Waarom is aandacht voor IT security belangrijk?

Cyber Security heeft een steeds grotere plaats in het bedrijfsleven. Het zijn niet meer de grote bedrijven die maatregelen (moeten) nemen. Juist ook middelgrote en kleine bedrijven worden slachtoffer van cybercriminelen. Dit heeft alles te maken met de digitalisering. Kleinere bedrijven plaatsen hun data steeds vaker op het internet, bijvoorbeeld via een cloudopslag. Ook zijn onpremise datadragers steeds vaker toegankelijk via het internet, wat het risico op hacken verhoogd.

Europol, de Europese Commissie enl internationale internetbedrijven zijn een aantal jaren terug een initiatief gestart: ‘No More Ransom’. Op hun website publiceren zij ‘decryption tools’, waarmee u gratis een hack ongedaan kunt maken.

Deze tools zijn er helaas alleen voor malware die al eens zijn ontsleuteld. Echter, er zijn in 2021 al 191 miljoen nieuwe malware samples gevonden. 93% Van de malware is polymorphic. Dit betekent dat de code van de malware zichzelf kan aanpassen om niet gedetecteerd te worden. Dit maakt een standaard decryption tool praktisch onbruikbaar.

Uit een rapport van Imperva en andere organisaties blijkt dat 89.8% van de ondervraagde bedrijven in Spanje in 2021 is geïnfecteerd met malware. De tabel op de volgende pagina laat het percentage zien van bedrijven die zijn geïnfecteerd in 2019 per land.

Het is niet bekend welk percentage van bedrijven in Nederland geïnfecteerd is met malware. Vermoedelijk ligt het rond de 50%. En dat is dan van bedrijven die weten dat ze geïnfecteerd zijn, of waar bij een onderzoek bleek dat er geïnfecteerde bestanden aanwezig zijn. Nederland is in Europa wel koploper met het melden van datalekken. In de eerste helft van 2018 werden 5430 datalekken gemeld. Het hiernaast weergegeven figuur komt uit hetzelfde rapport en laat zien welk onderdeel van de IT-structuur het meest getarged wordt.

Met andere woorden: het is belangrijk dat u uw beveiliging op orde heeft. Hieronder geven wij een paar handvatten om uw beveiliging naar een hoger niveau te tillen. Sommige van deze maatregelen zijn gratis, anderen vergen een investering. Uiteindelijk bieden al de voorgestelde maatregelen een garantie tegen bestaande malware, maar helaas niet tegen toekomstige malware. Daarom is het belangrijk om van tijd tot tijd een revisie te doen van uw internet security beleid. Wij helpen daar graag bij.

Beleidsmatige maatregelen

• Zorg dat u weet waar uw gegevens zich bevinden: bij welk datacenter zijn ze opgeslagen? In welk land bevindt zich dit datacenter en valt deze bijvoorbeeld onder de Europese Wetgeving of daarbuiten? Welke gegevensverwerkers hebben toegang tot deze data? Denk aan Google Drive, Dropbox, webapplicaties die u gebruikt, etc. Maak hiervan een overzicht en verwijder data indien dit niet noodzakelijkerwijs dient te worden opgeslagen op een externe server (Cloud);
• Voer audits uit op codes en services van derden (denk aan advertenties of apps/plugins op uw website). Voer periodiek een websitescan uit en laat audits uitvoeren binnen uw bedrijf om te onderzoeken of uw beveiliging nog up-to-date en toereikend is;
• Zorg voor Security Awareness en laat uw personeel regelmatig trainen in het herkennen van en omgaan met verdachte mails (phishing), websites, e.d.

Accounts / gebruikers

• Implementeer multifactor-authenticatie voor gebruikers die zich aanmelden bij webapplicaties en de onderliggende website-infrastructuur;
• Wijzig standaard gebruikersnamen en wachtwoorden van leveranciers. Standaard wachtwoorden van leveranciers zijn vaak niet veilig en regelmatig terug te vinden op het internet. Denk aan wachtwoorden als ‘Welkom2021’, e.d.;
• Schakel accounts uit die niet langer nodig zijn, zoals gastaccounts of individuele gebruikersaccounts die niet meer worden gebruikt. Mocht een medewerker niet langer zijn gebruikersaccount gebruiken, zorg dan dat deze wordt overgeheven naar een andere medewerker of dat deze wordt verwijderd.
• Let op welke apps uw werknemers gebruiken. Het kan verleidelijk zijn om, als een werknemer een bepaalde functionaliteit mist, snel even een gratis webapplicatie te gebruiken. Denk aan het converteren van een bestand of bewerken van een afbeelding. Zorg dat dit altijd via de ICTafdeling gaat en dat u de controle houdt over welke apps worden gebruikt en hoe;
• Zorg ervoor dat gebruikers zo min mogelijk rechten hebben op de webserver (inclusief admin en serviceaccounts).

