Door de digitalisering van bedrijfsprocessen zijn veel gegevens tegenwoordig online beschikbaar. Wanneer deze gegevens niet goed beveiligd zijn, is ‘et ‘hack van de dam’ en loop je het risico dat cybercriminelen jouw organisatie weten te vinden. Als dat daadwerkelijk gebeurt, krijg je niet alleen te maken met financiële schade, maar loopt het imago van jouw organisatie ook een stevige deuk op. Maar hoe kun je dat risico nou verkleinen? Hoe zorg jij ervoor dat de beveiliging binnen jouw organisatie zo goed mogelijk op orde is?
Wat is hacken?
Om je tegen gevaar te wapenen, is het nodig om te weten waar het gevaar uit bestaat. Laat ik daarom eerst maar eens toelichten wat we onder hacken verstaan. Hacken is een overkoepelende term voor online activiteiten die erop gericht zijn binnen te dringen in (apparaten in) een netwerk door de digitale of fysieke beveiliging te omzeilen. In veel gevallen is het oogmerk van een hacker om daar geld mee te verdienen. Dat kan door schade te veroorzaken die vervolgens tegen betaling gerepareerd wordt (ransomware). Er kan ook gebruik worden gemaakt van malware, die data vernietigt of de toegang voor een ander doel misbruikt. Denk aan verspreiding van virussen of het ‘minen’ van cryptovaluta.
Hackers kunnen ook gebruik maken van phishing. Dan word je verleid om op een link in een mailbericht te klikken en haal je zelf de ellende in huis. Want dan kun je zomaar te maken krijgen met virussen of diefstal van privacygevoelige gegevens. Een andere methode is een DDoS-aanval, waarbij het digitale verkeer in jouw IT-omgeving wordt overbelast, waardoor pc’s, laptops, netwerken en servers onbruikbaar worden voor de normale gebruikers. Al die technieken hebben het doel om een netwerk plat te leggen of over te nemen. Zo kunnen hackers vitale informatie buitmaken of aanpassen. Wat ooit begon als kattenkwaad van een paar handige tieners op een zolderkamer is intussen uitgegroeid tot een wereldwijde miljardenbusiness.
Waarom dan?
Waarom hackers hacken? Zoals gezegd is een belangrijke reden, net als voor andere criminelen, financieel gewin. En je hoeft niet eens zelf te hacken om er rijker van te worden. Op het Dark Web kun je voor relatief weinig geld kant-en-klare hackpakketten kopen die door slimme techneuten in elkaar zijn gezet. Dat daarmee anderen geschaad worden, is kennelijk niet van belang. De hackers zelf liggen daar overigens ook niet wakker van. Zolang de kassa rinkelt, vinden ze het allemaal prima. Dat is ook het geval wanneer hackers in opdracht van derden digitale bedrijfsspionage doen. Zo kan een organisatie op slinkse wijze concurrentievoordeel verkrijgen.
Toch komt het ook voor dat hackers geen financiële motieven hebben. Denk aan het platleggen van een netwerk door een groep of protestbeweging die het niet eens is met het beleid van een organisatie. Dan is er in feite sprake van digitale chantage. Het kan ook gaan om exposure, waar het bij activisme vaak om draait; om hacken voor een goed doel (white hat) en zelfs vanuit een overheid worden gedaan (Nation State actors of State Sponsored). En dan heb je ook nog ethische hackers die de digitale beveiliging met medeweten van een organisatie testen om zwakke plekken op te sporen zodat problemen voortijdig opgelost kunnen worden.
Aflevering 1
Scriptkiddies, cyberterroristen en digitale streakers.
Hoe herken je een hacker?
In de eerste aflevering ‘Scriptkiddies, cyberterroristen en digitale streakers. Hoe herken je een hacker?’ is onze salesmanager Jasper Glaser in gesprek met collega en securityspecialist Martijn Scheffel over de verschillende soorten hackers, hun beweegredenen, hackvoorbeelden uit de praktijk en maatregelen die organisaties kunnen nemen om hackers effectief buiten de deur te houden.
Uit de praktijk
Slachtoffer worden van hackers is echt serieus vervelend. Een bekend geval was de hack van de IT-omgeving van de Universiteit van Maastricht. Uit een onderzoek van Fox-IT bleek dat voorafgaand aan de hack phishing mails waren verzonden naar medewerkers van de Universiteit van Maastricht. Slechts enkele medewerkers klikten op een link in die mails, maar dat was genoeg om het onheil binnen te halen. Op die manier werd een virus geïnstalleerd op de (maar liefst 1650) servers van de universiteit. Van alle servers draaiden er 5 of 6 op iets verouderde software. Dat was voldoende voor de hackers om toegang tot de IT-omgeving te krijgen.
Al snel hadden ze de volledige controle over het netwerk. Daarna zijn ze voornamelijk bezig geweest met verkenningswerk. Door alle servers in kaart te brengen konden de hackers de ransomware optimaal uitrollen. Daarnaast hebben ze de back-up mogelijkheden van de universiteit bestudeerd. Uiteindelijk was het idee om het onmogelijk te maken voor de universiteit om terug te vallen op een back-up. De hackers namen rustig hun tijd en konden onopgemerkt van binnenuit hun plan beramen. Op de universiteit had niemand iets in de gaten. Op zich niet vreemd, want het duurt gemiddeld bijna 200 dagen voordat een hacker wordt ontdekt.
