sTN Whitepaper november 2015
Cybercriminaliteit
Houd uw organisatie scherp in een veranderende wereld Managementsamenvatting
cidenten en de acties waarmee de organisatie in geval
De kans dat uw organisatie te maken krijgt met digitale
van zo’n incident de schade zo veel mogelijk beperkt.
criminaliteit is erg groot. Dat geldt ook voor de kans
IT-beveiliging is een zaak van de hele organisatie en
dat uw MKB-organisatie niet voldoende is voorbereid
vergt steeds terugkerende aandacht. De naleving
op de gevolgen van zo’n incident, blijkt onder meer uit
voor het beveiligingsbeleid verslapt anders makkelijk.
onderzoek dat de overheid heeft laten uitvoeren.
Bovendien veranderen criminelen steeds hun tactieken,
Het idee dat de bedreigingen buiten gesloten kunnen
die bovendien geraffineerder worden. En vergeet niet
worden voldoet niet meer. Centraal in het beveiligings-
dat uw organisatie zich ook voortdurend aanpast aan
beleid hoort nu te staan: een snelle ontdekking van in-
nieuwe markt- en werkomstandigheden. Alleen met voldoende aandacht voor alle aspecten van IT-beveiliging - technisch maar belangrijker nog organisatorisch kunt u zorgen dat problemen tot een minimum beperkt blijven. sTN brengt met deze whitepaper het probleem in kaart en zet de belangrijkste aandachtspunten op een rij. Verder staan er tips in voor het geval uw organisatie toch te maken krijgt met cybercriminaliteit.
Volg ons nu via Twitter.
www.twitter.com/stnnl
1
sTN Whitepaper November 2015
Leeswijzer De whitepaper Cyberciminaliteit laat u zien hoe
Inhoudsopgave Inhoud
belangrijk het is met voldoende regelmaat alle aspecten van IT-beveiliging onder de loep te
Managementsamenvatting 1
nemen. Leeswijzer 2 Hoofdstuk 1 ‘Ben ik veilig?’ schetst wat er in de loop van
Inleiding 3
de jaren verandert zowel aan de kant van de criminelen als in uw eigen organisatie. Een ding is
Ben ik veilig?
4
En nu?
4
Breng de buit in kaart
4
Wat zijn uw belangrijkste bedreigingen?
5
zeker, de vraag boven het hoofdstuk kan eigenlijk niet meer worden beantwoord. Hoofdstuk 2 ‘En nu?’ brengt in vogelvlucht de bedreigingen en
Weeg kosten en risico’s
5
opties voor uw organisatie in kaart.
Een goedkope aanpak
5
Hoofdstuk 3
Waar let ik in de praktijk op?
5
‘Waar let ik in de praktijk op?’ schetst de aan-
Stel een continuïteits- en backupplan op
5
dachtspunten die voor u als leidinggevende een
Laat een digitale wijkagent rondlopen
5
leidraad zijn voor het opstellen van een compleet
Maak personeel bewust
6
pakket aan maatregelen om de kwetsbaarheid
Geen software of er zitten fouten in die u kwets-
van de organisatie te minimaliseren.
baar maken
7
Meld inbraken!
7
Hoofdstuk 4 ‘Wat kan ik doen om zo veilig mogelijk te zijn?
Wat kan ik doen om zo veilig mogelijk te zijn?
duikt dieper in de praktische stappen en tips om
7
Beveiligingsupdates uitvoeren, altijd en onmiddellijk
7
Versleutel cruciale gegevens
8
Stel een toegangsbeleid op
8
Houd het personeel scherp
8
Vergeet de virusscanner, de firewall en het wifi-net
de veiligheid van uw IT-systemen te vergroten.
niet 8
Beveilig het internetgebruik
8
Tips bij besmetting
9
Tips voor preventie
9
Certificering dienstverleners in IT-beveiliging
9
Lees verder
9
Conclusie 10 Referenties 11
2
sTN Whitepaper November 2015
Inleiding
ransomware betaalt, constateerde het Team High Tech
Je zal op een ochtend maar je computer openen en
Crime van het Korps Landelijke Politiediensten4. Maar u
verder willen gaan met die belangrijke offerte waar je
behoort vast tot de verstandigen die niet betaald. Want
‘s avonds bent gestopt. BAM! een onverwacht scherm
bij die 100 euro blijft het niet. De criminelen die verant-
duikt op: U ziet een Politie-logo, iets over cybercrime-
woordelijk zijn voor de besmetting, weten dan dat u
bestrijding en onder meer in rood:
betaalt. En waarschijnlijk nog wel vaker wil betalen5.
