VEILIGHEID BEGINT MET STRENG ZIJN VOOR JEZELF

 

Oscar van Os is security expert bij Fox-IT. Op achtjarige leeftijd begon hij al met sleutelen aan computers en daar is hij eigenlijk nooit mee opgehouden. Hij studeerde Information Security Management en werkt sinds 2014 op verschillende afdelingen bij Fox-IT. Als geen ander weet hij hoe gevaarlijk het kan zijn voor grote én kleine organisaties om ongemerkt de digitale achterdeur open te laten staan. Want daar schuilt het grootste gevaar: ondernemers weten vaak niet eens hoe makkelijk het is voor hackers en datacriminelen om binnen te dringen in allerlei systemen.

Security expert, dat klinkt stoer, maar houdt het in?
“Ik ben begonnen als security analist in het Security Operations Centre van Fox-IT. Van daaruit groeide ik door naar incident handler op de forensische afdeling. Daar hield ik me onder andere bezig met onderzoek bij gehackte bedrijven: zit de hacker nog in het netwerk en welk bewijs kunnen we verzamelen voor een eventuele strafzaak? Dat is heel leerzaam, je kruipt als het ware in het hoofd van de hacker om erachter te komen waar hij of zij sporen achterlaat. Een soort CSI Miami, maar dan wat minder flitsend. Sinds enige tijd werk ik voor de managed security services afdeling waar ik de techniek naar business vertaal en andersom. En ik verzorg regelmatig presentaties, hackdemo’s en cybertrainingen.”

Kun je zeggen dat de veiligheid van netwerken de business is van Fox-IT?
“Ja. En dat is big business want het wordt alleen maar drukker. Dat heeft voornamelijk te maken met de verschuiving van de criminaliteit. Waar vroeger een inbreker via een dak of een opengebroken raam je bedrijf binnenkwam om je spullen weg te halen, zit nu iemand vanaf een zolderkamer rustig in je bedrijf rond te neuzen op zoek naar iets waardevols. Goede hackers komen zonder veel moeite bij je binnen en stelen geld of data. Anoniem, vanuit vrijwel elk land ter wereld. En wetgeving blijft ook achter want teveel landen werken niet samen in bestrijding of opsporing. Dus de pakkans is nihil. En daardoor is, naar mijn idee, dit soort criminaliteit booming.”

Waar zitten de grootste risico’s voor een ondernemer?
“Het begint bij de ondernemer en medewerkers zelf. Het bewustzijn dat het gevaar voortdurend op de loer ligt, dat klinkt heel dramatisch maar het is echt zo, is er niet genoeg. Iedereen weet dat er phishingmail verstuurd wordt waarmee de deur kan worden opengezet om data te stelen of zelfs transacties te doen. En ‘iedereen’ weet dat je niet zomaar op alles moet klikken. Maar toch gebeurt het. Waarom? Er is niet voldoende besef dat daardoor een bedrijf platgelegd kan worden.”

“Wat we de afgelopen jaren ook veel zien, is CEO-fraude. In dat geval wordt er een mailtje gestuurd, zogenaamd vanuit de CEO aan de CFO, met de mededeling dat ‘die en die transactie vandaag nog voor vijf uur moet worden uitgevoerd’. In eerste instantie gebeurde dat nog vanuit Gmail of Yahoo Mail, dat hadden de meeste mensen nog door. Maar tegenwoordig hacken criminelen het systeem van een leverancier en gaan dan van daaruit na wie de klanten zijn en hoe daarmee wordt samengewerkt. Hoe en voor wat voor bedragen wordt er gefactureerd, hoe wordt er onderling gecommuniceerd? Na een aantal weken of maanden slaan ze dan toe: er gaat een mail van de leverancier richting alle klanten met de mededeling om voortaan het geld over te maken naar een andere rekening. De kans dat die klant ook daadwerkelijk dat rekeningnummer gaat gebruiken, is best groot: het ziet er namelijk allemaal wel heel erg echt uit. De schrijfwijze komt overeen, het e-mailadres is ‘echt’, het past min of meer in de manier van werken. Hackers worden er steeds slimmer in. Ze passen gewoon iets aan in de voorwaarden van je mailprogramma zodat ze niet elke keer hoeven in te loggen, want dat valt op, en alle mail wordt automatisch doorgestuurd. Het lukt niet altijd, maar als je via twee of drie klanten een paar ton kunt wegsluizen, heb je toch relatief makkelijk je geld verdiend. Of liever: gestolen.”

