Ask Me Anything, stel al je vragen over Cybersecurity!

[Martijn Korse - AMA]

🙋Wil jij alles weten over hoe jij je bedrijf veilig maakt? Weet jij ook niet waar je moet beginnen met cyberveiligheid en weerbaarheid?

 

🟢Komende donderdag beantwoord ik van 12.00 tot 14.00 uur al jullie vragen live tijdens deze AMA over Cybersecurity!

Je kunt in dit topic ook nu al je vragen stellen, dan beantwoord ik ze donderdag.

 

👋Nog wat meer info over mijn expertise:

Ik ben ondernemer met 25+ jaar ervaring in IT, waarvan 10 jaar als security expert. Via mijn bedrijf Rhite werk ik voor klanten variërend van grote internationale organisaties tot kleine lokale bedrijven en overheden. Op het gebied van security richt ik me op applicatiebeveiliging, security testing, 3rd party security, risicobeoordelingen, security policies, DevSecOps (beveiliging voor ontwikkelteams) en meer recent ben ik ook actief in beveiliging op het gebied van AI. In mijn vrije tijd geef ik soms les op scholen over security, draag ik bij aan de ontwikkeling van standaarden, en doe ik regelmatig responsible disclosures (het melden van beveiligingsproblemen bij bedrijven).

 

[Inspiresta]

Top initiatief!

[S_GL___]

Hoe verloopt dit evenement? Via een live chat, teams of een Jitsi?

 

Vraagstukken rondom cybersecurity zijn hier goed in beeld, maar ik merk bij sommige partners wel dat zij niet serieus (kunnen?) omgaan met een informatielek en de risico's bagatelliseren. Dat balanceert dan precies op de scheidslijn tussen privacy en security, wat soms ook echt een vertrouwensbreuk levert waar ik mijn overige partners niet aan wil blootstellen. Het is vooralsnog op twee handen te tellen, maar ik heb potentiële klanten\partners wel de deur gewezen omdat hun informatiebeleid echt nergens op sloeg en voor mijn zaak waarneembare risico's creëerde.

 

Tegelijk is het bij een aantal van mijn veldcollega's erg moeilijk om te verwachten dat zij hun IT omgeving net zo robuust dichttimmeren als bijvoorbeeld een IBM of TNO. Dan neem ik enige risico's op een informatielek wel op de koop toe, maar probeer ik tegelijk het bewustzijn te vergroten over de schade die het verliezen van missie kritische informatie met zich kan meebrengen en toon ik situaties van soortgelijke ondernemingen die in de mist zijn gegaan.

Maar hoe breng je de ondernemers die niet als Netizens zijn opgegroeid en ook de tijd missen om zich te verdiepen nu op een intuïtieve wijze inzicht in de werkwijze en gevaren van datahoarders? Kunnen we onze partners wellicht helpen aan een model zoals OpenKAT zonder dat zij helemaal alu-hoedje gaan?

https://openkat.nl/#

 

12 oktober 2024 aangepast door Hans van den Bergh
Links naar commerciële partijen verwijderd

[Higherlevel]

Op 12-10-2024 om 11:12, S_GL___ zei:

Hoe verloopt dit evenement? Via een live chat, teams of een Jitsi?

Dank voor je bijdrage!

Via dit topic! Martijn zal donderdag alle vragen die hier worden gesteld (en al gesteld zijn) hieronder beantwoorden.

[mats_devr]

Hey Martijn,

 

Ik begin net met ondernemen, en ben bezig met een webshop voor software. Heb nog niet echt geld om echt iemand in te schakelen om mij te helpen met de beveiligng ervan, maar ik hoorde wel van wat mensen die ik ken die ook een webshop hebben dat ze wel eens zijn gehackt of dat er geprobeerd is om te hacken, dus ik weet niet echt wat nou de beste manier is/de gebruikele route om dit wel budgetvriendelijk te kunnen doen.

[Hans van den Bergh]

1 uur terug, mats_devr zei:

Hey Martijn,

 

Ik begin net met ondernemen, en ben bezig met een webshop voor software. Heb nog niet echt geld om echt iemand in te schakelen om mij te helpen met de beveiligng ervan, maar ik hoorde wel van wat mensen die ik ken die ook een webshop hebben dat ze wel eens zijn gehackt of dat er geprobeerd is om te hacken, dus ik weet niet echt wat nou de beste manier is/de gebruikele route om dit wel budgetvriendelijk te kunnen doen.

