Het is de vraag wanneer er iets misgaat

[Higherlevel Admin]

Ethisch hacker Sander van den Broek:
‘HET IS DE VRAAG WANNEER ER IETS MISGAAT’

 

Er zijn talloze cybercrime bedreigingen. We zetten er een paar op een rij: hacking, DDos aanvallen, ransomware, malware, phishing, identiteitsfraude, pasword cracking, botnet, defacing en cyberstalking. Een nauwelijks te bevatten hoeveelheid en het komt nog veel vaker voor dan wij als ondernemer of medewerker weten. Een hele goede reden dus om ervoor te zorgen dat jou dat niet overkomt.

 

Testen door ethisch hacken
Iemand die er wel alles van weet, is Sander van den Broek. Sander is van beroep ‘Ethisch hacker’. Mooi woord ethisch hacker. Het betekent eigenlijk testen van veiligheid, ontdekken of en hoe iemand met slechte bedoelingen misbruik van je site zou kunnen maken. Voordat je live gaat uiteraard. Sander werkt bij de rijksoverheid. Daar ontwikkelt, beheert en onderzoekt hij de veiligheid van applicaties. En voor Sander is de vraag niet óf er iets misgaat, maar wanneer er iets misgaat.

 

Wapen je tegen misbruik
Sander geeft aan dat je al vanaf de start van de ontwikkeling van je applicatie moet wapenen tegen misbruik: ‘Het is heel makkelijk om de dingen niet helemaal goed te doen. Dat begint bij het bedenken van wachtwoorden, software zonder updates en een onveilige configuratie. Het klinkt misschien niet zo heel zwaar, maar ondertussen zijn er wel programma’s waarbij hackers meldingen krijgen van applicaties die niet goed beveiligd zijn. En dan ben je zo de klos, want je weet niet eens dat je gehackt bent. En dan liggen bijvoorbeeld al je klantgegevens op straat of zijn je systemen geïnfecteerd met ransomware’.

 

Hij vervolgt: ‘Voordat je begint moet je je afvragen of je wel genoeg kennis in huis hebt voor veilige transacties, zoals betalingen. Is dat niet zo, besteedt het dan uit. Dat doe ik zelf ook. En regel het vooraf, niet achteraf. Het begint allemaal bij bewustzijn en realiseer je dat je cyberveiligheid zo sterk is als de zwakste schakel in je applicatie’.

 

Een extra horde voor hackers
Sommige aanvallen zijn redelijk makkelijk te ontdekken, zoals bijvoorbeeld phishing. Dan verschijnt er een mailtje van een adres wat je niet kent, of er staat 1 letter verkeerd in de URL. Je kunt mail beter alleen openen als je zeker weet dat het van een goed adres komt. Dat zijn de quick wins. De veiligheid van je website kun je ook verhogen met speciale programma’s.  Bijvoorbeeld een wachtwoord beheer programma. Dat is software die wachtwoorden aanmaakt en deze ook bewaakt. Multi-factor authenticatie is ook een goede manier. Naast je gewone inloggegevens zoals gebruikersnaam en wachtwoord is er dan een extra controle. Die vraagt bijvoorbeeld om een extra code of vingeridentificatie. Dit is een extra horde voor hackers. Het raden of lekken van wachtwoorden is dan niet meer voldoende voor een hacker om iets te misbruiken.

 

Noodplan
Je kunt nog meer doen in de voorbereiding. Sander noemt een noodplan waarin beschreven staat wat er moet gebeuren als er iets fout gaat. Een soort handboek, waarin je precies beschrijft welke stappen je moet volgen. Stap 1 is het goed monitoren van de aanwezige systemen, applicaties en websites. Wanneer je dat goed hebt ingeregeld kom je er sneller achter wanneer een hacker in je systeem is gekomen, of probeert te komen. Hierdoor kun je sneller handelen. Sterker nog, als je er nooit achter komt door een gebrek aan monitoring, kun je helemaal niet handelen.

 

‘Beoordeel de impact van het incident. Wie moet je informeren? En ga te rade of je je apparatuur moet afsluiten of niet. Vergeet niet dat jij weliswaar het slachtoffer bent, maar jij blijft verantwoordelijk voor de eventuele schade die anderen hierdoor oplopen. Zorg dat je altijd back-ups maakt, die heb je nodig voor de herstelfase. En zorg dat je goede documentatie hebt, zodat je weet welke acties je moet ondernemen. Daar bestaan ook opleidingen voor. In de voorbereidingen kun je heel veel doen om de schade te beperken. Maar daar moet je je dan wel van bewust zijn.’

 

‘HET IS DE VRAAG WANNEER ER IETS MISGAAT’
Ook de overheid hecht veel belang aan cyberveiligheid. Bij de Rijksdienst voor Ondernemend Nederland kun je tussen 1 september en 16 oktober terecht voor de Subsidieregeling Cyberweerbaarheid.

 

Handig voor wat houvast
Specifiek voor de ontwikkeling van webapplicaties heeft de NCSC de volgende informatie. https://www.ncsc.nl/documenten/publicaties/2019/mei/01/ict-beveiligingsrichtlijnen-voor-webapplicaties

Ook goed om te lezen:
https://cert.be/nl/crisiscommunicatie-bij-een-cyberaanval
https://www.ncsc.nl/onderwerpen/basismaatregelen
https://www.ncsc.nl/onderwerpen/ransomware

 

 

 

[Ondernemeneer]

Heel goed dat dit onder de aandacht wordt gebracht! Denk dat dit door een aanzienlijk deel van de ondernemers compleet wordt onderschat.

[Robert Jessen]

De toenemende hoeveelheid krantenberichten over bedrijven die phishing slachtoffer zijn geworden in binnen en buitenland is schrikwekkend. Vroeger maakten we ons druk om een virus en we voelden ons veilig wanneer we vredig naar de werkende virusscanner zaten te kijken (wat overigens de meest zinloze tijdverspilling was, maar wel leuk) Maar phishing is 10 maal zo geraffineerd, de enige bescherming is weten te zien welke emails niet pluis zijn

30 november 2023 aangepast door Robert Jessen

[vloerengilde]

reden om zo veel mogelijk nog in de schoenendoos te bewaren. zal lastiger zijn voro de grote administratie.

[Hans van den Bergh]

2 uur geleden, vloerengilde zei:

reden om zo veel mogelijk nog in de schoenendoos te bewaren. zal lastiger zijn voro de grote administratie.

 

Met de verwachting van zonnestormen misschien wel een goed idee...