Phishing en andere digitale dreigingen

Interview: Phishing en andere digitale dreigingen voor het MKB

- 20 April 2017

“Een initiatief als FERM is broodnodig,” vindt Sijmen Ruwhof, adviseur in IT security. “Het algemene bewustzijn ten opzichte van de risico’s is laag en de ontwikkelingen gaan razendsnel.” Daarnaast zijn bedrijven in een havengebied als Mainport Rotterdam bij uitstek blootgesteld aan diverse extra bedreigingen, die hij ‘threat actors’ noemt. Drugshandel, zware criminaliteit en terrorisme, bijvoorbeeld.

Ruwhof is ‘professioneel hacker’. Al bijna 20 jaar zet hij zich in voor IT security, als onderzoeker, programmeur en tester. Zijn expertise ligt bij het vinden van de zwakke plekken in websites en IT-infrastructuren, om de gerelateerde risico’s te vertalen naar de juiste bedrijfsstrategie om er mee om te gaan. Dat begint en eindigt bij iedere organisatie met de juiste informatie. “De techniek kan maar zo ver, de rest is aan de mensen.”

“Alles is menselijk, software ook. Mensen programmeren het, onderhouden het. In alle IT-systemen sluipen uiteindelijk zwakke plekken, en daar kunnen aanvallers misbruik van maken.” Onder misbruik valt niet alleen diefstal van gevoelige informatie, maar ook de manipulatie van gegevens. Als voorbeeld noemt hij een recente datamanipulatie in de haven van Antwerpen. Een logistieke applicatie werd gehackt, niet om er met gegevens vandoor te gaan, maar om ze te wijzigen in het voordeel van de nieuwe gebruiker. Containers met verboden middelen werden softwarematig door de logistieke keten geloodst, omdat criminelen niet alleen de fysieke omgeving maar ook het digitale domein waren binnengedrongen. Zodoende kon de vracht soepel door het systeem glippen.

De voornaamste dreiging: phishing
“Security-incidenten die het nieuws halen, beginnen vrijwel altijd met phishing,” zegt Ruwhof. Want een phishing-mail is nog altijd de meest voorkomende methode, en met name kleine en middelgrote bedrijven zijn het slachtoffer. “Waarom moeilijk doen als het makkelijk kan, als cybercrimineel?” Neem het bovenstaande voorbeeld: de informatie van de logistieke applicatie werd verkregen doordat phishing de deur openzette. Maar denk ook aan ransomware: het verspreiden van een virus dat een computer of zelfs een compleet systeem overneemt, waarbij er losgeld gevraagd wordt om de blokkade weer op te heffen. “Een enorm lucratieve business case, want een goede programmeur kan relatief eenvoudig duizenden, zelfs honderdduizenden doelwitten benaderen, waarbij er maar een paar pogingen hoeven te slagen. Het programma lanceert een virus, dat zich automatisch verspreidt, en zelfs het collecteren wordt volledig geautomatiseerd.”

“De methodes worden daarnaast steeds geavanceerder. Internet wordt sneller, en opslag wordt groter en goedkoper, dus het wordt steeds eenvoudiger om data snel te uploaden. En als je kijkt naar de impact van ransomware-acties, is het op slot zetten van computers eigenlijk nog het minste probleem. De dreiging van wat men met de informatie wil gaan doen kan enorm zijn. Het delen van gevoelige informatie bijvoorbeeld: data niet alleen gijzelen, maar effectief dreigen om het openbaar te maken.”

Test kosteloos het bewustzijn over informatiebeveiliging binnen jouw organisatie met de awareness scan

Cybersecurity
Wat kunnen bedrijven doen om zich hier tegen te wapenen? “De beste verdediging is er één waarbij er over de gehele linie voldoende aandacht is voor alle onderdelen. De techniek, de medewerkers, de organisatie en de procedures: alles moet op orde zijn.” De risico’s vind je immers bij de zwakste schakel. Zijn je mensen goed getraind maar is de software niet in orde? Of is de juiste techniek in huis, maar let er iemand niet op? Dan heb je alsnog een probleem. “Security is van iedereen, je deelt het samen en iedereen is verantwoordelijk.”

Dat begint bij informatiebewustzijn, awareness. Niet voor niets één van de sleutelwoorden op het seminar in maart. Hoe pak je dat aan? “Communicatie. Informatiecampagnes. Posters, e-learning, phishing tests. Meten, monitoren, analyseren en aanpassen. Er moet een continue cirkel van verbetering ontstaan, want informatiebeveiliging is een continu proces. En het is een beetje ‘Wij van WC-eend’, maar toch: haal expertise van buitenaf in huis. Het verdient zich absoluut terug. Expertise is schaars, en het is een illusie om te denken dat je het al in huis hebt. Maak daarom gebruik van wat er al bestaat.” Er is niet één framework, niet één oplossing. Je hebt capabele security mensen nodig om het proces te begeleiden, waarbij die cirkel van verbetering ontstaat. Van testen, monitoren, en aanpassen. Blijven aanpassen. Want de tegenpartij staat niet stil.

Concrete tips tegen phishing
Zijn er laagdrempelige manieren om direct aan de slag te gaan? “Zorg ten eerste voor goede commerciële antivirus-software, zoals Kaspersky of Bitdefender,” stelt Ruwhof. “En kijk naar de juiste instellingen bij het periodieke upgraden van die software. Wanneer je een update installeert, klik je vaak achteloos op ‘next’, ‘next’, ‘next’ totdat er ‘finish’ staat, maar let erop dat je bij die verschillende stappen ook de juiste vinkjes zet. Software staat namelijk standaard open, het is aan de gebruiker om er de juiste sloten op te zetten.” En ook hier geldt: verreweg het belangrijkste zijn je medewerkers. “Alles is menselijk.” Zelfs bij de meest geavanceerde phishing-acties is het slagen afhankelijk van een daadwerkelijke interactie met de hacker. Het klikken van een link, of het openen van een bijlage. Zorg dat iedereen die voor gegevens verantwoordelijk is weet wat die verantwoordelijkheid inhoudt.

Daarnaast is het zaak om het IT-landschap goed in kaart te brengen, om op de hoogte te zijn van de volledige infrastructuur die je in huis hebt. De systemen, de informatie, het hele IT-plaatje van het bedrijf. “De IT-administratie loopt altijd achter de feiten aan. Want er is altijd wel achterstallig onderhoud.” Iets vergeten, iets niet geüpdatet. Een verlopen campagne die nog ergens online staat, een oude promo of prijsvraag, een archiefpagina. Iedereen knoopt maar hard- en software aan het systeem vast, en opruimen is vaak duurder dan laten staan. Daar kunnen kwetsbaarheden inzitten puur omdat ze ondergestoft raken, omdat ze niet van de gewenste beveiligingsupdates zijn voorzien. Zorg daarom voor een volledig overzicht van je IT-situatie. Over welke gegevens beschikken we? Waar staat het? Hebben we het nog nodig? Informatiebeveiliging is een continu proces.“

Hoe FERM is jouw bedrijfsnetwerk? Digitale inbraak komt steeds vaker voor en de gevolgen kunnen desastreus zijn. Zowel voor jouw klanten en organisatie. Is jouw bedrijf goed beveiligd? Voer nu de Cyber Risico Scan uit: een snelle, eenvoudige scan van jouw netwerk, die direct inzicht geeft in het beveiligingsniveau. De kosten voor deze scan en een gedetailleerde rapportage bedragen 130 euro.