OPGELET! Uw computer is geblokkeerd op grond van een of meer hieronder vermelde redenen.
Ransomware is maar een van de vele slimme tactieken die door lieden met minder eerzame motieven worden ingezet. De buit waar ze op uit zijn, bestaat uit • inloggegevens of • klantgegevens - voor identiteitsfraude of het
Op het scherm staat wat over schendingen van auteursrecht en het bekijken van porno. Het scherm
uitvoeren van financiële transacties – of • bedrijfsgeheimen, die kunnen worden doorverkocht.
biedt een optie om direct te schikken: 100 euro, dan is de zaak afgedaan.
De dreiging van cybercriminaliteit neemt de afgelopen
U bent niet de enige die deze of een vergelijkbare
jaren toe en verandert van aard6. Nog niet zo lang
situatie tegenkomt: een ransomware-besmetting, ook
geleden waren het vooral jonge gastjes die met
wel bekend als cryptoware of gijzelvirus. De computer
ongerichte digitale pesterijen wilden laten zien wat ze
zit vast, alle gegevens gegijzeld tot u heeft betaald.
kunnen. Inmiddels zit achter de cybercriminaliteit vaak
Waarschijnlijk laten ook de andere computers in uw
een professionele organisatie, bedrijfsmatig gerund, en
lokale netwerk dezelfde melding zien.
meestal uit op geld of informatie. Of het zijn activisten of terroristen die aandacht willen voor hun zaak. Veel van de criminele organisaties zijn uit op een snelle grote slag. Daarmee is uw MKB-onderneming waarschijnlijk niet erg interessant voor deze boeven. Ook de activisten en terroristen staan om die reden waarschijnlijk niet bij bosjes aan de poorten van uw computers te rammelen. Maar vergis u niet. Er zijn ook veel kruimeldieven uit op een ‘quick win’. Verder biedt een digitale inbraak op uw systemen criminelen wellicht een makkelijker toegang tot die grote klant waaraan u levert. Of zijn uw computers in te zetten voor het verspreiden van spammail of een cyberaanval. Door een besmetting zijn uw computers - zonder dat u het merkt - met duizenden andere computers
Het beschreven politievirus maakte in 2013 in
van andere b edrijven en consumenten gekoppeld tot
Nederland alleen al bijna 6000 slachtoffers in Neder-
een z ogeheten botnet7. Dit is een netwerk van com-
land blijkt uit Europees onderzoek1. Maar er zijn vele
puters aangestuurd door een criminele organisatie die
varianten van ransomware die al velen tienduizen-
dit gebruiken voor het uitvoeren van malafide acties.
2.
den computers in Nederland gijzelden Wereldwijd
U merkt alleen dat uw computers af en toe erg traag
verdubbelde vorig jaar het aantal aanvallen tot ruim 8,8
reageren.
3.
miljoen, b ecijferde IT-beveiliger Symantec
Als MKB-onderneming verkeert u dus allerminst in de U komt waarschijnlijk in de verleiding te betalen. Die
veilige zone. Maar in de paniekstand schieten hoeft
offerte moet immers de deur uit vandaag. Die 100
ook niet. U kunt veel doen om narigheid te voorko-
euro valt daarbij in het niet. Ook met die gedachte
men. Maar de verdediging, waarvan u wellicht dacht
bent u niet de enige. Een op de tien slachtoffers van
dat deze wel op orde was, raakt snel uit de tijd. Een 3
sTN Whitepaper November 2015
antivirusprogrammaatje installeren en een firewall als
verstrekt en beheerd. Privé-apparatuur wordt echter
toegangspoort tot het netwerk, is niet meer voldoende.
ook gebruikt voor privé-doeleinden en niet iedereen
De inzet van technologie is overigens maar een deel
is even zorgvuldig met het bezoeken van verdachte
van de oplossing. Een veiligheidsbeleid opzetten en
websites of het openen van links in obscure mail.
personeel bewust maken van wat wel en niet kan,
De komende jaren neemt het aantal apparaten in uw
is minstens zo belangrijk. Het gaat om een compleet
organisatie dat zelfstandig contact zoekt met internet
en goed dichtgetimmerd pakket aan maatregelen en
verder toe12. Denk aan de printer, de koffiemachine of
aandacht voor IT-beveiliging die niet verslapt.
productieapparatuur die zelf aan de leverancier meldt dat er een storing dreigt. Of de klimaatregeling van
In deze whitepaper zetten we de belangrijkste
het kantoor die u met uw smartphone of laptop kunt
aandachtspunten uiteen.