 

Welkom op HL 

 

En, vooruitlopend op donderdag: Stel jezelf vooral de wedervraag wat 'budgetvriendelijk' is.

Als je gehackt bent, wat nu eenmaal bij slechtere beveiliging waarschijnlijker is, weet je niet wat de omvang van de schade gaat worden, maar één ding staat vast: die schade zal in ieder geval nooit 'budgetvriendelijk' zijn! 

 

15 oktober 2024 aangepast door Hans van den Bergh
Tikfoutje

[S_GL___]

Excellent vraagstuk Hans van den Bergh. En dan hebben we het nog alleen over de materiële schade. Maar wat doet het met consumer trust als de webshop van een aanbieder van software producten wordt gekraakt? Valt dat te kwantificeren? Mooie vraag voor Martijn Korse - AMA

[Martijn Korse - AMA]

Hallo allemaal!

 

Om te beginnen: ontzettend leuk om hier vandaag aan deze Ask-Me-Anything mee te doen. Ik heb er veel zin in.

Mocht ik straks ergens in mijn antwoorden niet helemaal duidelijk zijn of een antwoord geven wat voor je gevoel niet helemaal goed in gaat op je vraag, laat het me dan vooral weten!

 

S_GL___ heeft afgelopen weekend al een interessant onderwerp aangesneden. Als ik het goed samenvat dan gaat het om de problematiek van een ondernemer die zaken wil doen met partijen die hun security niet op orde lijken te hebben, er ook te weinig van af weten en daarmee ook voor de ondernemer zelf een risico vormen. Hoe ga je daar mee om en hoe voed je die op?
Ik ga daar bij even uit van het perspectief van de ondernemer die (toch) zaken met ze wil doen en laat bvb overheidsinitiatieven even buiten beschouwing omdat het hier om jullie als ondernemer draait.
Allereerst hebben de security maatregelen die je zelf neemt en die je van externe partijen of diensten verwacht heel erg te maken met je 'risk appetite': welke risico's vind je acceptabel en welke niet. En dit is altijd een afweging van heel veel factoren, wat soms erg lastig kan zijn - zeker als iets veel lijkt op te leveren. Zoals een leverancier met een unieke of goedkope dienst bijvoorbeeld, die erg goed voor je onderneming kan zijn. Dit is voor iedere onderneming anders, dus het is vooral iets waar je als bedrijf zelf goed over na moet denken, waar voor jou de grens ligt.
En wanneer je dan in een situatie komt die eigenlijk niet acceptabel is, dan kun je een paar dingen doen: de relatie stop zetten (of niet aan gaan), zoals al werd benoemd. Maar je zou ook eerst in gesprek kunnen gaan. Probeer eerst te achterhalen of deze partij er wel voor open staat om te verbeteren; is dat niet zo, dan weet je dat dit risico niet zal veranderen, maar als die partij daar wel voor open staat dan zou je daar afspraken over kunnen maken. Geef aan wat voor jou belangrijk is en kijk of er een termijn afgesproken kan worden waarbinnen ze orde op zaken stellen.
En om ook nog even op OpenKAT (voor de overige lezers: een tool die geautomatiseerd naar kwetsbaarheden op zoek gaat) in te gaan: ik weet niet hoe succesvol dat is, want als ze weinig feeling met security hebben dan zal daar acabadabra uitkomen; en degene die wel snappen wat daar uit komt, daar zul je waarschijnlijk ook geen moeilijke gesprekken mee hebben. Wat je ook kan overwegen is een pentest: een ethical hacker die op zoek gaat naar kwetsbaarheden en die vervolgens ook kan uitleggen wat de gevaren zijn. Die kan ook als onafhankelijke partij gezien kan worden. Ik zie het in de praktijk ook nog wel eens gebeuren dat de afnemer van de dienst hier voor betaalt met als voorwaarde dat alles wat er uitkomt wordt opgelost door de leverancier. Maar of die investering het waard is zal per geval verschillen.

[Martijn Korse - AMA]

mats_devr heeft ook al een herkenbaar probleem gepost: het gevaar van een website/webshop omdat die gehackt kunnen worden. En heel specifiek: hoe kun je dit nu veilig doen zonder daar ontzettend veel geld aan uit te geven?

