We bespreken het met Matthijs Blokker, algemeen directeur van MMOX en Weekly-expert Victor Gevers, cybersecurity expert, ethisch hacker en Directeur van CSIRT-Global in de podcast BusinessWise Weekly.
Wat zijn de meeste voorkomende hacks op dit moment?
Volgens Blokker worden mailboxen van Office 365 op dit moment het meest gehackt. „Dat is namelijk een hele makkelijke route om bijvoorbeeld wachtwoorden te verkrijgen of om fraude-aanvallen te doen." De eerste stap is de mailbox hacken. „Daar zijn natuurlijk technisch een heel aantal maatregelen voor genomen. Een username en password en een multi factor authentication, maar als je die hebt dan ben je wel echt binnen en dat gebeurt ook aan de lopende band." Volgens Blokker kunnen hackers als ze eenmaal binnen zijn zichzelf meer rechten geven en 'aan het echte werk'.
Ze kunnen meelezen met mailconversaties om zo een beeld te krijgen van de organisatie. „Net zo lang wachten totdat ze snappen: Wat is het taalgebruik? Met wie communiceren ze?" De volgende stap is om mails te versturen vanuit een afzender die niet klopt, maar die mensen wel herkennen waardoor de ontvanger er in meegaat. Denk bijvoorbeeld aan acteren als de financieel directeur die zogenaamd een mail stuurt en vraagt om geld over te maken. De impact hiervan wordt steeds groter. „Drie, vier jaar geleden ging het over enkele tienduizenden euro's, twee jaar geleden ging het over tonnen en inmiddels gaat dit over miljoenen."
Waarom wordt Microsoft zo vaak gehackt?
„Microsoft is natuurlijk een heel interessant bedrijf", vindt Blokker. „Een supergave techprovider uit de Verenigde Staten. Die waren als enige in staat om daar een dienstverleningsbedrijf van te maken en dat is echt niets anders dan fantastisch." Maar het nadeel is dat een aantal applicaties al 'heel lang mee moeten'. „Dus ook al die clouddiensten, daarvan heeft het verleden aangetoond dat het schering en inslag is om die te hacken. Microsoft is het bedrijf dat het vaakst is aangevallen, maar ook waar de aanval het vaakst gelukt is."
Lees ook: Eye Security ontdekte een wereldwijd lek in SharePoint: 'De machine uitzetten helpt niet'
Waarom vallen hackers softwareleveranciers aan?
Volgens Gevers zijn softwareleveranciers een logisch doel, omdat het makkelijk is om daar een voet tussen de deur te krijgen. Als een kwetsbaarheid bekend wordt, gaat men massaal het internet scannen. „En dat doen alle partijen: de partijen met de goede bedoelingen en partijen met slechte bedoelingen."
Hackers zijn niet zomaar mensen op zolderkamertjes. Blokker legt uit: „Dit zijn gewoon goed georganiseerde professionele criminele organisaties. Die maken een business case, want zij moeten ook investeren om nieuwe software te bouwen om hun slag te slaan. Het gaat over miljoenen."
Hoe veilig zijn je gegevens bij clouddiensten?
Clouddiensten hebben volgens Blokker veel klanten en dus ook veel budget om die cloud te beveiligen, maar: „Ze beveiligen de cloud. Ze beveiligen niet die klanten en data van die klanten in de cloud. Ze hebben geen idee wat voor prioriteit dat heeft of wat voor dataklasse dat is."
Die ketenverantwoordelijkheid is heel belangrijk volgens Gevers. „Het product of de dienst die je afneemt bij partij X, daar zitten meerdere bouwstenen onder. Als ergens in die bouwstenen iets mis is bij een andere leverancier, dan kan het best lang duren voordat dat echt boven water komt." Als het daarnaast om een grote dienstverlener gaat, kun je ook niet zomaar overstappen naar een andere dienstverlener.
Gevers: „Je ziet nu al een gezonde trend om bepaalde methodes te gaan hanteren. Dus een Software Bill of Materials (SBOM), dat is eigenlijk gewoon een lijst van bouwstenen die in de software zitten." Vooral overheden zijn daar mee bezig. „Wil jij diensten aan ons verkopen? Dan willen wij zien waar het van gebouwd is."
