Na de Odido Hack: met deze 5 stappen wordt jouw CRM (meer) cyberveilig

In februari maakte de Nederlandse telecomprovider Odido een groot datalek bekend. De hackergroep ShinyHunters verkreeg toegang tot het CRM-systeem van het bedrijf, Salesforce, via gerichte voicephishingaanvallen. Daarbij werden medewerkers misleid om toegang te verlenen tot persoonlijke gegevens van 6,2 miljoen huidige en voormalige klanten, teruggaand tot 2016. Dit volgt een vergelijkbare aanpak die vorig jaar succesvol werd gebruikt om Salesforce-omgevingen van meer dan 700 grote bedrijven te compromitteren.

Voor bedrijven zijn de gevolgen enorm en reiken ze veel verder dan een IT-incident: direct crisismodus, hoge herstel- en onderzoekskosten, extra druk op klantcontact, plus meldplichten, claims en mogelijk boetes. Daarna volgt vaak de grootste schade: reputatieverlies. Klanten haken af, partners en inkopers worden kritischer en sales moet ineens risico’s uitleggen in plaats van waarde. Voor klanten is de impact soms nog groter: gelekte persoonsgegevens blijven jarenlang bruikbaar voor gerichte oplichting en identiteitsfraude en kunnen in ernstige gevallen leiden tot intimidatie of stalking.

Digitale beveiliging is niet langer een IT-vraagstuk, maar hoort op de agenda van elke zakelijke professional.

CRM is kritieke infrastructuur. Begin het ook zo te behandelen.

CRM-systemen zijn uitgegroeid tot een van de meest datadichte omgevingen binnen organisaties. Ze bevatten identiteitsgegevens, contacthistorie, contractdetails en gedragsdata. De leverancier die Odido gebruikte voor de opslag van klantdata waarschuwde al in januari meerdere keren voor de hackmethode die de groep ShinyHunters toepaste. Toch weerspiegelt de gehanteerde beveiligingsaanpak die realiteit zelden. Drie redenen verklaren waarom.

1. De commoditymentaliteit. Organisaties denken: dit is Salesforce, Microsoft of ServiceNow, enterpriseplatforms met solide beveiliging. En dat klopt. Maar die beveiligingsmogelijkheden staan niet standaard aan. Veldniveau-encryptie, deelregels, IP-beperkingen voor inloggen, rolgebaseerde toegang, sessiebeleidsregels, gastgebruikerscontroles en anomaliedetectie vereisen bewuste configuratie. Onder commerciële druk komt die hardening er vaak nooit van. Het platform kán veilig zijn. Uw instantie waarschijnlijk niet.

2. De gedeelde verantwoordelijkheidskloof. Bij on-premise infrastructuur is duidelijk dat u zelf verantwoordelijk bent voor de beveiliging. Bij SaaS treedt een subtiele verschuiving op, waarbij de leverancier verantwoordelijk wordt gevoeld. Dat is niet terecht. U bent verantwoordelijk voor uw configuratie, uw toegangsbeleid, uw data en uw incidentrespons. Salesforce waarschuwt u niet wanneer het account van een supportmedewerker om twee uur ’s nachts miljoenen records opvraagt. Dat is uw verantwoordelijkheid.

3. Het misclassificatieprobleem. Wanneer iets als kritieke infrastructuur wordt behandeld, worden beveiligingsmaatregelen bewust toegepast, is toegang minimaal en worden afwijkingen nauwlettend gemonitord. CRM krijgt het label ‘bedrijfstool’ en erft daarmee ook het bijbehorende governance-niveau. Het resultaat: een systeem met kroonjuweeldata, geconfigureerd als een willekeurige app.

Dit verklaart ook waarom social engineering zo makkelijk werkte. De omzeiling van de tweestapsverificatie lukte mede omdat de omgeving niet was ingericht met de beveiliging die je normaal toepast op een kritisch systeem. Sterkere, phishingbestendige inlogmethodes ontbraken, net als slimme waarschuwingen bij afwijkend inloggedrag en controles die het risico van een actieve sessie beoordelen. Kortom: een systeem met miljoenen gebruikers werd beveiligd alsof het ‘gewoon’ een projectmanagementtool was.

De gevolgen

In de dagen na de bekendmaking stapte bijna een kwart van alle overstappende Nederlandse mobiele klanten over van Odido. Met dagelijkse lekken en hackers die journalisten voeden, blijft die schade zich opstapelen. En anders dan wachtwoorden behouden gestolen namen, adressen en geboortedata hun waarde voor criminelen jarenlang. In sommige gevallen, zoals bij stalking of huiselijk geweld, kunnen de gevolgen zelfs veel ernstiger zijn dan fraude alleen.

Wat leiders moeten doen, in overleg met hun IT- en securityafdeling.

1. Behandel je CRM als ‘kritieke infrastructuur’ (‘TIER-1’) zodra je er veel klantdata in hebt (bijvoorbeeld 100.000+ records). Dat betekent: strengere toegangsregels, betere bewaking en hogere beveiligingsstandaarden dan bij een normale kantoortool.

2. Check je instellingen tegen de beveiligingsrichtlijnen van de leverancier. Kijk niet naar wat er standaard ‘aan’ staat, maar naar wat er eigenlijk aan hóórt te staan. Begin met: wie mag welke velden zien, extra bescherming voor gevoelige gegevens, beperkingen op waarvandaan iemand mag inloggen, multi-factor authenticatie verplicht voor iedereen, en meldingen bij opvallend inloggedrag.

3. Zorg dat mensen alleen toegang hebben tot wat ze nodig hebben, en beperk de schade als er toch iets misgaat. Als één account in één keer miljoenen klantrecords kan downloaden, is dat een ontwerp- en inrichtingprobleem. Stel limieten in, maak rollen strakker (niet iedereen alles), en geef tijdelijke extra toegang alleen wanneer het echt nodig is.

4. Verwijder data die je niet meer nodig hebt. Data die geen zakelijk doel meer heeft, vergroot alleen je risico. Stel bewaartermijnen vast, leg ze vast in beleid, en voer ze ook echt uit. Wat je niet bewaart, kan ook niet uitlekken.

5. Stap over op sterkere inlogbeveiliging dan sms-codes of eenmalige codes. Die worden steeds vaker via slimme trucjes buitgemaakt. Maak daarom apparaatgebonden inloggen (passkeys) of beveiligingssleutels (FIDO-2) de standaard, zeker voor medewerkers met extra rechten.

Uiteindelijk is de les simpel: een CRM is geen administratietool, maar een kluis met je meest gevoelige data. En elke kluis is zo sterk als de manier waarop jij ‘m hebt ingericht: wie er naar binnen mag, wat iemand kan meenemen en hoe snel je afwijkend gedrag ziet. ShinyHunters hoefde geen geavanceerde zero-day te vinden - ze hoefden alleen een mens te overtuigen en te profiteren van een omgeving die niet als kritiek werd behandeld. Als je één ding meeneemt: maak van je CRM een systeem dat je zou verdedigen alsof je bedrijf ervan afhangt. Want in de praktijk is dat ook zo.

Ontvang elke week - op maandag - het beste van BusinessWise in je mailbox. Schrijf je hier nu gratis in en maak kans op een Apple Watch!