 

Als ondernemer ben je al snel geneigd heel veel zelf te doen - je bent immers ondernemer! En dat is leuk, want je leert er ontzettend veel van en het scheelt een hoop kosten als je iets zelf kan doen ipv iemand in te huren of iets aan te schaffen.
Aan de andere kant levert het natuurlijk ook de meeste waarde op als jij je als ondernemer kan focussen op de dingen waar je goed in bent, want je komt al snel om in het werk - zeker als je net begint. En het gevaar van websites is wel dat er eigenlijk ontzettend veel bij komt kijken, zeker als je wil dat die veilig zijn. Dus zolang je op het niveau zit dat je dit zelf nog niet kan overzien zou mijn advies toch zijn: niet zelf doen, of in ieder geval iemand mee laten kijken. De ellende kan namelijk erg groot zijn als je wel gehackt wordt: de herstelkosten, gemiste inkomsten en niet te vergeten de reputatieschade.

Maar dan heb ik nog niet echt antwoord gegeven op de vraag. Budgetvriendelijk is natuurlijk een vrij subjectief begrip en ik kan ook niet goed inschatten welke mate van vrijheid je precies wil en waar je wel zelf invulling aan kan geven. Dus ik benoem gewoon een paar opties:

Om te beginnen zou je naar een online dienst op zoek kunnen gaan (ook wel SaaS - Software as a Service). Dan wordt eigenlijk alles uit hande genomen, dus ook de beveiliging. Ik ken deze markt niet goed, maar ik kan me voorstellen dat er webshops zullen zijn die met percentages werken waardoor de kosten dus altijd in verhouding zijn met wat je omzet. Dat kan vanuit die optiek budgetvriendelijk zijn. Vanuit een stukje continuiteit zou ik alleen wel van te voren onderzoeken óf en hóe je de data kan exporteren als je later wil overstappen naar een andere vorm van webshop. En let uiteraard ook op de reputatie van deze partij.

Vervolgens heb je oplossingen zoals wordpress (met plugins) of magento, die vaak als budgetvriendelijk bestempeld worden. Er zijn partijen dit 'managed' aanbieden, waarbij ze dus ook voor de veiligheid verantwoordelijk zijn - daarbij zou je even goed naar de reputatie van deze partijen moeten kijken. Dat kan een goeie tussenweg zijn waarbij je iets meer betaalt om het als dienst af te nemen, maar waarbij (als het goed is) het security aspect wel geborgd is.
Mocht je besluiten dit zelf te installeren en onderhouden: dan ben je daar natuurlijk zelf verantwoordelijk voor. Maar let op: de ironie is namelijk dat juist de platformen die populair zijn (omdat ze veel mogelijkheden bieden en weinig kosten) worden vaak gehackt en dat komt mede juist door die populariteit. Hoe meer er van een bepaald type software is, hoe meer slachtoffers je kan maken met 1 kwetsbaarheid in die software, dus dat is voor een kwaadwillende een hoger rendement, zeg maar. Wat dat betreft zijn het net ondernemers. Je kan je met dat soort oplossingen dus eigenlijk geen misstappen veroorloven. Iets als wordpress is redelijk veilig te krijgen, maar heeft sowieso 'hardening' zoals dat heet nodig: aanpassingen aan installatie/configuratie om het echt goed veilig te krijgen en vereist continue aandacht én expertise. Alles goed up-to-date houden is superbelangrijk, want zodra er een kwetsbaarheid in ontdekt wordt zullen criminelen zo snel mogelijk toeslaan. Hoewel deze optie goedkoper is, zitten er dus wel weer meer risico's aan.

En mocht je zelf webshop-logica gaan programmeren maar niet veel van security weten, dan begeef je je echt wel op glad ijs denk ik. Je heb dan wel het voordeel dat aanvallers die met geautomatiseerde tools naar bekende kwetsbaarheden zoeken je waarschijnlijk niet zullen vinden, maar iemand met verstand van zaken die het even onder de loep neemt is natuurlijk een ander verhaal. Hoeveel risico je daarmee loopt hangt natuurlijk ook weer af van de data die je hebt, de populariteit, etc.

 

Over het algemeen geldt in de IT eigenlijk wel dat er meestal een negatieve correlatie is tussen goedkope oplossingen en de veiligheid er van (of de privacy aspecten!). Het is lastig om in een post alle aspecten die hier aan kleven te behandelen, want het is eigenlijk een heel groot onderwerp, maar ik hoop dat je zo toch wat wijzer bent geworden.

