Stappenplan om jouw bedrijf cyberveilig(er) te maken

Cyberveiligheid: 'Moeilijk is het niet, maar het kost wél moeite'

Heel veel bedrijven krijgen jaarlijks met een cyberincident te maken. Waar het ene bedrijf door een ransomware-aanval wordt getroffen en alle bestanden zijn versleuteld, wordt de andere organisatie in de val gelokt door een cybercrimineel die zich via email als 'collega' voordoet en zo veel geld en informatie afhandig weet te maken. Gelukkig zijn er tal van manieren om gelijk vandaag digitaal beter beveiligd te zijn. Bij Fox-IT maken ze onderscheid tussen beveiligingstips op het niveau van gebruikersaccounts, computersystemen én het voorbereiden op een aanval. Kanttekening van Butcher vooraf: "Weet dat de kracht 'm in de combinatie van veiligheidssmaatregelen zit. Leun nooit slechts op één, maar tref altijd meerdere maatregelen om de kans te verkleinen dat je slachtoffer wordt van een cyberaanval."

(1) Bescherming gebruikersaccounts   

Gebruikersaccounts hacken blijkt een populaire manier van cybercriminelen te zijn om bedrijven binnen te komen. Volgens Butcher zijn deze accounts een belangrijk doelwit van hackers: "Hebben ze toegang tot iemands account, bijvoorbeeld door wachtwoorden te stelen, dan kunnen ze alles doen wat jij als medewerker binnen de bedrijfsmuren ook kunt. Zie het als een soort sleutel, waarmee hackers bedrijven kunnen ontregelen." Omdat het voor aanvallers heel interessant is om via gebruikersaccounts binnen te komen, adviseert hij om de volgende basismaatregelen op het vlak van gebruikersaccounts te treffen; tweestapsverificatie, least privilege en verdacht inloggedrag monitoren. 

• Stel tweestapsverificatie verplicht
  Gebruikersaccounts zijn onder andere met behulp van tweestapsverificatie te beschermen. "Zorg daarom dat tweestapsverificatie verplicht is, zodat een gestolen wachtwoord niet gelijk toegang tot je systemen geeft", legt de expert uit. "Microsoft stelt dat 99.9% van alle aanvallen op accounts hiermee kan worden voorkomen. Bij tweestapsverificatie heb je niet alleen genoeg aan een wachtwoord om in te loggen, maar ook bijvoorbeeld OTP-codes (one time codes) die je in authenticator apps vindt en die om de paar seconden veranderen. Een andere manier die onder andere bij DigiD wordt gebruikt, is in een app op je telefoon accorderen dat je wilt inloggen. Een extra handeling dus." Ondanks dat steeds meer bedrijven met tweestapsverificatie werken, moeten we volgens de cybersecurity-consultant het wel als een kat en muisspel zien. "Cybercriminelen zijn er continu op uit om zichzelf tóch binnen te hacken. Om de kans hierop te verkleinen, adviseer ik altijd om voor de meest moderne versies van tweestapsverificatie, ook wel bekend als phishing-resistant MFA zoals FIDO/WebAuthn, te gaan."

• Hanteer 'least privilege'-principe
  Butcher raadt aan om een 'least privilege'-beleid te hanteren, oftewel het toegang geven van medewerkers tot bestanden en systemen die ze nodig hebben voor hun werk, maar niet meer dan dat. “Zitten aanvallers eenmaal binnen een gebruikersaccount dat veel rechten heeft, dan maakt dit het de cybercrimineel wel heel makkelijk om bij interessante informatie te komen of vanuit dit punt verder de organisatie in proberen te komen. Voorkom dit door goed accountbeheer.”
• Monitor verdacht gedrag
  Een derde manier om gebruikersaccounts van medewerkers beter te beschermen, is door verdacht inloggedrag te monitoren. Als voorbeeld noemt Butcher een medewerker die vanuit het buitenland of op een vreemd tijdstip actief is. "Cybercriminelen gedragen zich over het algemeen net anders dan medewerkers. Zodra je dit als bedrijf in de gaten houdt - het liefst geautomatiseerd -, dan gaan er bij verdacht gedrag alarmbellen af en kan er actie worden ondernomen." Er blijkt een groeiend aantal bedrijven te zijn die zich in deze digitale beveiliging heeft gespecialiseerd. "Zie het als het cameratoezicht dat we kennen van gebouwen, maar dan van binnen de IT."

(2) Bescherm je computersystemen

Naast het beschermen van gebruikersaccounts is het belangrijk om computersystemen te beveiligen, want ook die misbruiken hackers bij hun aanvallen. 

• Installeer moderne antivirussoftware
  Butcher trapt af met een veelgehoorde en eenvoudig te implementeren veiligheidsmaatregel; installeer moderne antivirussoftware. Waarom dit in zijn ogen zo belangrijk is? "Moderne antivirussoftware dat ook specifiek aanvallersgedrag checkt, houdt systemen in basis veilig. Ze blokkeren wat ze kunnen blokkeren en detecteren afwijkingen, waarna er ergens een alarmsignaal naartoe wordt gestuurd." De cyberconsultant benadrukt dat het daadwerkelijk reageren op de alarmeringen wel essentieel is. "Ter vergelijking: je kunt wel een rookmelder installeren, maar als je er niet op reageert, dan loop je alsnog gevaar. Dezelfde vlieger gaat voor antivirussoftware op."

