05 april 2022

Cybersecurity gaat niet enkel over technologie – maar ook over mensen

Aanvallen op de beveiliging van bedrijven nemen toe in aantal en in complexiteit. Hoe kan een bedrijf zich hier het beste tegen wapenen? Volstaat het om bewustwordingscampagnes op te zetten? We spraken met technical cyber security & network consultant Fons Quidousse over gamification, IT-hygiëne, GDPR, encryptie en… visnetten.

In het nieuws gaat het tegenwoordig bijna iedere dag wel over ransomware, phishing, malware. Is dat een zegen of een vloek?

Fons: Het is zeker zo dat cybersecurity niet langer een ver-van-mijn-bed-show is. De aandacht voor het fenomeen in de algemene pers zorgt ervoor dat er meer bewustwording gekomen is over de schade die aangebracht kan worden. Ook binnen organisaties ziet men in dat er een reëel risico is. Je merkt bijvoorbeeld dat banken meer moeite doen om hun klanten op te voeden op dat vlak. Denk aan alle campagnes rond phishing etc.

Cybersecurity is niet langer een ver-van-mijn-bed-show. De aandacht voor het fenomeen in de algemene pers zorgt ervoor dat er meer bewustwording gekomen is over de schade die aangebracht kan worden.

Bedrijven eisen goede beveiliging van elkaar

Heeft regelgeving als GDPR er ook niet voor gezorgd dat er een grotere bewustwording gekomen is? Heeft het niet alvast bedrijven verplicht om na te denken over procedures en hoe die gedocumenteerd moeten worden?

Fons: Dat is zeker zo en is een zeer goede zaak. Bedrijven werden verplicht om procedures op te stellen over het verwerken en bijhouden van data. Dit heeft als gevolg dat er een beter zicht is op welke data er waar bijgehouden of verwerkt wordt.  Het resultaat hiervan is dat we beter weten waar welke kritieke data staat, waardoor we die beter kunnen gaan beveiligen. Dit heeft op zijn beurt als gevolg dat men gerichter kan werken na een aanval. Deze regelgeving legt de verantwoordelijkheid ook heel sterk bij bedrijven die data verwerken. Want vaak gaat het om gevoelige, persoonlijke informatie die enkel verzameld en verwerkt mag worden mits er een duidelijk doel gesteld is die deze data kan verwezenlijken. Daar mag niet licht over gegaan worden. Anderzijds is de regelgeving voor interpretatie vatbaar, waardoor niet alle bedrijven er dezelfde hoeveelheid aandacht aan besteden.

Ik merk dat steeds meer bedrijven ook van hun leveranciers eisen om ISO-certificaten voor te leggen? Is dit een goede zaak?

Fons: Dat is absoluut een goede evolutie. De consequenties beginnen ook hoog op te lopen als je er niet aan voldoet. Zo moet je bijvoorbeeld aan de best practices voldoen die voorgeschreven zijn door een bedrijf als Cisco, HP Aruba… wanneer het gaat over configuratie of netwerk topologie. Als er zich iets voordoet in je netwerk en je bent hier niet mee compliant, dan kan dit ernstige gevolgen hebben, bijvoorbeeld in de vorm van financiële sancties. Dat wil je niet meemaken als bedrijf. Door middel van de ISO-certificaten kunnen bedrijven zich verzekeren van een bepaalde security maturiteit. Daarom wordt er meer op gelet. Iedereen controleert iedereen. Wie diensten afneemt bij een ander bedrijf, wil zich indekken. Op die manier verhogen bedrijven de druk op elkaar wat ten goede komt aan de algemene beveiliging van de Belgische markt.

 

Phishing, man-in-the-middle en malware in attachments eisen aangepaste aanpak

Wat zijn de grootste gevaren binnen bedrijven? Wat zijn de grootste bedreigingen?

Fons: E-mail is zeker de ingang waarlangs het meeste aanvallen gebeuren. Werknemers krijgen phishing mails binnen, of er komen geïnfecteerde attachments mee. Daarnaast zijn de beveiligingsrisico’s toegenomen doordat iedereen van overal kan werken. Mensen werken in de luchthaven, in een koffiebar... Dan is het niet moeilijk om een access point te spoofen en een man-in-the-middle attack op te zetten. Bedrijven moeten nadenken over al deze risico’s en daar hun beveiligingsstrategie op afstemmen. Op die manier kan je snel bedreigingen detecteren en actie ondernemen. Of beter nog: neemt het systeem automatisch zelf actie. We raden altijd aan om alle systemen op elkaar af te stemmen en de data te correleren. De aanvallen worden steeds meer gesofistikeerd. Dat vereist dan ook dat de systemen meegroeien.

 

Bewustmaking over IT-risico’s is een must

Is het toch niet verwonderlijk dat er nog steeds zoveel mensen klikken op links of zich laten inpakken door phishing berichten? Wat kunnen we daaraan doen?

Fons: Hackers met slechte bedoelingen zijn daar natuurlijk heel slim in. Ze spelen in op urgentie, bijvoorbeeld door berichten te sturen over pakjes die gaan aankomen, of over vaccinatieregistratie. Nog meer inzetten op bewustwording is zeker een goede zaak. Bij Simac bieden we tools aan die daar mee voor zorgen, met name door te focussen op phishing mails. Dat soort mails is heel vaak de manier waarop malware binnengebracht wordt. Voor een aanvaller is het makkelijk: die moet maar één keer geluk hebben dat iemand klikt en de hacker zit binnen. We vragen veel van een eindgebruiker als we verwachten dat die op ieder moment van de dag 100% geconcentreerd is. Een machine kan 100% alert zijn, dat mag je niet verwachten van mensen. Daar moet een bedrijf rekening mee houden, bijvoorbeeld door naast het inzetten op de opvoeding van eindgebruikers, ook voldoende andere technologische beveiliging te implementeren

Gamification is een goede manier om eindgebruikers bewust te maken. Je kan fake phishing mails uitsturen en binnen het bedrijf een competitie organiseren welke afdeling zich het minste laat vangen door te klikken. Dat zal eindgebruikers zeker alerter maken.