17 oktober 2024 aangepast door Martijn Korse - AMA

[Martijn Korse - AMA]

En nog een goede vraag van @S_GL___: valt consumer trust (of, het verlies daarvan als gevolg van een hack) te kwantificeren?

 

Het korte antwoord: ik denk het niet. Het hangt m.i. voor een groot deel af van andere factoren die op zich al niet goed te kwantificeren zijn zoals je communicerend vermogen. En dat is dan gelijk een belangrijke tip die ik wel wil geven: als je in-house niemand heb die sterk is in communicatie schakel dan iemand anders in die dit voor je doet. En denk ook van te voren over na wie je hier voor kan gebruiken zodat je zeker weet dat je die partij kan inschakelen als het nodig is (response-tijd is een andere belangrijke factor). Want ik denk wel dat communicatie de key is om niet aan zo'n hack onderdoor te gaan qua reputatieschade. Je zal hier een goede balans moeten vinden tussen voldoende en geloofwaardige transparantie en het niet te negatief laten klinken.

 

Gerelateerd hieraan en misschien ook een leuke tip: risico's op zich vallen wel redelijk te kwantificeren. Ik ben zelf erg gecharmeerd van de OWASP Risk Calculator als hulpmiddel daarvoor.

[S_GL___]

11 minuten geleden, Martijn Korse - AMA zei:

mats_devr Maar let op: de ironie is namelijk dat juist de platformen die populair zijn (omdat ze veel mogelijkheden bieden en weinig kosten) worden vaak gehackt en dat komt mede juist door die populariteit. Hoe meer er van een bepaald type software is, hoe meer slachtoffers je kan maken met 1 kwetsbaarheid in die software, dus dat is voor een kwaadwillende een hoger rendement, zeg maar. Wat dat betreft zijn het net ondernemers. Je kan je met dat soort oplossingen dus eigenlijk geen misstappen veroorloven. Iets als wordpress is redelijk veilig te krijgen, maar heeft sowieso 'hardening' zoals dat heet nodig:..

Een aanvullend issue is hierbij nog de vete die zich momenteel afspeelt tussen de WordPress bedenker en de WordPress Engine (twee verschillende partijen). Dat gedoe wil je als ondernemer liever niet tussen zitten. Stabiliteit is key in het aanbieden van je services, want we zijn al druk genoeg en willen de klant niet hoeven uitleggen waarom we 'onze' website sores niet kunnen oplossen.

[S_GL___]

21 minuten geleden, Martijn Korse - AMA zei:

....
Wat je ook kan overwegen is een pentest: een ethical hacker die op zoek gaat naar kwetsbaarheden en die vervolgens ook kan uitleggen wat de gevaren zijn. Die kan ook als onafhankelijke partij gezien kan worden. ...

 

Dat zou een uitstekende oplossing zijn, al zij het wat kostentechnisch minder populair.

In mijn vraag probeer ik wat meer in te zoomen op het aspect privacy. We denken dat dit vaak voor consumenten is bedoeld, want de techgiganten kijken altijd over je schouder mee om tijdig die leuke schoenen aan te bieden.

Maar er zijn ook databrokers die met een bepaalde werkwijze bedrijfsgevoelige informatie verzamelen. Daarachter zit best wat pittige profilering, althans zo krijg ik het via de wandelgangen door.

Wat gebeurt er achter de schermen en kan voor een small office home office situatie (SOHO routers) wel een dingetje worden? (de eerdere links die ik deelde (naar NGO's en dus niet commerciële instellen) gaven daar wat context bij, maar die plaats ik niet nog een keer)

https://www.ncsc.nl/actueel/weblog/weblog/2024/expertblog-consumentenrouters-doelwit-van-meerdere-botnets

[Martijn Korse - AMA]

2 minuten geleden, S_GL___ zei:

Een aanvullend issue is hierbij nog de vete die zich momenteel afspeelt tussen de WordPress bedenker en de WordPress Engine (twee verschillende partijen). Dat gedoe wil je als ondernemer liever niet tussen zitten. Stabiliteit is key in het aanbieden van je services, want we zijn al druk genoeg en willen de klant niet hoeven uitleggen waarom we 'onze' website sores niet kunnen oplossen.

 

Het voordeel van zo'n populair open-source product is dan wel weer dat er een hele grote community achter zit, dus over de continuïteit zou ik me dan weer geen zorgen maken.