aanpassen, zelfs terwijl u elders bent. Maar ook de
verlichting, de zonwering krijgt een verbinding met internet en ja, wellicht zelfs het bedrijf dat uw plan-
Ben ik veilig?
ten op kantoor verzorgt, laat de plant met sensoren
De harde waarheid is dat u dat niet bent. Honderd
in de pot zelf zijn conditie doorgeven via internet. Al
procent beveiliging bestaat namelijk niet. Maar dat
deze snufjes hebben voordelen, bieden besparing
geldt ook voor brand of een klassieke inbraak. Op het
door b ijvoorbeeld onderhoud op het juiste moment
gebied van computerinbraak leeft echter nog vaak de
te r egelen in plaats van preventief of, vervelender,
onterechte gedachte dat de zaak wel volledig valt af te
reactief wanneer er een storing optreedt. Maar deze
dichten. Terwijl vaak het tegenovergestelde het geval
nieuwe communicatievormen bieden allemaal ook
is. Een aantal recente onderzoeken wijst uit dat de kans
allemaal nieuwe aangrijpingspunten voor misbruik.
niet erg groot is dat u al de juiste maatregelen heeft genomen:
• In 2013 werd 40 procent van de MKB-ondernemingen
En nu?
slachtoffer van enige vorm van cybercriminaliteit,
Belangrijk is de constatering dat 100 procent veiligheid
blijkt uit onderzoek uitgevoerd in het kader van het
niet bestaat. En dat klassieke beveiliging niet meer vol-
overheidsprogramma ‘Stop Cybercrime nu’8.
doende is. Vervelend voor u als leidinggevende is dat
• Ook heeft maar de helft van de organisaties een digi-
u niet meer kunt denken met een goede investering
tale inbraak binnen 35 dagen in de gaten. Doordat de
de hele kwestie rond IT-beveiliging van uw bordje te
methoden steeds geraffineerder worden neemt dit
schuiven. IT-beveiliging moet echt een zeer regelmatig
percentage alleen maar toe, is een van de conclusies
terugkerend punt van aandacht worden binnen het
9.
uit het Verizon Data Breach Investigations Report
• Verder bestaat nog altijd de neiging het onheil vooral
overleg in uw organisatie. Het besef dat het niet meer gaat om de vraag òf uw
buiten de deur te verwachten. Dan lijkt een goed
organisatie te maken krijgt met cybercriminaliteit, maar
slot op de deur voldoende. Echter bij de grotere
eerder wanneer dat gaat gebeuren, is voor velen nog
mkb-bedrijven met een eigen medewerker voor IT in
moeilijk te accepteren. Maar dat vereist wel dat uw
dienst ziet 80 procent van deze specialisten het eigen
hele organisatie daar op is voorbereid en alert is.
personeel van de onderneming als zwakste schakel in de beveiligingsaanpak10.
Breng de buit in kaart Een goed punt om mee te beginnen is te inventari-
Die dreiging van binnenuit neemt alleen maar toe, nu
seren wat de meest waardevolle bedrijfsmiddelen
uw organisatie vanuit digitaal oogpunt, steeds opener
en -onderdelen zijn die gevaar lopen bij een digitale
wordt. Werknemers en waarschijnlijk uzelf voorop
inbraak. Uw klantenbestand, uw personeelsgegevens
nemen privé-apparatuur mee naar het werk om te
en uw administratie vormen bij de meeste bedrijven
gebruiken in het bedrijfsnetwerk. Wellicht moedigt
een voor de hand liggende buit. Maar analyseer ook
u hen daartoe aan met een Bring Your Own Device
hoe afhankelijk uw productieproces is van bijvoorbeeld
(BYOD)11 -beleid, zodat zij kunnen werken met de
het uitvallen van de internetverbinding. En of cruciale
smartphone, tablet of laptop van hun eigen keuze in
apparatuur in uw productieproces gegevens via het
plaats van apparatuur die door de werkgever wordt
netwerk verstuurt. 4
sTN Whitepaper November 2015
Wat zijn uw belangrijkste bedreigingen?
