
Bijvoorbeeld: hebben mobiele telefoons toegang nodig
tot het bedrijfsnetwerk? In veel gevallen is alleen een
internetverbinding voor deze toestellen al voldoende. Het is
onnodig om (onveilige) mobiele telefoons toegang te geven
tot een bedrijfsnetwerk.
Ten derde is het noodzaak om ook technische
beveiligingsmaatregelen in te zetten. Denk hierbij aan een
‘next generation firewall’. Zo’n nieuwe firewall houdt niet
alleen poorten open of dicht, maar filtert het netwerkverkeer
ook inhoudelijk. Een ander voorbeeld van een technische
beveiligingsmaatregel is een geavanceerd antiviruspakket
voorzien van ‘exploit prevention’. Dit antiviruspakket
detecteert naast virussen ook afwijkend gedrag. Een derde
goede maatregel is een effectieve antispamfilter. Het liefst
een met sandbox-functionaliteit, zodat o.a. links in e-mails in
een veilige omgeving gecontroleerd kunnen worden.
bij het bedrijf horen, hadden ze wellicht geen geld
overgemaakt naar de fraudeurs.
Security staat dus deels gelijk aan ‘risicomanagement’.
Het is belangrijk de risico’s in beeld te brengen. Wanneer
risico’s in beeld zijn wordt het mogelijk om gepaste
actie te ondernemen. Daarmee verkleint het mogelijke
aanvalsoppervlak en dus ook de risico’s. Een hacker heeft
immers minder mogelijkheden bij een organisatie met een
klein aanvalsoppervlak.
Welke factoren spelen een rol bij het securitybeleid?
Mens
Beleid &Organisa e
O
Techniek
Organisatorisch beleid
Hoe gaat uw bedrijf om met security? Welke bedreigingen
zijn reëel voor uw bedrijf? Welk beleid gaat u opstellen en
hoe gaat u zorgen dat uw werknemers het beleid naleven?
Het organisatorische vlak van security richt zich vooral
op beleid. Denk aan het onderhouden van technische
oplossingen, het vastleggen van procedures bij incidenten
en het voorlichten van medewerkers.
Security is onderdeel van het gehele IT-beleid. Door de
veranderende IT-wereld wordt dit beleid steeds belangrijker.
Tien jaar geleden was het fenomeen BYOD (Bring Your Own
Device) nog niet aan de orde. Laat staan IoT (Internet
of Things). Tegenwoordig zijn dit echter zaken die het
IT-beleid, maar zeker ook het securitybeleid van een
organisatie raken.
Het beleid rondom wachtwoorden en multi-
factor authenticatie is ook erg belangrijk en
kan uit diverse onderdelen bestaan. Ten eerste
zijn lange wachtwoorden veiliger dan korte
wachtwoorden. Om het onthouden makkelijk
te maken, kan een gebruiker bijvoorbeeld een
zin bedenken: “onzehondbellois22jaar”. Verder
blijkt het verstandig gebruikers niet te vaak van
wachtwoord te laten wisselen, zeker niet meer
dan jaarlijks. Gebruikers vallen dan vaak terug op
onveilige geheugensteuntjes.
Een ander onderdeel van een goed beveiligingsbeleid
draait om het uitlenen van apparaten. Wanneer een
medewerker een (digitaal) apparaat ontvangt, is het soms
slim een bruikleenovereenkomst te gebruiken. Hierin staat
bijvoorbeeld hoe de werknemer correct moet omgaan met
de apparatuur.
Technisch beleid
Naast organisatorisch beleid is het belangrijk na te denken
over het technische beleid. Zorg ervoor dat apparaten
op tijd vervangen worden. Dat kan door vervaldatums
op ondersteuning voor hard- en software bij te houden,
en apparaten die niet meer ondersteund worden te
vervangen. Dit voorkomt gevaarlijke situaties en onvoorziene
investeringen.
Apparaten zoals laptops en tablets komen regelmatig
buiten de veilige muren van de organisatie. Daarom is het
verstandig een aantal zaken technisch af te dwingen. Denk
hierbij aan encryptie van data, antivirus en firewall-regels.