Wanneer je besluit open-source te gebruiken kunnen daar altijd kwetsbaarheden in opduiken, dus dat is iets om rekening mee te houden en omdat je geen contract heb kun je weinig/geen invloed uit oefenen op de makers. Let daarom bij het gebruiken van open-source op zaken zoals: is er een actieve community; is de bron (waar het gedownload kan worden) vertrouwd; zijn er kwetsbaarheden geweest in het verleden en hoe ernstig waren die en hoe snel zijn die verholpen. En let uiteraard ook goed op de licentie! Want niet alle open-source is per definitie gratis.

[Chalyne]

Hi Martijn,

Ik vroeg me af welke cybersecuritymaatregelen je kunt nemen als je je online webshop wilt beschermen tegen een DDoS-aanval, en hoe zorg je ervoor dat je website tijdens een aanval bereikbaar blijft voor klanten? Ik heb hier een keer een artikel over gelezen en ik wil dat graag voor zijn, mocht het een keer voorkomen :).

[Martijn Korse - AMA]

1 minuut geleden, Chalyne zei:

Hi Martijn,

Ik vroeg me af welke cybersecuritymaatregelen je kunt nemen als je je online webshop wilt beschermen tegen een DDoS-aanval, en hoe zorg je ervoor dat je website tijdens een aanval bereikbaar blijft voor klanten? Ik heb hier een keer een artikel over gelezen en ik wil dat graag voor zijn, mocht het een keer voorkomen :).

 

Dit komt natuurlijk vaak in het nieuws! DDoS-aanvallen. Dus leuk om even op in te gaan.

 

Voor de lezers die hier niet bekend mee zijn: DDOS staat voor Distributed Denial of Service: een aanval die van heel veel verschillende plekken tegelijkertijd gelanceerd wordt met als enige doel een online dienst 'plat te leggen' zodat het niet meer bereikbaar is.

 

Als kleine ondernemer kun je hier eigenlijk niets tegen doen. In ieder geval niet zelf. De kosten van DDoS aanvallen zijn zo ontzettend laag en de middelen die je moet inzetten zo ontzettend hoog dat daar gewoon niet tegen op te boksen is.

De vraag is natuurlijk wel: waarom zou iemand jouw webshop DDoSsen? Als kleine website heb je daar over het algemeen eigenlijk weinig voor te vrezen, tenzij er bepaalde relaties zijn waardoor je toch wat meer in de picture staat of je op een of andere manier met iets (politiek) gevoeligs geassocieerd kan worden. Want een aanvaller verdient er zelf niets mee: het is eigenlijk alleen maar een soort cyber-pesten.

 

Wil je toch iets tegen DDOS doen dan zul je naar een hosting provider moeten gaan die hier iets voor biedt. Vaak zijn dit soort providers zelf ook weer aangesloten bij een overkoepelend initiatief omdat zelfs voor dit soort partijen ddos aanvallen vaak te groot zijn om alleen tegen te bewapenen. Maar daar hangt uiteraard wel een prijskaartje aan.

 

Een andere mogelijkheid is het hosten 'in de cloud', waarbij je je infra tijdelijk laat opschalen als dat nodig is. Let alleen heel goed op de kosten! Als je setup zo is opgezet dat het automatisch meeschaalt bij veel bevragingen dan kunnen die kosten echt enorm oplopen. Dus zet daar alerts op en stel maximums in. Laat dat dus altijd door iemand doen die weet hoe dit soort dingen geconfigureerd moeten worden.

[Martijn Korse - AMA]

13 minuten geleden, S_GL___ zei:

 

In mijn vraag probeer ik wat meer in te zoomen op het aspect privacy. We denken dat dit vaak voor consumenten is bedoeld, want de techgiganten kijken altijd over je schouder mee om tijdig die leuke schoenen aan te bieden.

Maar er zijn ook databrokers die met een bepaalde werkwijze bedrijfsgevoelige informatie verzamelen. Daarachter zit best wat pittige profilering, althans zo krijg ik het via de wandelgangen door.

Wat gebeurt er achter de schermen en kan voor een small office home office situatie (SOHO routers) wel een dingetje worden? (de eerdere links die ik deelde (naar NGO's en dus niet commerciële instellen) gaven daar wat context bij, maar die plaats ik niet nog een keer)

https://www.ncsc.nl/actueel/weblog/weblog/2024/expertblog-consumentenrouters-doelwit-van-meerdere-botnets

 

Als ik het artikel even vluchtig doorblader dan gaat het met name om het beveiligingsaspect met de aanbeveling om firmware goed up to date te houden en de exposure naar het internet waar mogelijk te minimaliseren. (iets wat ik kan onderstrepen)

 

Ik denk daarom dat ik niet precies begrijp welke privacy aspecten mbt profilering van bedrijven je precies op doelt en wat dan precies de vraag is?

