Beveiliging gegevens

[StefanO]

Beste HL-ers, 

 

Zo nu en dan heb ik belangstelling van hackers die allerlei trucs uithalen om bij mijn gegevens te komen, soms lijkt dit vrij gericht te zijn. Tot op heden gelukkig niet succesvol en uiteraard klik ik niet op links in de mail en heb ik diverse maatregelen genomen om de boel te beschermen. Ik denk dat ik het goed op orde heb, maar in de krant lees ik dat zelfs IT-expert wel eens een achterdeurtje open laten staan.

 

Daarom mijn vraag: op welke manier kunnen wij MKB-ondernemers ons het beste beschermen tegen cyber-geboefte? En wat te doen als het schorem succes heeft?

[Norbert Bakker]

1 uur geleden, StefanO zei:

Daarom mijn vraag: op welke manier kunnen wij MKB-ondernemers ons het beste beschermen tegen cyber-geboefte?

1. Risico-en continuïteitsmanagement serieus nemen. Bijvoorbeeld door middel van een Cyberscan (zoals deze), en het opvolgen van de maatregelen. Een goede cyberscan laat je uitvoeren door een IT specialist, maar er zijn ook online tools zoals deze cyberweerbaarheid-test
2. Maak een cyberresponse plan  (ook onderdeel van een continuïteitsplan )
3. Oefenen, oefenen, oefenen. De mens is de zwakste schakel : zowel werknemers als ondernemers kunnen weerbaarder gemaakt worden tegen cybercriminaliteit en social engineering door opleiding en training

 

En bij voorkeur: niet doe het zelven, ook om bedrijfsblindheid te voorkomen. 

 

1 uur geleden, StefanO zei:

En wat te doen als het schorem succes heeft?

 

Zo snel mogelijk een cyberresponse team inschakelen.  

 

En ja, daarvoor zijn - uiteraard - verzekeringen, en die zijn niet duur. Een Cyber-add on dekking (eigen schade en kosten cyber response + 24/7 hulpverlening op afroep) is als aanvulling op de eigen (beroeps)aansprakelijkheidsverzekering kost een gemiddeld MKB bedrijf tussen de 200 en 300 euro per jaar.  Wat mij betreft is een cyberverzekering voor het MKB  tegenwoordig belangrijker dan een verzekering tegen brand of inbraak. 

[logistieke dienstverlening]

Zeker niet volledig, maar niet onbelangrijk een back up op een andere locatie en niet verbonden aan het netwerk.

[StevenK]

Naast de adviezen van Norbert: je bij de inrichting van IT systemen niet laten leiden door gemak, maar juist door voorzichtigheid. Beveiliging begint met de boel helemaal dicht te zetten en dan alleen die dingen open te zetten die open moeten zijn. En dat kan zowel technisch als logistiek echt een uitdaging zijn. En als je al systemen hebt die toch zo nodig aan het internet wil knopen, zorg dan dat die systemen op zijn minst met een 2-factor authenticatie (2FA) beveiligd zijn.  Een goed uitgangspunt daarvoor is dat je om toegang te krijgen iets moet weten (bijvoorbeeld gebruikersnaam + wachtwoord) en iets moet hebben (bijvoorbeeld een fysieke code-generator of de telefoon waarop via SMS een verificatiecode binnenkomt). 

Mijn ervaring is dat dit soort zaken in de regel fout gaat doordat systemen te ruimhartig aan het internet gekoppeld zijn en er daardoor te weinig zicht is op welke informatie benaderbaar zou kunnen zijn.

En dat begint vaak al met een e-mail account waarop 2FA niet aan staat, omdat dat zo lastig is. Maar vaak is het juist die e-mail waarop verificaties en wachtwoord-reset berichten binnenkomen. 

Juist nu in coronatijd waarin thuiswerken een veel grotere vlucht heeft genomen zie je deze risico's nog veel meer. Bijvoorbeeld met VPN verbindingen die zo ingesteld zijn dat ze automatisch verbinding maken. Ideaal om makkelijk te werken, maar tegelijkertijd zorgt dat ervoor als die laptop of alleen maar dat configuratiebestand, in handen van een ander komt de hele beveiliging zinloos is geworden.

Een ander heel belangrijk punt is dat beveiliging tegen inbraak één stap is, maar dat je ook goede registratie wil hebben van welke data/bestanden wanneer benaderd zijn. Die registratie moet ingericht zijn vanuit het uitgangspunt dat beveiliging doorbroken wordt. Want als je tegen een issue aanloopt, wil je weten wat er precies gebeurd is.

Ik heb eens een zaak meegemaakt waar de instantie die gehackt was die registratie niet had. Het gevolg was dat op het moment dat de hack er was ze alleen wisten welke servers / systemen gecompromitteerd waren, maar niet hoe of wanneer precies. De instantie kon daarom niet anders dan ervoor te kiezen alle systemen uit te zetten, opnieuw te installeren en daarna te voorzien van de laatste backup waarvan ze zeker wisten dat die niet gecompromitteerd was. Kosten: meer dan 2 ton. 

Uit het strafdossier bleek later dat de hackers niets meer hadden gedaan dan één tekstbestand achtergelaten met en tekst daarin 'Piet was here' (fictieve naam), maar juist omdat die registratie niet bestond, kon vanuit dataveiligheid bezien niet gegarandeerd worden dat er niet iets anders aangetast was.

[StefanO]

Dank allen voor de reacties. Ik had er niet bij stil gestaan dat je je voor de schade en herstel kon verzekeren. Verder zal ik alle accounts nog eens nalopen of we de maximale beveiliging aan hebben staan (2FA, etc.) en overal super sterke passwords gebruiken. Voor zover ik weet is dat het geval, maar moet eens in de zoveel tijd toch eens worden nagelopen. Waar we 3rd party services gebruiken, let ik altijd op de beveiliging. Zijn overigens allemaal gerenommeerde partijen die dit op het oog goed voor elkaar hebben. Kost ook wel wat dus mag je ook wel verwachten. Backups e.d. hebben we al, zit in de cloud omgeving ingebouwd. Daarnaast biedt de AV ook ransomware detectie e.d.

 

Ik was nog benieuwd wat voor tools (software, saas e.d.) jullie verder aanraden / zelf gebruiken. En ik overweeg ook om onze hele ICT even professioneel te laten nalopen om te zien of we ergens kunnen verbeteren. Zijn vast wel partijen in gespecialiseerd toch? Iemand tips?

[Norbert Bakker]

2 uur geleden, StefanO zei:

Zijn vast wel partijen in gespecialiseerd toch? Iemand tips?

Zie de eerste link in mijn reactie.