Stel een continuïteits- en backupplan op
Zet ook op een rij welk van de gangbare bedreigingen
Van primair belang is dus dat er een continuïteits- en
in uw situatie het meest waarschijnlijk zijn. Ook dit
backupplan komt. Wanneer met een ransomware-
punt vergt periodiek aandacht, want de bedreigingen
besmetting alle pc’s onbruikbaar worden, helpt het als
veranderen voortdurend. De website van het National
u een goede backupvoorziening heeft om op terug te
Cyber Security Center (NCSC) vormt daarbij een goed
kunnen grijpen. Zorg er voor dat die minimaal dagelijks
beginpunt. TNO heeft verschillende instrumenten
de bestanden van alle computers in het bedrijf veilig
ontwikkeld om u te helpen een prioriteit toe te kennen
stelt. Bedenk dat zo’n besmetting al enkele dagen
aan die bedreigingen13 14. Ook dagelijks een blik op de
eerder kan hebben plaatsgevonden, dus de backup-
sites van de IT-vakpers
15 16 17
kan een waardevolle bron
voor actuele informatie zijn.
voorziening moet de dagelijkse kopieën van uw data geruime tijd bewaren. De backups moeten ook met regelmaat worden gecontroleerd. Een backup die na
Weeg kosten en risico’s
terugzetten niet werkt, heeft geen enkele waarde.
Vervolgens moet u met uw team steeds een afweging
Het verdient ook aanbeveling na te denken over een
maken tussen de risico’s en de kosten die gepaard gaan
plan B, mochten uw cruciale IT-systemen toch enige tijd
met het afdekken van die risico’s. Het heeft weinig zin
onbruikbaar zijn. Is het bijvoorbeeld mogelijk tijdelijk
vele tienduizenden euro’s uit te geven aan apparatuur
de bedrijfsprocessen elders onder te brengen? Of is
en adviezen wanneer de waarde van de potentiële buit
het mogelijk met (gehuurde) reserve-apparatuur de
gering is of het effect van een aanval op uw organisa-
productie toch (gedeeltelijk) door te laten gaan? Wat
tie te overzien is. Die analyse is niet altijd eenvoudig.
is daarvoor nodig en hoe kan zo’n alternatief zo snel
De schade bij uitval van uw bedrijfsproces gedurende
mogelijk actief zijn?
een aantal dagen, valt nog wel te becijferen. Ook zijn de actuele boetes die u krijgt wanneer er privacygevoelige gegevens worden gestolen te achterhalen op de website van het College Bescherming Persoons gegevens18. Maar hoe hangt u een prijskaartje aan de reputatieschade die de organisatie oploopt wanneer door een digitale inbraak bij u gegevens van uw klanten worden misbruikt? Het 2015 Data Breach Investigations report van Verizon kan u behulpzaam zijn bij het maken van die berekeningen19. Een goedkope aanpak Een rigoureuze aanpak die enkele bedrijven kiezen, is alle systemen die een cruciale rol spelen in de bedrijfsprocessen, los te koppelen van internet (een zogeheten air gap)20 21. Dat heeft wel ingrijpende gevolgen, want veel van de moderne gemakken komen dan
Laat een digitale wijkagent rondlopen
te vervallen zoals op afstand werken en makkelijk
Om te weten of uw organisatie slachtoffer is van
gegevens uitwisselen tussen bijvoorbeeld medewer-
cybercriminaliteit, moet u wel in staat zijn dat te
kers en partners. Loskoppelen is doorgaans niet zo’n
constateren. Bij een geval van ransomware zal dat niet
reële optie, maar het is wel een kostenefficiënte en
zo’n probleem zijn. Daar is het de crimineel er alles aan
adequate optie.
gelegen u op de hoogte te stellen van zijn actie om zo geld te kunnen vangen. Maar het merendeel van de
Waar let ik in de praktijk op?
cybercriminele acties vindt plaats onder de radar van het dagelijks gebruik. Computers worden wellicht wat
Het laatste dat u wilt, is dat de dagelijkse gang van
trager, maar dat effect kan ook optreden als gevolg van
zaken in uw bedrijf verstoord raakt door een incident of
andere oorzaken.
erger de bedrijfsvoering volledig ontspoord raakt.
Signalering of monitoring wordt daarom een steeds 5
sTN Whitepaper November 2015
belangrijker deel van de IT-beveiliging. Er is op de
ondermijnen zijn er vol op. Beveiliging staat immers
markt software verkrijgbaar die als een soort digitale
vaak haaks op gebruiksgemak. De plakkertjes met
wijkagent voortdurend uw netwerk en de aangesloten
wachtwoorden aan het scherm zijn een klassiek voor-
computers afspeurt op verdachte activiteiten. Let daar-
beeld waarbij het criminelen wel erg gemakkelijk wordt
bij op de vakterm ‘anomality based intrusion detection’.
gemaakt23.
