7 adviezen van een ethical hacker voor een optimale informatiebeveiliging
Thijs Peeters |Als je het over informatiebeveiliging hebt, gaat het vaak al snel over hackers. Het beeld daarbij? Dat is natuurlijk niet al te positief: hackers zijn criminelen die je bedrijfsgegevens en geld willen. Toch is er ook een type dat niet aan deze omschrijving voldoet. Dat zijn ethical hackers.
In tegenstelling tot cybercriminelen helpen ethical hackers je juist op weg naar passende informatiebeveiliging. Ze doen hetzelfde: speuren naar kwetsbaarheden om door te dringen tot IT-systemen of applicaties. Maar met een ander doel: inzicht en advies geven om data en gegevens beschermen. Want als je weet waar zwakke punten liggen, kun je er ook wat aan doen.
Tien tips voor cyberweerbaarheid
Wouter Arts van WTH Security is ethical hacker van beroep. Hij neemt bedrijven met een hackers mindset op verschillende manieren onder vuur. “We kunnen organisaties technisch aanvallen, waarbij we onze pijlen richten op de website, het netwerk, inlogportals, clouddiensten, et cetera”, legt hij uit. “Maar we kunnen ons ook focussen op de organisatie en de medewerkers. Dat noemen we social engineering. Bijvoorbeeld met een phishing campagne of mystery guest bezoek. Welke dienstverlening we ook leveren, met een offensieve of een defensieve aanpak, ons doel is het juist niet om dingen écht kapot te maken.”
“Al gaan we soms wel heel ver”, aldus Wouter. “Bij een red team-opdracht bijvoorbeeld. Dan parkeren we bijvoorbeeld een camperbus bij een bedrijf om het Wi-Fi netwerk te hacken. Of we bellen op om te achterhalen welke printers ze gebruiken, waarna we terugkomen in een namaak-bedrijfspolo om ‘onderhoud te plegen.”
Het belang van informatiebeveiliging
Zo ver als ethical hackers gaan, cybercriminelen doen daar nog een schep bovenop. Volgens Wouter is informatiebeveiliging dan ook van groot belang. Ook voor mkb’ers. “Zonder IT verdient 99% van de bedrijven geen enkele euro. Ze zijn er echt afhankelijk van, want primaire processen en zelfs het bedrijfsmodel kunnen onder druk komen te staan. De grootste cyberrisico’s voor het mkb? Dat zijn ransomware en phishing.”
Zeven adviezen voor een passende informatiebeveiliging
Als ethical hacker weet Wouter als geen ander hoe hij toegang tot de digitale kroonjuwelen van een organisatie verkrijgt. Maar ook: hoe je de digitale weerbaarheid van de onderneming kunt vergroten. Hij geeft zeven adviezen:
- Zorg ervoor dat je de basis van informatiebeveiliging op orde hebt. En kijk daarbij naar de volle breedte: techniek, mens en organisatie.
- Schrijf een crisisplan, zodat je de kroonjuwelen van het bedrijf kunt beschermen. Oefen dat ook, want het is niet de vraag of je gehackt wordt, maar wanneer – en of je het (op tijd) detecteert.
- Maak je medewerkers bewust van de gevaren van social engineering, zeker als het om phishing gaat. Wijs ze op de risico’s en deel vooral veel tips. Beloon medewerkers die melding maken van verdachte mails of situaties, zoals met een taart.
- Pas Multi Factor Authenticatie (MFA) toe op álles waar belangrijke of vertrouwelijke gegevens worden verwerkt. Een groot deel van de mkb-bedrijven gebruikt Microsoft 365, waarbij je dat met een gratis optie kunt. Maar je moet het wel aanzetten. Andere opties in 365 zijn inzicht in logs en alerts, en conditional access (geconditioneerde toegang, bijvoorbeeld alleen toegang vanuit vertrouwde locaties of een uitzondering op MFA als er op kantoor gewerkt wordt).
- Zorg ook voor een offline back-up en test deze regelmatig.
- Hou rekening met de top-bevindingen uit hackingtests. Ethical hackers merken vaak dat:
• (Wifi)wachtwoorden standaard of zwak zijn
• Software verouderd of niet-gepatcht is
• Rechten niet goed ingesteld staan
• Admin-rechten toegekend worden waar dit niet nodig is
• Te veel mensen te veel rechten hebben
• Gegevens niet veilig (zonder versleuteling) verstuurd of gedeeld worden
• Wachtwoorden op meerdere plekken hergebruikt worden
• Aanvallen via ketenpartners en leverancier uitgevoerd worden - Steek je kop niet in het zand, want cyberrisico’s zijn reëel. Zoek daarom de juiste partner die jouw organisatie én je IT-leverancier controleert. Die laatste zou dat namelijk nooit zelf moeten doen.
Aan de slag met informatiebeveiliging?
Wouter benadrukt tot slot dat je jezelf niet kunt controleren. Niet als eigen organisatie, maar ook niet binnen je IT-dienstverlener. Informatiebeveiliging vereist nou eenmaal specifieke kennis, die je niet zomaar eigen hebt gemaakt. Ben je benieuwd hoe Bol Adviseurs hierbij kan helpen? Plan dan een meeting in. Wil je ook meteen zelf aan de slag, zodat je alvast enkele quick-wins kunt maken? Neem dan Wouters adviezen ter harte én lees deze tien tips voor informatiebeveiliging.
Van stagiaire en oproepkracht tot registeraccount en later IT-auditor en privacy manager. Deze route heeft Thijs, een echte adviseur van Bol, sinds 2002 afgelegd.
Thijs heeft de switch van accountancy naar IT gemaakt vanwege zijn affiniteit met dit vakgebied. Bovendien houdt hij ervan om problemen, groot en klein, op te lossen.