[S_GL___]

Dit is lastig te verklaren als mijn links weer worden verwijderd en duidelijke longreads kosten ook wat tijd. Waar het om gaat is dat allerlei apps, mails, wifi location tracking, tagging etc. een spoor van metadata achter laten. Meerdere van mijn veldcollega's gebruiken daarom geen LinkedIn, maar voor mij is dat wat lastiger en ik denk een goed beeld te hebben van hoe alles daar werkt.

Tijdens de gevoelige gesprekken (die echt ieder normaal opererend bedrijf wel eens heeft) kun je echter nog steeds niet vragen om telefoons uit de vergadering te laten of de airplane modus in te zetten zonder het label 'wappie' te ontvangen. Met andere woorden, een privacy bewuste houding is nog niet genormaliseerd. Dit gaat niet over undercover operaties o.i.d., maar wel over zaken die kwetsbare doelgroepen nadelig kunnen beïnvloeden.

 

Dus terwijl ik wel verantwoordelijk ben voor de verwerking van klant- en bedrijfsgegevens, blijven gesprekspartners nog (onbewust) gespreksdetails afstaan omdat ze zo'n leuke fotofilter app hebben gedownload met toegang tot de microfoon

Een volwassen omgang met IT en cyber vraagstukken voelt voor sommigen misschien als een 'ver van mijn bed show', maar tegelijk zou je ook kunnen verstaan dat de beste bedrijfsspion ondertussen in je broekzak zit. Vooral in informele settings creëren we daardoor een panopticon effect bij de partners die wel wat inzichten en ervaringen hebben opgedaan.

De vraag is dan, hoe maak je voor (beginnende?) ondernemers duidelijk dat de scheiding tussen werk en privé ook belangrijk is voor hun zakenpartners?

[Jasper Schöpping]

Ik ben zelf actief als videomaker en fotograaf, en heb een NAS thuis aanstaan met al mijn media. Ik beheer die zelf, en er zijn heel veel opties wat betreft veiligheid en verbindingen. Sommige snap ik, anderen minder :P Dat die verbonden is met het internet is vooral handig wanneer ik on-the-go via een app bij mijn bestanden kan en ze versturen. 

 

Mijn vraag is eigenlijk, zijn er richtlijnen voor het veilige gebruik van een NAS en zijn er specifieke risico's waar ik voornamelijk op moet letten?

[Martijn Korse - AMA]

Bedankt voor de toelichting S_GL___!

 

Als ik de kern goed samenvat dan gaat het je dus vooral om de middelen die zakenpartners inzetten waarbij de zorg zit wat er met die data gebeurt.

 

Een heel actueel probleem: want met de komst van AI schieten de 'handige tools' als paddenstoelen uit de grond!

 

Ik denk dat er twee aspecten aan die data zitten: 1) privacy (voor jou als individu) en 2) security die ook voor jouw bedrijf belangrijk kan zijn. Dat zit dan meer op de as van bedrijfsgevoelige data.

 

Ook zakenpartners moeten jouw privacy gewoon respecteren. Er wordt soms ten onrechte gedacht dat er geen sprake kan zijn van persoonsgegevens in een zakelijke context, maar dat is niet waar. Je mag zakenpartners daar zeker op aanspreken en als ze een beetje professioneel zijn, dan zullen ze daar op een goede manier mee om gaan.

 

Qua security zit er voor je bedrijf natuurlijk ook een risico aan. Maak daarom goede afspraken met je zakenpartners. Zij moeten kunnen aangeven met welke partijen zij data delen en hebben een verantwoordelijkheid om er voor te zorgen dat zij de juiste overeenkomsten met deze partijen hebben om te borgen dat hier zorgvuldig mee omgegaan wordt.

 

Maar er zit natuurlijk wel een zekere grens aan. Dat iemand ook een privé telefoon bij zich heeft met allerlei apps is iets wat je niet kunt voorkomen en ook niet naar kan vragen. Als er heel gevoelige content gedeeld wordt dan moet je er denk ik van uit gaan dat er een risico kan zijn en in zulke gevallen aangeven dat je het gezien die context prettig vindt als dit uitgezet wordt. Dit is weer sterk afhankelijk van de risk appetite die ik eerder al benoemde. En als die zakenpartners qua risk appetite niet op 1 lijn zitten, dan moet je denk ik gewoon concluderen dat er niet zo'n goede match is.