Technische maatregelen

• Implementeer een ‘web application firewall’ (WAF). Een WAF filtert, bewaakt en blokkeert HTTP(S)-verkeer van en naar een web toepassing. Een WAF onderscheidt zich van een reguliere firewall doordat een WAF de inhoud van specifieke web toepassingen kan filteren, terwijl reguliere firewalls dienen als een filter tussen servers en werkstations;
• Zorg voor load balancing. Dit doet u doorgaans door een virtuele server in te richten die is verbonden met verscheidene fysieke servers. In het geval van bijvoorbeeld een DDoS aanval, kan de rekenkracht van verschillende servers worden gecombineerd om de website en applicaties bereikbaar te houden. Zo voorkomt u dat de enige server waarop uw website of applicatie draait crashed. Nu kan er een server crashen, maar direct worden overgeschakeld op andere servers;
• Controleer en harden configuraties op basis van security checklists die specifiek zijn voor elke toepassing (bijv. Apache, MySQL, etc);
• Gebruik whitelists voor toepassingen en schakel modules of functies uit die niet noodzakelijk zijn;
• Gebruik netwerksegmentatie en segregatie. Netwerksegmentatie en -segregatie maken het voor aanvallers moeilijker om zich tussen netwerken te verplaatsen. Als u de webserver bijvoorbeeld in een gedemilitariseerde zone (DMZ) plaatst, wordt het netwerkverkeer tussen netwerken beperkt;
• Bescherm middelen op de webserver met meerdere verdedigingslagen (bijv. beperkte gebruikerstoegang, codering in rust, een firewall, etc). Een beveiligingsmaatregel is doorgaans gemakkelijk te doorbreken. Verschillende maatregelen die tegelijk worden ingezet maken het veel moeilijker om uw systemen te hacken;
• Patch-systemen op alle niveaus: van webapplicaties en backend database-applicaties tot besturingssystemen en hypervisors;
• Voer routineback-ups uit en test scenario's voor herstel. Ingeval van een ransomware-attack kunt u een backup uitvoeren en de gijzeling ongedaan maken met relatief weinig schade. Het kan nodig zijn dat u eerst de malware ontsleutelt. Informatie daarover kunt u vinden op de site van No More Ransom, een Europees samenwerkingsverband tegen ransomware. Daar worden verschillende decryptiontools aangeboden;
• Activeer logging op de servers en verzendt de logboeken naar een gecentraliseerde logboekserver (zoals een SIEM). Op die manier kan achteraf worden gezien waar en wanneer het mis ging. Zo kan bijvoorbeeld beter worden besloten welke stappen worden ondernomen om een hackaanval ongedaan te maken;
• Schoon gebruikers-input zoals speciale tekens en null-tekens op. Doe dit zowel aan de client-kant als aan de server-kant. Het opruimen van gebruikersinvoer is met name van cruciaal belang wanneer deze wordt opgenomen in scripts of queries. Hiermee voorkomt u dat bepaalde scripts kunnen worden ingevoerd in bijvoorbeeld een contactformulier. Een script bevat namelijk altijd speciale tekens, denk alleen al aan de ‘<...>’. Door speciale tekens te verbieden kan alleen platte tekst worden ingevoerd;
• Configureer de cache van uw website om de beschikbaarheid te optimaliseren. Het optimaliseren van de cache verhoogt de kans dat de website bij onverwacht grote hoeveelheden verkeer online zal blijven. Dit is ook een maatregel tegen bijvoorbeeld een DDoS aanval, waarbij de server waarop uw website draait zodanig zwaar wordt belast met verkeer, dat het de hoeveelheid data dat moet worden uitgewisseld niet meer aankan;
• Bescherm uw website, evenals de bezoekers door Security Headers te gebruiken. Websitebezoekers verwachten dat hun privacy wordt beschermd. Om ervoor te zorgen dat de communicatie tussen de website en de gebruiker versleuteld is, adviseren wij om altijd gebruik te maken van HTTPS en waar mogelijk HSTS af te dwingen.