Ethical hacking

Steven Ramboer, Lead Cybersecurity Architect bij ASSA ABLOY Group én SBM-doent, licht toe waar alle bedrijven moeten op letten en waarom training een absolute must is.

'How to prepare for being hacked' was in 2015 reeds de titel van een seminarie dat doorging bij SBM. Toen reeds brandend actueel, vandaag des te meer. SBM-docent Steven Ramboer, overdag Lead Cybersecurity Architect bij ASSA ABLOY Group, licht toe waar alle bedrijven moeten op letten en waarom training een absolute must is.

Cybercriminelen hebben het enkel gemunt op grote bedrijven?

Cyberaanvallen tegen grote bedrijven zijn niet nieuw. Dergelijke cases halen af en toe de pers als er een wat groter of bekend bedrijf zwaar onder vuur ligt, er sprake is van een aanval waarbij verschillende bedrijven onder vuur liggen of als er impact is op internationaal vlak. Men zou misschien verkeerdelijk de indruk kunnen krijgen dat enkel de grotere bedrijven het doel zijn van cyberaanvallen en dat zo'n succesvolle aanvallen al bij al relatief uitzonderlijk blijven?

Domein specifieke bronnen en studies schetsen helaas een heel andere realiteit. Bedrijven lopen hier natuurlijk niet te mee te koop dat ze slachtoffer geworden zijn van een cyberaanval. Ook blijkt uit de studies dat dergelijke cyberaanval gemiddeld pas na meer dan 250 dagen (en dan nog eerder toevallig) gedetecteerd wordt. Sommige bedrijven komen er zelfs nooit op uit. Collega's actief in de cyberindustrie durven dit misschien al eens verkeerd inschatten naar mijn mening. Het is niet omdat 'wij' dagelijks met onze neus in de gespecialiseerde pers zitten, dat de perceptie daarbuiten over hoe groot het probleem nu werkelijk is, gedeeld wordt.

Een cyberaanval op een kleinere onderneming komt al helemaal niet in de buurt van het niveau van publiciteit die wordt verkregen door een aanval op een multinational, maar dit betekent niet dat er dagelijks geen succesvolle aanvallen tegen kleine bedrijven zouden zijn.

Cybercriminelen richten zich op een groeiend aantal manieren op kleine en middelgrote bedrijven, waarbij ransomware aanvallen de meest populaire methoden zijn om botweg geld af te persen. Ransomware is een type van malware die alle bestanden op een computer versleutelt, waarop men vervolgens geld vraagt om deze versleuteling ongedaan te maken. Meestal werkt men dan nog via bijzonder lastig te traceren digitale munt (zoals bv. Bitcoins). De impact van een succesvolle aanval op een opgebouwde reputatie en de algemene operaties mogen zeker niet onderschat worden. Veel bedrijven zijn immers (zo goed als volledig) afhankelijk geworden van hun IT-infrastructuur en applicaties. Er zijn veelal geen 'pen & papier' alternatieve processen meer.

Risicobewustzijn

Een methode die hackers vaak gebruiken is doen alsof ze een leverancier of klant zijn. Ze sturen bv. een e-mail met een factuur of klacht over een factuur, maar de bijlage bevat echter malware.

Dit soort van aanvallen is verrassend effectief. Eén medewerker klikt op een link en het hele systeem is potentieel in gevaar. Als criminelen iemand in uw financiële afdeling kunnen misleiden om duizenden euro's over te schrijven, door middel van een e-mail die eruitziet alsof deze afkomstig is van de CEO of CFO, dan zal het installeren van betere technologie alleen zeker niet helpen.

De eenvoud waarmee cybercriminelen 'social engineering' technieken gebruiken (het misbruik van vertrouwen, nieuwsgierigheid, hulpvaardigheid, hebzucht, ..) kan ook in een KMO zorgen voor een groot probleem. Werknemers (ongeacht hoe groot of klein het bedrijf trouwens) moeten zich bewust zijn van de methoden die door cyberdieven worden gebruikt. Uit verschillende studies blijkt dat 95 procent van alle beveiligingsbreuken een element van menselijke fout inhouden, waarbij het dus belangrijk is om personeel bewust te maken en op te leiden.

Actie om te nemen

Educatie en bewustwording moeten een onderdeel zijn van elke aanpak. Een strategie die enkel berust op meer, beter en/of duurdere technologische oplossingen (firewalls, antivirus, etc.) zal u op een bepaald moment in de steek laten.

Het volgen van een set basisregels als het gaat over het algemeen onderhoud van de IT-infrastructuur en applicaties mag ook zeker niet onderschat worden. Zoals u met uw wagen frequent op onderhoud gaat, of uw machinepark onderhoudt, is dit voor IT-infrastructuur en applicaties niet anders. Het regelmatig installeren van updates is helaas iets wat bedrijven frequent blijken over te slaan, dit kan dan ook zeer zware gevolgen hebben, zoals afgelopen voorjaar met de internationale WannaCry ransomware aanval.

Verhoog niet alleen het bewustzijn bij uw medewerkers, maar denk ook specifiek aan uw IT-medewerkers. Het is niet omdat ze 'van IT' zijn, dat ze daarom reeds voldoende kennis en/of expertise hebben in hoe de omgeving op een effectieve en efficiënte manier te beveiligen.

Kennis van hoe hackers te werk gaan, kan bijzonder nuttig zijn om de eigen omgeving beter te beschermen. Door veiligheidslekken actief te gaan opsporen, weet u waar de aandachtspunten liggen en waar verbetering nodig is. Hierin kan ethical hacking en verdieping in deze materie een cruciale rol spelen.

You need to be able to think like a thief in order to catch one.