Is dat te voorkomen, anders dan door alert te zijn?
“Alertheid blijft hier wel heel belangrijk, want technische maatregelen hiertegen inzetten is heel erg lastig, het gaat fout bij de mens. En het is te begrijpen: als je zogenaamd een mailtje krijgt van je baas dat iets snel geregeld moet worden, dan ga je dat ook snel doen en dus maak je geld over. En doorgaans is dat geld dan ook gewoon weg. Soms valt het wel terug te halen, als het een rekeningnummer binnen de EU is, dan kan er heel misschien nog in overleg met een bank iets geregeld worden. Maar als het al van Nederland via Polen naar Panama en nog verder is gesluisd, is het dus weg.”

“Wat je daarom zou moeten doen, is sowieso je proces goed inrichten. Door bijvoorbeeld bij financiële transacties altijd het ‘vier ogen’ principe erop na te houden; als twee mensen naar een transactie kijken, is de kans dat je iets vreemds ziet al twee keer zo groot. En als er een wijziging wordt doorgegeven, bel dan altijd de persoon of organisatie die dat meldt om te checken of die wijziging klopt. Bellen en niet mailen, want die mail komt bij de verkeerde mensen terecht…”

Daar helpt geen techniek tegen dus.
“Nee, eigenlijk niet. Je kan je mailfilters wel heel streng dichtzetten, maar voor een mailtje dat ogenschijnlijk van een vertrouwde en betrouwbare collega of relatie komt, kun je echt geen technische oplossing verzinnen. Want hackers zijn sluw en spelen in op je gevoel, op het idee dat je iets graag goed wilt doen.”

“Het enige wat je vanuit technisch oogpunt kunt en vooral ook moet doen, is patchen. En dat wil zeggen updaten. Maar dat geeft ook geen garanties. Want je bent nooit helemaal veilig, als iemand binnen wil komen, dan komt ‘ie binnen. Zo simpel is het. En: hackers helpen elkaar door malware (voluit malicious software, bedoeld om schade aan te richten – red.) aan te bieden op internet om aanvallen op te zetten en uit te voeren. Om het nog lastiger te maken: er bestaat ook een type malware, de pentest malware, die bedoeld is om bijvoorbeeld een bedrijfsnetwerk door middel van een penetratietest te onderzoeken met als doel het vinden van zwakke plekken. Maar, je raadt het al, dat soort goede malware wordt ook weer gebruikt om jouw systeem mee aan te vallen; als het de zwakke plekken vindt, weet de hacker wel iets te bedenken om daar doorheen te breken.”

Hoe kan het toch dat hackers in principe altijd vooroplopen?
“Zij doen niets anders dan continu zoeken naar kwetsbaarheden, want dat levert geld op. Beveiligingsbedrijven zoeken continu naar manieren om de gaten te dichten die hackers vinden.”

Waarom zijn er geen bedrijven die voortdurend met de beste intenties op zoek zijn naar kwetsbaarheden?
“Daar zijn er wel een paar van. Er is naar mijn idee één groot ‘ding’ dat het moeilijk maakt en dat is geld. Als Google bijvoorbeeld honderdduizend dollar biedt voor een kwetsbaarheid die jij vindt in de Google Search Engine, heb je best kans dat je die bug op de zwarte markt kunt verkopen voor twee miljoen dollar. Dan ga je, uiteindelijk, toch twijfelen.”

Dus ben je dan als MKB-ondernemer, met Windows en een administratiepakket, aan de goden overgeleverd?
“Ja en nee. Je moet streng zijn. Voor jezelf en je digitale leveranciers. Maak afspraken met ze. En stel voorwaarden: doen jullie jaarlijks een audit? Voeren jullie pentesten uit op jullie omgeving? Hoe is de beveiliging bij jullie geregeld? Als je zelf je mentaliteit en discipline verandert, kun je dat ook overdragen op je medewerkers en je leveranciers. Alleen als iedereen oplet en zich aan protocollen houdt, kun je jezelf redelijk beveiligen.”

 

Schrijf je in voor onze nieuwsbrief
Wellicht ook interessant