U kunt deze software zelf aanschaffen en beheren. Er
Steeds vaker worden echter veel subtielere methoden
zijn voorbeelden van gratis te gebruiken open source
ingezet om uw personeel belangrijke informatie te
software als WinPatrol die op Windows werken. De
ontfutselen. Social engineering is een van de snelgroei-
meeste goede open source oplossingen zoals van
ende methoden van criminelen om rechten binnen uw
het breed gedragen OSSEC-initiatief22, kunnen wel
IT-infrastructuur te krijgen. Ze proberen iets te weten
Windows-computers in de gaten houden, maar verei-
te komen over uw werknemers, uw bedrijfsvoering,
sen een server in het netwerk die onder Linux draait.
de software die u gebruikt. Met die kennis gaan ze
Ze vergen daardoor behoorlijk wat specialistische
vissen tot een van uw medewerkers toehapt. Deze
IT-kennis. Maar er zijn ook diverse dienstverleners die
aanpak staat bekend als phishing24. Een mailtje over
deze controletaak op afstand kunnen uitvoeren. De
een update, of een handige tip die het werken ver-
dienstverlener waarschuwt indien nodig of onderneemt
eenvoudigt of een bericht van een klant die een klacht
zelf actie.
of opmerking heeft. De afzender van het bericht lijkt heel betrouwbaar omdat de crimineel het adres van de
Maak personeel bewust
afzender heeft gemanipuleerd.
Technologische oplossingen zijn vaak het eerste waar aan wordt gedacht bij het verweer tegen cybercrimi-
Of banaler, het bericht gaat over iets waar uw mede-
naliteit. Net zoals u goede sloten in uw huis plaatst
werker persoonlijk in is geïnteresseerd: een hobby, een
om het te beveiligen tegen insluipers. Maar die sloten
populaire tv-serie of iets in de relationele sfeer. Een
worden waardeloos op het moment dat het bekende
universele menselijk kwetsbaarheid is het gevoel iets
touwtje uit de brievenbus hangt. Zo moet u er voor
te missen en er daardoor niet meer bij horen (in het
waken dat uw medewerkers niet het digitale equi-
Engels Fear of Missing Out, afgekort FoMO)25. Sociale
valent van het brievenbustouwtje vormen. De mo-
media hebben dat fenomeen sterk aangewakkerd.
gelijkheden om de door u aangelegde beveiliging te
Een berichtje dat slim inspeelt op dat gevoel en op het 6
sTN Whitepaper November 2015
eerste oog betrouwbaar oogt, wordt al snel geopend, ook door de slimste mensen.
Gelukkig zijn softwareleveranciers er zelf op gebrand
Zo’n bericht gaat altijd vergezeld van een link voor
de fouten in de software op te sporen en te repareren
meer informatie of om een gewenste actie in gang te
(patchen). Ook is er een hele gemeenschap aan onaf-
zetten. En gouden regel moet zijn: Klik nooit op links
hankelijke IT-veiligheidsonderzoekers die permanent
in e-mail of sociale media. De enige uitzondering is
op zoek is naar nog onontdekte of niet-gerepareerde
wanneer zelf is gevraagd om de link.
softwarefouten. Zij melden die aan de betreffen-
Veel besmettingen zijn het gevolg van onbedoeld
de producent en dwingen deze, vaak op straffe van
onhandig gedrag van personeel. Even iets privé
openbaarmaking, de fouten snel te herstellen. Maar u
opzoeken op internet, een besmet mailtje openen op
moet dan wel zelf de reparatie-bestanden (patches of
het minder beveiligde privé-account, het gebruik van
veiligheidsupdates) op uw versie installeren.
sociale media. Het gebruik van eigen smartphones, tablets en laptops binnen de beveiligde omgeving van
Meld inbraken!
het bedrijfsnetwerk, leidt tot nieuwe gevaren want de
Wanneer uw organisatie onverhoopt toch een geval
beveiliging van deze persoonlijke apparatuur staat vaak
van cybercriminaliteit constateert, zorg dan voor een
op een laag pitje.
snelle melding bij de opsporingsdiensten. Vaak is de eerste reactie om het probleem binnenskamers te
Daarnaast kan het personeel ook nog bewust de
houden, intern op te lossen, om reputatieschade en
beveiliging proberen te doorbreken. Onder werkne-
eventuele boetes te voorkomen. Echter, wanneer u
mers zitten helaas ook nogal eens mensen die er, in
aannemelijk kunt maken dat u het nodige heeft gedaan
de relatieve anonimiteit van de digitale wereld, andere
dat in alle redelijkheid van u gevraagd kan worden, zal
normen op nahouden. Immers, hoeveel mensen zullen
niemand u iets verwijten. Melding bij de politie
het niet in hun hoofd halen een dvd of cd te stelen in
(http://hulpknop.stopcybercrime.nu) zorgt er voor dat
de platenwinkel, maar zien geen kwaad in het down-
u begeleiding krijgt bij adequaat optreden.
loaden van honderden speelfilms zonder er voor te
Bovendien ontstaat door de meldingen een beter beeld
betalen?
welke incidenten plaatsvinden en welke methoden criminelen inzetten. Daarmee helpt u te voorkomen dat
Geen software of er zitten fouten in die u kwetsbaar
er opnieuw slachtoffers worden gemaakt, bij anderen
maken
maar uiteindelijk ook binnen uw eigen organisatie.