Mens
Beleid &Organisa e
O
Techniek
BYODBring YourOwn Device
Mens
Helaas spelen mensen in een groot deel van de gevallen een
belangrijke factor bij beveiligingsincidenten. Medewerkers
moeten daarom op de hoogte zijn van (1) getroffen
maatregelen, (2) risico-beperkende acties die zij zelf kunnen
ondernemen en (3) van de consequenties van foutief
handelen. Is dit niet het geval, dan zal het securitybeleid
alsnog falen. Het opleiden en informeren van medewerkers
hoort daarom bij het beleid.
Ook hier zijn kennisdeling en de kracht van herhaling de
sleutel tot begrip en dus succes. Denk aan het opstellen van
een ‘Security Quick Reference Card’. Zo’n kaartje schept
bij gebruikers snel duidelijkheid over de benodigde acties
bij een incident. Een organisatie kan ook bewustzijn creëren
met een ‘Bedrijfsquiz datalekken & Security Awareness
Training’. Of met voorlichting vanuit praktijkvoorbeelden.
Er zijn zelfs diensten die op regelmatige basis een vals
‘phishing’ bericht versturen aan gebruikers. Zo houden ze
mensen bewust van gevaarlijke mails.
Het is belangrijk om gebruikers te stimuleren incidenten en
verdachte zaken te melden. Val gebruikers daarom niet af
wanneer een incident heeft plaats gevonden.
Mens
Beleid &Organisa e
O
Techniek
Naar een passend securitybeleid
Nu de risicofactoren en gevolgen bekend zijn, is het belangrijk om te bepalen welk beleid bij uw organisatie past. Het
type organisatie is hierin een bepalende factor, evenals de vraag of u veel met klantgegevens werkt. Een bakker heeft
andere behoeften en risico’s dan een advocatenkantoor. Dat betekent niet dat de bakker geen securitybeleid nodig heeft.
Alleen dat dit beleid er anders uit zal zien dan dat van een advocaat.
Om tot een passend beleid te komen en dit ook te implementeren,
kunnen we grofweg drie fases onderscheiden.
Fase 1: analyseDe eerste fase draait om de huidige
situatie. Is er al een securitybeleid?
Wordt dit nageleefd? Hoe sluit dit
aan bij wet- en regelgeving zoals
de AVG? Zijn er normeringen of
certificeringen die in de branche
gelden? Deze analyse vormt het
startpunt van het verdere proces.
Bij een scala aan dreigingen met bijbehorende gevolgen
hoort een scala aan maatregelen en oplossingen.
Het opstellen van een solide securitybeleid en het
implementeren van dat beleid is dus belangrijk. Een
goed beleid vereist kennis en tijd. Kennis en tijd die
u wellicht niet in huis heeft, of wil hebben. Daarmee
willen we uw organisatie uiteraard graag helpen. Voor
een complete managed oplossing bent u bij Unica ICT
Solutions aan het juiste adres. Voor elke behoefte bieden
wij een oplossing, van standaard security tot volledig
beveiligingsmanagement.
Wilt u het securitybeleid liever bij uzelf houden, dan kan
Unica ICT Solutions u ondersteunen in het analyseren,
vormen en toetsen van beleid.
Het consultancy team van Unica ICT Solutions neemt graag de mogelijkheden voor uw organisatie door.
Unica ICT SolutionsManaged Security Services
Ambachtsweg 188152 BA Lemelerveld
Science Park Eindhoven 52045692 EG Son
Zutphenseweg 31B7418 AH Deventer
088 - 22 22 676www.unica.nl/ict-solutions
Fase 2: opstellen en uitvoeren beleidEen bestaand beleid wordt in deze
fase waar nodig herzien, aangepast of
aangevuld. Indien er nog geen beleid is,
wordt dat hier bepaald. Hierbij worden
zowel de technische, organisatorische
als menselijke aspecten vastgelegd.
Daarna kan het beleid worden
toegepast.
Fase 3: toetsing en evaluatieHet is belangrijk om te meten en controleren of
het beleid werkt. Het securitybeleid dient dus op
gezette tijden getoetst en geëvalueerd te worden.
Afhankelijk van de uitkomst van de toetsing kan het
beleid aangepast worden.
Het toetsen, evalueren en aanpassen van het beleid
is een continu proces. Dreigingen veranderen,
evenals wetgevingen, normeringen, certificeringen
en oplossingen. Een securitybeleid is dus niet
statisch, maar aan verandering onderhevig.
Gijs KoenjerSecurity Consultant Unica ICT Solutions
06 - 512 75 510
Bas MarqueringSecurity Consultant Unica ICT Solutions