Is de veiligheid van je data op orde?

Gastblog door Yvo Hoeke en Berry Vermeulen van NetSourcing nu Ram Infotechnology (Outsourcing Hub Innovation Partner 2018). Deze blog is eerder verschenen op OutsourcingHub.nl. Per mei 2020 zijn al onze activiteiten samengevoegd via iSourcing Hub.

Als het gaat om patches, updates en drivers is bij de meeste instanties sprake van goed onderhoud volgens de conventionele manier. Maar is dit ook genoeg om de veiligheid van data te kunnen garanderen? Het antwoord is al heel snel negatief. Veel instanties hebben maar weinig kennis van de huidige inbraakmethodieken en vaak is die kennis ook nog eens gebaseerd op nieuwsartikelen, die slechts sporadisch berichten over dit soort zaken en vaak flink achterlopen op de realiteit.

Denk als een hacker!

Om te weten waar het hem aan schort moeten we in de geest van de kwaadwillende denken. Dit kan een persoon of groep van buiten zijn, of zelfs een ontevreden werknemer enzovoorts. De grote pijnpunten zitten hem in drie factoren, namelijk Zero day-kwetsbaarheden, Social Engineering en geringe conventionele monitoring.

Zero day-kwetsbaarheden

Zero day-kwetsbaarheden zijn fouten en lekken in normale day-to-dayprogrammatuur zoals Office. Een goed voorbeeld is de ongepatchte lek in Office, die pas na 17 jaar(!) in november 2017 ontdekt werd door de wijde wereld. Deze lek maakt het mogelijk om met een simpel Office-document in de mail controle over te nemen over de computer van de ontvanger.

Dit soort lekken zijn al jarenlang bekend en worden regelmatig gebruikt door kwaadwillenden. Met conventioneel onderhoud zullen ze echter nooit ontdekt worden. Voor hackers is vooral het binnendringen belangrijk en zodra één computer is buitgemaakt volgt de rest relatief simpel en snel.

Social Engineering

Social Engineering is een andere gevaarlijke factor. Hackers leren al snel dat de makkelijkste manier om inbraak te kunnen plegen de kwetsbaarste factor is, en dat is in dit geval de mens. Een netwerk kan nog zo sterk verdedigd worden, als een werknemer op de receptie, logistiek, of zelfs directie in de psychologische trukendoos van kwaadwillende trapt is het voor een hacker een fluitje van een cent om binnen te dringen.

Onderzoek leert dat steeds meer hackergroeperingen en hackers zich bekwaam maken in de psychologie en sociale interactie. Het voorkomen van incidenten die hieruit voortkomen kan alleen met goede degelijke awarenesstrainingen.

Monitoring

Monitoring is iets wat veelal op conventionele wijze goed gebeurt door de meeste IT-partijen of afdelingen. Hier is weinig aan op te merken, maar net als bij de voorgaande punten loopt men ook hier regelmatig achter de feiten aan. Uit wereldwijd onderzoek bleek dat inbraken gemiddeld al 147 dagen aan de gang zijn voordat ze (vaak per ongeluk) worden opgemerkt.

Periodiek controleren

Alles bij elkaar is dit geen rooskleurig verhaal. Maar is er dan niets aan te doen? Zeker wel. Periodiek controleren op zaken die niet in conventioneel onderhoud worden meegenomen is bijvoorbeeld een manier. Dit doel is te bereiken door zogenaamde penetration testen. Daarnaast is er software die ook door veel hackers gebruikt wordt, waarmee achterhaald kan worden waar zaken nog niet op orde zijn qua software en die zero day-kwetsbaarheden kan opsporen. Deze software wordt deels door hackers en kwaadwillenden zelf bijgewerkt met nieuwe bevindingen.

Awarenesstrainingen

Goede Awarenesstrainingen zijn het middel bij uitstek om mensen op de hoogte te brengen en te laten zien waar het fout kan gaan. Het geeft niet dat dit confronterende sessies kunnen zijn, want vaak is dit de beste remedie tegen onwetendheid. En het is per slot van rekening veel vervelender om enorme boetes opgelegd te krijgen, omdat enkele medewerkers per ongeluk op een uitnodigende link hebben geklikt.

Goede monitoring

En, last but not least, goede monitoring die gebouwd is op een aantal al aanwezige en niet-aanwezige systemen, vaak onder de naam SIEM, kan een goede remedie zijn. Deze software gaat veel verder dan de conventionele monitoring, en legt veelal verbanden tussen zaken die op het netwerk spelen. Als een kwaadwillende op verschillende plekken in het netwerk bezig is zal deze software door zogenaamde log correlatie zaken verbinden en hier acties op ondernemen. Daarnaast beschikt deze software vaak over een hele trukendoos om de kwaadwillende om de tuin te leiden en uiteindelijk buiten de deur te houden.

Uiteraard zijn dit zaken waar kosten aan verbonden zijn, maar er bestaat nog altijd geen verzekering tegen boetes door datalekken. En het mag dan misschien een oud spreekwoord zijn, maar ook in 2018 geldt nog altijd: voorkomen is beter dan genezen!