Buiten de menselijke zwakheden zijn kwetsbaar heden in software het belangrijkste werkmateriaal dat is zonder programmeerfouten, niet het besturings-
Wat kan ik doen om zo veilig mogelijk te zijn?
systeem van uw computers (vaak Windows), niet de
Beveiligingsupdates uitvoeren, altijd en onmiddellijk
belangrijke programma’s die u gebruikt of de software
De eerste, belangrijkste en makkelijkste uit te voeren
waarmee uw website werkt. Die fouten geven in
handeling is zorgen dat software up-to-date is. Breng
meer of mindere mate gelegenheid handelingen uit te
beveiligingsupdates van alle software die u in gebruik
voeren waar de software niet voor is bedoeld. Misbruik
heeft, altijd aan zodra ze beschikbaar komen. Veel
van die programmeerfouten laten in het gunstigste
software biedt tegenwoordig de mogelijkheid automa-
geval de computer slechts vastlopen. In het slechtste
tisch de beschikbare ‘patches’ op te halen en aan te
geval vormt zo’n softwarelek een kanaal waarmee een
brengen. Dit moet een permanent punt van aandacht
kwaadwillende eigen software kan installeren op de
zijn. Zodra een veiligheidsupdate van software beschik-
computer. Daarmee creëren ze een achterdeurtje in
baar is, weten alle criminelen ook waar ze de zwakheid
uw IT-infrastructuur en omzeilen de reguliere beveili-
kunnen vinden. Ze weten ook dat lang niet iedereen
ging. Via die onbeschermde toegangspoort kunnen ze
de patches gelijk aanbrengt. Dus is het de eerste tijd
gegevens uit die ene gehackte computer halen maar
prijsschieten voor hen. Zorg dat u geen makkelijk
vaak ook andere computers in het bedrijfsnetwerk
slachtoffer bent.
criminelen in handen hebben. Geen enkele software
benaderen.
7
sTN Whitepaper November 2015
Versleutel cruciale gegevens
kers hoeven dan slechts één veilig wachtwoord uit het
De data in uw bedrijf die u als cruciaal heeft aange-
hoofd te leren, namelijk het masterwachtwoord. Voor-
merkt, verdient extra aandacht. Zorg dat deze gege-
beelden zijn 1Password, Ascendo Datavault, Keepass,
vens nooit in leesbare vorm (‘platte tekst’) op compu-
Password Safe, Dashlane en LastPass.
ters staan. Bewaar ze op een centrale server en zorg
Zorg dat de aandacht voor de IT-veiligheid een regel-
voor een goede encryptie (versleuteling of codering)
matig terugkerend gespreksonderwerp is onder het
zodat ze niet leesbaar zijn voor een onbevoegde,
personeel.
mocht die ze in handen krijgen. Zorg ook dat op deze gegevens minimaal een dagelijkse backup wordt
Vergeet de virusscanner, de firewall en het
uitgevoerd en dat deze backups gedurende langere tijd
wifi-net niet
worden bewaard. Zo kunt u er op teruggrijpen, mocht
De klassieke beveiliging moet zeker niet worden
er iets misgaan, bijvoorbeeld als uw gegevens gegijzeld
verwaarloosd. Zorg voor goede anti-virussoftware die
zijn door ransomware.
altijd up-to-date is met de laatste ‘virus-signature bestanden’. Een goede hardware-firewall met intrusion
Stel een toegangsbeleid op
detection software zorgt dat veel van de lukrake pogin-
Bepaal wie toegang moet hebben tot welke gegevens
gen van hackers om het bedrijfsnetwerk op te komen,
en voorkom dat anderen toegang krijgen. Een stagi-
in de kiem worden gesmoord.
air heeft niets te zoeken in de personeelsdossiers en
Zorg ook voor een goed-beveiligde wifi-verbinding.
productiemedewerker heeft vaak geen inzicht nodig
Vrijwel elke organisatie heeft een wifi-netwerk voor
in de details van de contracten die u met klanten hebt
gebruik door het personeel en vaak ook voor gasten.