Cybersecurity: hoe kun je jouw organisatie beter beveiligen tegen hackers?
Gevers en Blokker delen een aantal tips om je bedrijf beter te wapenen tegen hackers. Volgens Blokker moet je als bedrijf multi factor authentication voor al je applicaties gebruiken en Gevers tipt dat er altijd een VPN-verbinding bij het thuiswerken gebruikt moet worden. Hieronder geven ze nog meer tips:
Verschaf manager devices
„Thuiswerken brengt allerlei risico's met zich mee", stelt Gevers. Vooral als het bedrijf geen manager devices levert, maar mensen op hun eigen privé devices werken. „Waar familieleden ook nog andere websites op bezoeken of kinderen wat spelletjes op downloaden." Als de laptop gecompromitteerd is, kunnen hackers met alles meelezen.
Let op de privé-omgeving van je medewerkers
De risico's verplaatsen zich ook naar de thuisomgeving van je medewerkers. Gevers: „We zien steeds meer dat natuurlijk aanvallers zich verplaatsen van het zakelijke gedeelte naar naar de privé-omgeving." Mensen denken dat ze geen target zijn voor hackers - 'want ik ben niet belangrijk' - maar dat klopt niet helemaal volgens Gevers. „Degene waar jij mee verboden bent via LinkedIn, die wél." Organisaties moeten dus nadenken om mensen thuis ook te voorzien van veiligheid. „Want security is niet iets tussen 8.00 uur en 17.00 uur, maar natuurlijk 24/7."
Neem je thuiswerkbeleid nog eens onder de loep
Doordat de risico's verschuiven naar de thuissituaties van je medewerkers, is het belangrijk om ook afspraken te maken over wat wel thuis kan en wat op kantoor moet blijven. Gevers: „Als je naar de best bewaakte organisaties kijkt - in ieder geval in Nederland - dan zie je gewoon dat thuiswerken voor bepaalde zaken kan, maar belangrijke taken gewoon altijd op kantoor moeten. Net zo dat je ook je intellectual property niet het pand uit laat gaan Niet digitaal, niet op papier."
Blokker vult aan: „Je hoeft niet alles met technologie op te lossen. Je kunt dingen ook oplossen met afspraken en regels."
Lees ook: 'Cyberdreiging groeit snel nu AI ook onze psychologische zwakheden leert herkennen'
Spreek geen technische taal, maar praat in risico's
Moet je als IT'er de board overtuigen van een nieuwe cybersecurity-investering? Praat dan in risico's. Blokker: „Wij hebben geleerd dat op het moment dat je technische mensen wil overtuigen, dan kun je heel goed technische taal gebruiken. Op het moment dat je degene die de keuzes en de budgetten maakt, wil overtuigen, heb je andere taal nodig."
Blokker geeft daarvoor twee stappen: „Die eerste is het hele digitale domein onder de scope brengen, dus dat betekent ook allerlei IT-diensten die in de cloud staan of ergens anders staan of thuis zijn. En het tweede is: cybersecurity heeft geen lerend vermogen, maar risicomanagement wel. Daar zit een verplichte Plan-Do-Check-Act Cycle in. Op moment dat je die twee dingen implementeert, dan heb je opeens een gesprek bij dat bestuur." Op die manier breng je in kaart: „Wat is de impact? Waar kan het fout op het moment dat je een ransomware-aanval hebt? Hoeveel pijn doet dat dan?"
Beluister BusinessWise Weekly daarin vertellen Gevers en Blokker nog meer over cybersecurity.
BusinessWise Weekly is een wekelijkse podcast waarin presentator Olivier de Neve je bijpraat over de actualiteit die ertoe doet op de werkvloer, bij het koffieapparaat en in de strategie-presentatie van volgende week. Samen met scherpe denkers uit het bedrijfsleven vertaalt hij het zakelijke nieuws naar concrete inzichten, duiding die verder gaat dan het persbericht en die ene LinkedIn-post. Elke vrijdag een nieuwe aflevering.