• Houd software up-to-date
  Software-updates bevatten vaak niet alleen verbeteringen aan de software, maar ook aan de kant van digitale veiligheid. "Voer software-updates altijd zo snel mogelijk uit, want cybercriminelen maken gretig gebruik van kwetsbaarheden in software. Ze kunnen met behulp van geautomatiseerde toolkits heel makkelijk scannen welke computersystemen verouderde software bevatten en dus kwetsbaar zijn. Met één druk op de knop kunnen ze zo'n systeem aanvallen. Niet voor niets is het één van de favoriete methodes van hackers." Voorgaande geldt voor computers, telefoons, tablets en slimme apparaten.

• Splits netwerken op
  Tot slot stelt Butcher dat het verstandig is om computersystemen beter te beveiligen door segmentatie toe te passen. "Het doelwit van cybercriminelen is meestal niet één systeem, niet jouw laptop, maar zijn bijvoorbeeld bedrijfsgeheimen die op andere systemen staan. Vandaar dat ze van systeem naar systeem moeten hoppen. Splits liever het netwerk op, blokkeer communicatie tussen computers die niet met elkaar hoeven te communiceren. Net als bij gebruikersaccounts, geef systemen alleen de toegang die ze daadwerkelijk nodig hebben."

(3) Bereid je voor op een aanval

Zoals gezegd loopt elk bedrijf, groot en klein, het risico om slachtoffer van een cyberincident te worden. Criminelen zijn er op uit om jouw leven zuur te maken. Het is dan ook geen ongeluk, het is een doelgerichte actie. Een goede voorbereiding op zo'n aanval is dan ook volgens de cybersecurity-expert essentieel. "Zelfs de beste beveiliging is niet perfect, maar goede voorbereiding kan de schade wel flink beperken.”

• Maak een herstelplan en test deze
  Allereerst kun je de schade van een cyberaanval beperken door een back-up van de bedrijfsgegevens te maken. Heb je namelijk een back-up en herstelplan, dan kan je gehackte of versleutelde systemen sneller herstellen na bijvoorbeeld een ransomware-aanval. Omdat criminelen maar al te goed weten hoe belangrijk back-ups zijn, proberen ze ze maar wat graag kapot te maken. Om die reden adviseert Butcher bedrijven om back-ups af te scheiden van de rest, zodat een aanvaller die controle heeft over de normale IT systemen en beheerdersaccounts ze niet stuk kan maken. “Denk bijvoorbeeld aan een clouddienst waar je wel een back-up naartoe kunt sturen, maar niet zomaar een back-up kan verwijderen of aanpassen.” Verder adviseert hij om het back-upsysteem niet in het normale IT-domein te integreren, zodat een aanvaller die daar toegang toe heeft niet ook gelijk bij de back-ups kan. Het is tenslotte ook erg belangrijk om te testen of back-ups daadwerkelijk werken en makkelijk zijn terug te zetten. Beeld bijvoorbeeld in hoe snel je kunt herstellen na een brand, in hoeverre helpt jouw herstelplan om terug in operatie te komen?
• Bedenk wat te doen als het mis gaat
  Ten tweede vormt het maken van een plan een cruciaal onderdeel van de voorbereiding op een aanval. Wat kan er misgaan? Wat doe je als bestanden zijn versleuteld, wat als data is gelekt en wat als criminelen geld eisen? Welke wettelijke verplichtingen heb je? Hoe communiceer je met medewerkers en met de rest van de wereld, hoe open wil en kan je zijn? En wie zijn er bij het hele proces van digitale veiligheid betrokken? Butcher: "Bij een cyberaanval wordt je gedwongen om onder tijdsdruk grote keuzes te maken, vaak met slechts beperkte informatie van wat er precies aan de hand is. Hoe richt je de crisisorganisatie in om effectief te handelen in zulke lastige omstandigheden? Hoe zorg je dat de nodige mensen op de hoogte zijn, dat de nodige informatie klaar ligt, dat iedereen vanuit de juiste rol kan bijdragen en snel kan ingrijpen." Leiderschap is een zeer belangrijk punt bij een cyberaanval. Dit blijkt in veel organisaties niet altijd even duidelijk. "Kort gezegd zijn bestuurders verantwoordelijk voor de veiligheid van het bedrijf, zo ook digitaal. De IT-afdeling speelt daar natuurlijk een rol in, maar is niet de eindverantwoordelijke. Wie dan de daadwerkelijke kar trekt tijdens een incident? Dat moet iemand met een holistisch security-beeld zijn, iemand die het overzicht heeft. Iemand die hoog genoeg in de organisatie zit om overzicht te hebben, maar tegelijkertijd ook voldoende begrip van digitale veiligheidszaken heeft om aan te sturen.”
• Oefen. Oefen. Oefen
  Als hekkensluiter tipt Butcher om vooral te oefenen wat te doen als jouw organisatie door een cyberincident wordt getroffen. "Zie het als een brandoefening. Als het slechts bij een digitaal veiligheidsplan op papier blijft, dan gaat het in de praktijk waarschijnlijk niet soepel werken. Door het plan te oefenen creëer je bewustwording onder medewerkers en krijg je er met z'n allen vertrouwen in. Daarnaast toetst het de effectiviteit van het plan; analyseer na afloop hoe het plan verder kan worden aangescherpt. Dit kun je zelf doen, maar er zijn tegenwoordig ook bedrijven die relevante cyberscenario’s uitwerken, jouw bedrijf door de oefening heen helpen en zorgen dat de juiste lessen worden geleerd."

Zou jij jouw bedrijf graag beter voor morgen willen beveiligen? Fox-IT, expert op het gebied van cyberbeveiliging, helpt bedrijven digitaal veiliger te maken.