afgesloten. Is dat wel nodig, richt uw systemen dan zo
WPA2 is het minimale beveiligingsniveau dat moet
in dat iedere werknemer alleen die gegevens kan in-
worden ingesteld om in te kunnen loggen op het net-
zien die voor het uitvoeren van zijn of haar taak nodig
werk26. Richt een apart netwerk in voor gasten zodat
is. Het vergt extra inspanning om alle rollen binnen de
zij geen toegang kunnen krijgen tot delen van het
organisatie te bepalen en het beheer van de rechten
bedrijfsnetwerk waar ze niets te zoeken hebben. Veelal
en de controle op de naleving ervan. Soms levert het
is de wifi voor gasten alleen bedoeld om hen een
ook frustratie op wanneer werknemers gegevens niet
verbinding met het internet te bieden voor een demo
kunnen benaderen wanneer ze vinden dat ze dat recht
of om even contact te zoeken met hun eigen netwerk.
wel behoren te hebben. Dan is het erg verleidelijk
Beperk het gebruik voor hen dan ook tot een kanaal
om de zaak open te gooien. Maar daarmee neemt de
naar internet.
kwetsbaarheid van de organisatie sterk toe. Beveilig het internetgebruik Houd het personeel scherp
Gebruik zelf waar mogelijk beveiligde internetverbin-
Stel een beleid op wat wel en niet mag met betrekking
dingen. Organiseer voor het werken buiten het bedrijf
tot het privé-gebruik van bedrijfsapparatuur.
een vpn-verbinding27 28 (virtueel bedrijfsnetwerk ofwel
Specificeer wat werknemers wel en niet mogen op
virtual private network). Deze software creëert een
internet en sociale media.
soort beschermde tunnel tussen het bedrijfsnetwerk en
Wijs personeel op de gouden regels van e-mailgebruik:
de computer die thuis, bij een klant of partner of onder-
Open nooit een link in een mailtje, tenzij er expliciet
weg op een wifi-hotspot in een wegrestaurant wordt
om is gevraagd. Let extra op bij e-mail van onbekende
gebruikt. Alle gegevens die over die verbinding gaan,
afzenders. Gebruik uitsluitend betrouwbare software.
zijn versleuteld, dus onbruikbaar voor wie ze toch nog
Zet geen handige tooltjes in die gratis zijn te downloa-
weet te onderscheppen.
den van een website. Daarmee installeer je vaak meer dan je lief is.
Veel dienstverleners op internet realiseren zich dat de
Formuleer een wachtwoordenbeleid. Dwing via de soft-
gangbare combinatie van gebruikersnaam en wacht-
ware af dat personeel veilige wachtwoorden gebruikt
woord niet voldoende veilig is. Zij bieden daarom een
en faciliteer bijvoorbeeld wachtwoordmanagements-
inlog aan met zogeheten ‘two factor authentication’.
oftware (digitaal sleutelkastje) om het onthouden van
Denk hierbij aan wat u al doet bij het gebruik van
lastige wachtwoorden te vereenvoudigen. Medewer-
internetbankieren. Bij de overboeking heeft u zich niet 8
sTN Whitepaper November 2015
alleen met gebruikersnaam en wachtwoord geïdenticode via sms op een bekende smartphone of een
Certificering dienstverleners in IT-beveiliging
speciaal apparaatje. Soms is bij de aanbieders van
Er zijn erg veel dienstverleners die klaar staan om
diensten via internet de keuze voor de extra beveili-
u te helpen bij een incident of bij het opstellen
ging optioneel, zoals bijvoorbeeld bij het gebruik van
en inrichten van uw beveiligingsbeleid. Voor veel
Google-diensten29. Gebruik deze methode wanneer
IT-dienstverleners is IT-beveiliging een lucratie-
een dienstverlener die aanbiedt.
ve toevoeging op hun aanbod aan hard- en/of
ficeerd maar krijgt u ook nog een eenmalig bruikbare
software.
Tips bij besmetting • Zet een besmette computer niet uit. Forensisch
Niet iedereen heeft echter dezelfde deskundig heid in huis. Door te letten op certificering verhoogt u de kans een partner te vinden die u
experts kunnen belangrijke gegevens voor
daadwerkelijk de beste bescherming en hulp bij
herstel uit het werkgeheugen halen30
eventuele incidenten biedt. Het NEN ISO 27001
• Koppel besmette pc’s los van het netwerk
keurmerk is de gangbare certificering voor secu-
• Schakel IT-beveiligingsexpert in voor mogelijk
rity management. Daarnaast hebben houders van
herstel van bedrijfsdata • Meld incidenten!
het NEN ISO 27002 bewezen ook de code voor Informatiebeveiliging in praktijk toe te passen.
http://hulpknop.stopcybercrime.nu/ De organisatie IT-beveiligers (http://it-beveiligers.nl/) biedt een overzicht van
Tips voor preventie
aangesloten partners in uw regio die minimaal aan deze voorwaarden voldoen.