De aanval
Toen de hack was ontdekt, kwam de Universiteit van Maastricht naar buiten met het bericht dat het instituut slachtoffer van een cyberaanval was geworden. Na een lang proces van verkenning en planning hadden de hackers dus toegeslagen. Daarbij maakten ze gebruik van Clop-ransomware, die zich met name op volledige computernetwerken richt. Helaas was daar geen decryptor (het ongedaan maken van de versleuteling) voor beschikbaar. Zodra de Clop-ransomware actief is, versleutelt het zoveel mogelijk bestanden en voegt het de .clop extensie toe. Zo weet het slachtoffer dat het bestand geraakt is.
Daarnaast wordt een read-me bestand op het netwerk geplaatst. Hierin staan gegevens van de hackers om overeenstemming te krijgen over betaling. De gekozen datum (vlak voor de kerstdagen) was overigens geen toeval. Bij een aanval rondom feestdagen is bij het slachtoffer vaak niet de juiste expertise aanwezig om snel tot een oplossing te komen. De Universiteit van Maastricht kwam voor de keus te staan om te betalen of de IT-omgeving minstens een maand te sluiten om de problemen op te lossen. De schade zou immens zijn omdat veel studenten dan niet zouden kunnen afstuderen. De kosten waren uiteindelijk 30 bitcoins. Tegen de koers van dat moment was dat omgerekend zo’n 197.000 euro. Al met al een hele hoge kostenpost.
Internet of Things
Hackers hebben dankzij de groei van Internet of Things niet noodzakelijk een onvoldoende beveiligde server, pc, laptop, tablet of smartphone in een IT-omgeving nodig om in te breken. ‘Slimme apparaten’ die deel uitmaken van een netwerk kunnen net zo goed als toegangspunt dienen. Denk aan een smart-tv; een beveiligingscamera; een thermostaat, wasmachine of koelkast die met een smartphone wordt aangestuurd of een smartwatch.
Dergelijke apparaten verzamelen gegevens over jou en jouw omgeving, die via internet worden uitgewisseld met andere apparaten in jouw netwerk of dat van jouw organisatie. Reuze handig, maar ook risicovol. Als een hacker via één van die apparaten jouw netwerk kan binnendringen, ligt de privacygevoelige informatie voor het oprapen. En ook goed om te weten: apparaten uit landen buiten de EU hoeven niet aan de strenge Europese veiligheidseisen te voldoen. Dan worden de gegevens naar servers buiten de EU gestuurd en kunnen ze eenvoudig in verkeerde handen vallen. Een digitaal veilig netwerk is dus van levensbelang.
Wat te doen?
Natuurlijk moet je er niet aan denken dat jij of jouw organisatie slachtoffer wordt van hackers. Gelukkig kun je de kans dat zoiets gebeurt, grondig minimaliseren. Als eerste is het belangrijk om de technologische beveiliging op orde te hebben. De beste manier om daarvoor te zorgen is het up-to-date houden van alle software op alle apparaten in jouw IT-omgeving. Daarnaast is up-to-date antivirus software op die devices een absolute must.
De tweede absolute voorwaarde is een veilige IT-omgeving. Die kan overigens eenvoudig op afstand worden gemonitord. En door jouw IT-omgeving op grond van de bedrijfsprocessen in jouw organisatie rolgebaseerd – met behulp van een doordachte rechtenstructuur – in te richten, maak je het IT-beheer overzichtelijker. Tenslotte is het van groot belang dat medewerkers weten wat het hackgevaar inhoudt en dat ze niet achteloos omgaan met vreemde mailtjes van onbekende afzenders. Door een perfect samenspel van IT, werkwijze en gedrag kun je verreweg de meeste narigheid voorkomen.
En als het toch gebeurt?
Zelfs als je alle voorzorgsmaatregelen hebt genomen, kan het toch gebeuren dat je te maken krijgt met hackers. Vaak heb je een aanval pas (te) laat door. Wat kun je doen om van de hackers af te komen? Geen paniek! Blijf helder denken, dat kan alleen als je rustig blijft. Analyseer de situatie en vraag waar nodig hulp van een expert. Ga na of er gegevens zijn gestolen. Is er sprake van een datalek? Meld dit dan binnen 72 uur bij de Autoriteit Persoonsgegevens. Zorg dat je kunt aantonen dat je de gegevens optimaal beschermd hebt. Bekijk samen waar de zwakke plekken in je beveiliging zitten. En tot slot; doe aangifte bij de politie. Niet alleen voor je zelf, maar ook voor anderen. Cybercriminaliteit wordt dan serieuzer aangepakt.
Checklist
Heb je hulp nodig bij het nemen van beveiligingsmaatregelen tegen hackers? Daar kom je snel achter wanneer je onze checklist afwerkt. Ben je na het invullen niet zeker van je zaak? Neem dan gerust contact met ons op.
Download ons redpaper
‘Zo’n hack; dat zal mij toch niet gebeuren?’
en geef concreet vorm en inhoud aan cybersecurity in jouw organisatie