 

[Martijn Korse - AMA]

43 minuten geleden, Jasper Schöpping zei:

Ik ben zelf actief als videomaker en fotograaf, en heb een NAS thuis aanstaan met al mijn media. Ik beheer die zelf, en er zijn heel veel opties wat betreft veiligheid en verbindingen. Sommige snap ik, anderen minder :P Dat die verbonden is met het internet is vooral handig wanneer ik on-the-go via een app bij mijn bestanden kan en ze versturen. 

 

Mijn vraag is eigenlijk, zijn er richtlijnen voor het veilige gebruik van een NAS en zijn er specifieke risico's waar ik voornamelijk op moet letten?

 

Leuke vraag Jasper! Zeker omdat heel veel mensen tegenwoordig thuis zo'n NAS hebben staan en deze vaak voor zowel werk als privé gebruikt wordt. En daarom zeker aandacht verdient!

 

Dat deze NAS apparaten een risico vormen mag duidelijk zijn: zelfs mensen uit mijn vakgebied zijn wel eens in het nieuws geweest omdat er data via de NAS die thuis staat naar buiten is gelekt. En dat geeft denk ik gelijk aan dat je hier mee op moet passen, zeker als je er wat minder verstand van hebt.

 

Alles wat aan het internet hangt vormt een risico, hoe je het ook wendt of keert. En bij zo'n NAS geldt dan ook: het is een consumer product, dus heeft bij de leverancier niet altijd de security aandacht die een professioneel product heeft. Wees je daar altijd van bewust.

Als we het dan hebben over richtlijnen dan zijn deze belangrijk:

De eerste is makkelijk: altijd zorgen dat je up to date bent! (ik heb het al benoemd, maar kan het toch niet vaak genoeg benoemen). Er zijn scanners die het hele internet af gaan en alles in kaart brengen wat er te vinden valt. Voorbeelden zijn Shodan en Censys. Wanneer er een keer een kwetsbaarheid in een product ontdekt wordt dan is het voor kwaadwillenden op deze manier heel eenvoudig om ip-adressen op te sporen waar zo'n product achter zit. En wanneer je dan niet goed up-to-date bent is de kans groot dan je hier slachtoffer van wordt.

En als je product end-of-life is (en dus geen updates meer ontvangt): gelijk vervangen! En het liefst ruim voor die datum. Want die vormen dus een heel groot risico.

 

De tweede is wat lastiger: goeie hardening! Dat benoemde ik ook al eerder in een post, maar vaak zijn die voor een deel product-specifiek, dus die is wat lastiger om je goede handvatten voor te geven en daar is vaak ook meer kennis voor nodig. Als je iemand in je omgeving/netwerk hebt met kennis van zaken zou je kunnen vragen of die er misschien een keer naar kan kijken? En als tegenprestatie maak je een mooie foto van ze ;-)

 

Een andere optie die het risico voor een groot deel mitigeert, is om de toegang vanaf het internet dicht te zetten - want die is het gevaarlijkst. Daarmee kan je van buitenaf namelijk binnenkomen. Ik snap dat je dan functionaliteit verliest, maar wellicht valt dat op een andere manier op te vangen? Veel NAS apparaten hebben bvb de mogelijkheid om met externe bronnen te syncen dus je zou dan ook een app van een online opslagdienst kunnen nemen en daar buitenshuis mee syncen vanaf je telefoon en dan thuis alles weer vanaf je NAS ophalen (want daar heb je alleen een uitgaande connectie voor nodig). Moet je natuurlijk wel een betrouwbare online dienst uitkiezen ;-)

 

Een laatste advies is om altijd even wat achtergrond informatie op te zoeken: is het een betrouwbaar merk? Kies iets uit die security hoog in het vaandel hebben staan, goeie support leveren en bovenop hun updates zitten. Vaak kost dat iets meer, maar voorkomt wel een hoop ellende. 

 

Oh, en mocht je toch iets van buitenaf open willen zetten en je product ondersteunt het, zet dan altijd two-factor authenticatie aan!

(geldt uiteraard voor alles - niet alleen je NAS)

17 oktober 2024 aangepast door Martijn Korse - AMA