Wachtwoorden en kritische beveiliging
News 1 mei 2019

World Password Day: wachtwoorden en bescherming van bedrijfskritische applicaties

Donderdag 2 mei is World Password Day, bedoeld om meer bewustwording rond veilige wachtwoorden te realiseren. David Higgins, Technical Director bij CyberArk, maakt van de gelegenheid gebruik om het verschil tussen wachtwoorden te duiden.

Higgins: “Er zijn wachtwoorden en er zijn wachtwoorden. Het ene wachtwoord wordt door individuen online gebruikt voor een website of service. We kennen de noodzaak om deze te vervangen door authenticatie-middelen, zodat gebruikers niet allerlei wachtwoorden hoeven te onthouden en hen verplichten om inloggegevens uniek en roulerend te maken. Zodra een wachtwoord toch in verkeerde handen valt, is dat ronduit vervelend, maar hoeft het niet direct te resulteren in grote schade."

"Daarnaast heb je wachtwoorden die als ze eenmaal op straat liggen, toegang bieden tot veel meer informatie. Beheerderswachtwoorden en andere privileged accounts vormen het hoofddoel van vrijwel iedere aanval, in ieder geval in het beginstadium. Toch worden ze zelden op een manier beschermd die recht doet aan dat risico. Door allerlei operationele overwegingen wordt er vaak ten onrechte gekozen voor gebruiksgemak, met bijvoorbeeld standaard admin-wachtwoorden op servers. Het vormt keer op keer de zwakke plek in een verdedigingslinie. Vorig jaar werd met World Password Day gesteld dat wachtwoorden aan het eind van hun levensduur zitten. Laten we het hopen, want voorlopig zien we nog te veel basisniveau wachtwoorden die toegang bieden tot een schat aan informatie."

              Lees ook deze tips voor sterke wachtwoorden

Slechte bescherming van bedrijfskritische applicaties

De meerderheid van de Europese bedrijven, zo’n 70 procent, legt qua security niet de focus op de applicaties die van bedrijfskritisch belang zijn. Systemen als ERP en CRM krijgen vaak evenveel aandacht als andere apps of services die veel minder relevant zijn voor de dagelijkse bedrijfsvoering. Dat blijkt uit onderzoek in opdracht van CyberArk, uitgevoerd in verschillende Europese landen waaronder Nederland. Respondenten gaven aan dat zelfs de kleinste downtime van bedrijfskritische apps tot grote problemen leiden; 61 procent stelt dat de impact ernstig zou zijn. 

Issues met bedrijfskritische apps leiden niet alleen tot downtime, maar ook tot aanvullende kosten zoals schadevergoedingen en boetes. De gemiddelde kosten van een aanval op een ERP-systeem liepen vorig jaar op tot 5,5 miljoen dollar. De helft van alle issues werd veroorzaakt door georganiseerde misdaad, vaak door middel van misbruik van privileges binnen IT-systemen.

Iets meer dan de helft van de bedrijven (56 procent) heeft de afgelopen twee jaar te maken gehad met gegevensverlies, datalekken of downtime van services. Nederland staat met 67 procent op een tweede plek achter Zwitserland (71 procent). Toch is nog steeds een meerderheid (Nederland 77, gemiddeld 72 procent) ervan overtuigd dat het bedrijf prima in staat is alle aanvallen aan de rand van het netwerk tegen te houden. Het geeft een discrepantie aan in de focus van de security-strategie en de visie op wat het meest waardevol is in het bedrijf. Een aanvaller die beheerdertoegang krijgt voor bepaalde applicaties kan serieuze schade aanrichten of een bedrijf zelfs stilleggen.

Het onderzoek laat zien dat driekwart van de bedrijven bedrijfskritische apps naar de cloud wil verplaatsen. Het is van belang deze data te beschermen op basis van risico om een overstap naar de cloud soepel te laten verlopen. Zo’n 69 procent migreert data van populaire ERP-toepassingen naar de cloud.

“Ieder bedrijf heeft zijn cruciale apps. Wanneer deze uitvallen of corrupt raken, merkt een organisatie dat meteen. Door het belang ervan en de hoeveelheid info die in de systemen zit, staan ze bovenaan de lijstjes van hackers”, aldus David Higgins, EMEA technical director bij CyberArk. “CISO’s moeten prioriteiten stellen en een risicogebaseerde aanpak hanteren om bedrijfskritische apps rigoureus te beschermen, en vooral de privileged access beveiligen, zodat die accounts bruikbaar blijven, ongeacht de welke aanvallen de perimeter voorbij komen.”

 

VIND FERM OOK OP TWITTER | LINKEDIN | FACEBOOK