• Breng beschikbare beveiligingsupdates van besturingssysteem en alle software zonder uitstel aan • Zorg voor goede, werkende, dagelijkse backups die gedurende enkele maanden worden bewaard • Stel een continuïteitsplan op • Maak personeel bewust van dreiging, rechten
Lees verder • Stop Cybercrime Nu (http://www.stopcybercrime.nu/) • Nationaal Cyber Security Center (https://www.ncsc.nl/)
en plichten • Houdt organisatie scherp door IT-beveiliging een vast onderdeel van overleg te maken • Houdt anti-virus / anti-malware programma’s en de firewall actueel • Richt beveiliging in op opsporing verdachte activiteiten • Pas encryptie (versleuteling of codering van gegevens) toe waar mogelijk
9
sTN Whitepaper November 2015
Conclusie Deze whitepaper somt veel aandachtspunten op waarmee u de kans minimaliseert om slachtoffer te
worden van cybercriminaliteit. Veel van de aandachtspunten moeten regelmatig terugkeren in teamoverleg willen ze het beoogde effect hebben. Niet alleen heeft de alertheid de neiging te verslappen in de tijd, ook de methoden van de criminelen veranderen waardoor er regelmatig aandacht nodig is voor een bijstelling van het beleid en de veiligheidsmaatregelen. Een deel van de zorgen kunt u uitbesteden door een dienstverlener voor de IT-beveiliging in te huren. Zij kunnen bijvoorbeeld de technische aanpassingen aan hard- en software en de monitoring verzorgen. U houdt echter de zorg over de organisatorische aspecten die minstens even belangrijk zijn.
10
sTN Whitepaper November 2015
Referenties 1 http://www.presseportal.de/pm/52715/2651614 2 https://www.morganwright.us/digital-extortion-ransomware-part-1/) 3 http://www.symantec.com/security_response/publications/threatreport.jsp 4 informatiebeveiliging.nl/nieuws/kleine-daling-in-betalingen-bij-infecties-met-ransomware/ 5 https://www.ncsc.nl/actueel/nieuwsberichten/bestuurlijk-advies-politie-back-up-tegen-cryptoware.
26 http://www.allesoverdraadloosinternet.nl/beveiliging/een-draadloos-netwerk-beveiligen/ 27 http://www.consumentenbond.nl/veilig-online/extra/veiliger-internetten-met-een-vpn/ 28 http://www.pcmag.com/article2/0,2817,2403388,00. asp 29 https://www.google.com/landing/2step/ 30 http://www.automatiseringgids.nl/achtergrond/2015/12/steeds-gevaarlijker-ransomware
html 6 http://www.mcafee.com/us/about/news/2014/ q4/20141209-01.aspx 7 http://nl.wikipedia.org/wiki/Botnet 8 http://www.stopcybercrime.nu/856/ mkb-nog-niet-bewust-gevaren-cybercrime.htm 9 http://www.verizonenterprise.com/DBIR/2015/ 10 http://www.cloudentr.com/lp/2015-state-of-smb-cybersecurity/ 11 https://en.wikipedia.org/wiki/Bring_your_own_device 12 http://www.inc.com/magazine/201411/robin-dschatz/how-smart-should-your-office-be.html 13 http://cyberrad.tno.nl/ 14 https://www.ncsc.nl/dienstverlening/response-op-dreigingen-en-incidenten/beveiligingsadviezen 15 https://www.security.nl/ 16 http://www.automatiseringgids.nl/ 17 http://tweakers.net/ 18 https://cbpweb.nl/nl 19 http://www.verizonenterprise.com/DBIR/2015/ 20 https://en.wikipedia.org/wiki/Air_gap_(networking) 21 https://www.schneier.com/blog/archives/2013/10/ air_gaps.html 22 http://www.ossec.net/ 23 https://www.security.nl/posting/385025/ Werknemers+creatief+in+omzeilen+IT-beveiliging+op+werkvloer 24 https://www.politie.nl/themas/phishing.html 25 https://en.wikipedia.org/wiki/Fear_of_missing_out
11
sTN Whitepaper November 2015
sTN Telecom & Internet Postbus 627 3447 GW Woerden
Antwoordnummer 2241 3440 VB Woerden Telefoon: 0348-495051
E-mail:
[email protected] Web: www.stn.nl Twitter: twitter.com/stnnl