Nog meer inzetten op bewustwording is zeker een goede zaak. Bij Simac bieden we tools aan die daar mee voor zorgen, met name door te focussen op phishing mails. Dat soort mails is heel vaak de manier waarop malware binnengebracht wordt.

Denk je dat IT-security awareness training een vast onderdeel zou moeten zijn van een onboarding process voor nieuwe werknemers?

Fons: Als je bij de onboarding al wijst op de bedreigingen, maak je als bedrijf meteen een statement dat je security hoog in het vaandel draagt. Dan scherp je de alertheid ook al aan. Het mag echter niet tot de onboarding beperkt blijven. Ideaal komt het onderwerp regelmatig op tafel, in workshops, door use cases aan te halen van bedrijven die in de problemen raakten, door op de trends te wijzen,… Het hoeft niet per se diep technisch te zijn wat je geeft aan informatie. Als je het goed brengt, zal het de werknemers wel aanspreken en bijblijven. Tegenwoordig zijn er ook tools om een bewustwordingscampagne te personaliseren. Iedereen zit op een verschillend niveau van kennis en techniciteit. Met de juiste tools kan je ervoor zorgen dat mensen boodschappen krijgen die het beste op hen afgestemd zijn. Anders dreig je voor sommige mensen de lat te laag te leggen.

 

Security technologie op maat

Welke technologische middelen kunnen we inzetten om de werkomgeving veiliger te maken? We kunnen toch niet alleen rekenen op bewustwording?

Fons: Je mag inderdaad niet alles verwachten van de eindgebruiker. Soms komt er malware binnen of raakt een hacker binnen en dwaalt die eerst maanden rond in je netwerk voor er iets gebeurt. Heel lang blijven dit onder de radar.

De resultaten van een bewustwordingscampagne kan je ook gebruiken om je beveiliging aan te passen. Als je merkt dat een gebruiker ondanks alle waarschuwingen op foute links blijft klikken, dan kan je daar actie op ondernemen: je geeft het endpoint minder rechten, je stelt de spamfilter wat scherper in, je zet policies strakker… Zo kan je individueel werken.

Alle acties die je onderneemt zijn complementair, je bouwt meerdere lagen in. Zie het als verschillende visnetten die je achter elkaar hangt. In ieder visnet zit er misschien wel een gaatje, maar door veel visnetten te gebruiken verplicht je een aanvaller toch al om goed te manoeuvreren om er toch door te geraken.

Is het ook al niet belangrijk om in het algemeen een goede IT-hygiëne te hebben binnen bedrijven?

Fons: Absoluut. Een bedrijf kan maar beter oppassen wie allemaal toegangsrechten heeft tot bepaalde informatie, en welke rechten eindgebruikers zelf hebben om toepassingen te installeren op hun PC. In een ideale situatie hebben eindgebruikers alleen privileges op wat ze echt nodig hebben voor hun job. Gebruikers die meer toegang nodig hebben, zet je dan in een omgeving die extra gemonitord wordt. Dat is ook een dynamisch gegeven. Als mensen veranderen van rol binnen een organisatie, dan moeten ook hun access rights mee evolueren.

Paswoorden blijven een kwetsbaar gegeven. Bedrijven doen er goed aan eindgebruikers een goed hulpmiddel te bieden om hun paswoorden te beheren. Daarnaast moet de focus meer gelegd worden op multi factor authentication, waarbij je bijvoorbeeld ook nog een code via sms toegestuurd krijgt. We zien ook dat er technologische vooruitgang gemaakt wordt op vlak van passwordless toegang. Hierbij zal vooral biometrie een belangrijke rol spelen. Denk aan gezichtsherkenning bij smartphones. Dit zal, eens de technologie op punt staat, het gebruiksgemak sterk verhogen. Dewelke vaak te laag ligt bij het gebruik van paswoorden en multi factor authenticatie.

En uiteraard zou encryptie standaard ingesteld moeten zijn op alle endpoints bij een bedrijf. Als een toestel dan verloren gaat of gestolen wordt, kan niet alles zomaar gelezen worden. 

Bedrijven zien security misschien nog te veel als een kost die niets oplevert. Verliezen ze dan niet sommige aspecten uit het oog?

Fons: Aan security zit ook een ethische kant, dat klopt. In feite mogen bedrijven zich niet de vraag stellen, “kunnen we security betalen of niet”? Je mag beveiliging nooit verwaarlozen. Het draait namelijk vaak om persoonlijke data van mensen. Het gaat om werkgelegenheid als een bedrijf lange tijd niet kan werken na een ransomware aanval. En in ziekenhuizen kunnen mensen sterven als bepaalde basisdiensten plots niet meer werken. Jammer genoeg wordt dat vaak uit het oog verloren bij de discussie over beveiligingsprojecten.

Misschien is dat wel een goed idee voor een volgend gesprek of blog?

Fons: Absoluut. Doen we!


Fons Quidousse
Fons Quidousse

Fons Quidousse is technical cyber security & network consultant bij Simac ICT België. Hij helpt zijn collega’s en klanten om de best mogelijke oplossingen te zoeken voor uitdagingen rond netwerken en beveiliging. Fons werkt bij Simac sinds oktober 2020.

Contacteer ons nu
Zoekt u goede beveiliging?
Netwerken & security
Onze security specialisten helpen u graag.