Net zoals inbraak in huizen en bedrijfspanden nooit helemaal voorkomen kan worden, zal geen enkel netwerk volledig onneembaar zijn. Zolang informatiebeveiliging echter hoog op de agenda van een organisatie blijft staan, is de kans op een computerinbraak te beperken. Het op de agenda houden is vaak een groter probleem dan de hacker zelf.
Elke beveiliging is uiteindelijk zo sterk als de zwakste schakel. Technologisch hebben we de integriteit van de losse componenten aardig onder de knie en blijkt bij geslaagde invallen de mens vrijwel altijd het probleem. Een secretaresse opent ondoordacht een mailtje met een Trojaans paard, een systeembeheerder vergeet een applicatie te patchen of een accountmanager heeft zijn wachtwoord onder zijn toetsenbord liggen.
Vrijwel altijd blijkt het ongeluk in een klein hoekje te zitten. Nog steeds is een geïnfecteerd e-mailbericht daarbij de meest voorkomende manier om kwaadaardige code op een computer te zetten. Hackers gebruiken daarbij steeds slimmere technieken en methodes om de gebruiker op het verkeerde spoor te zetten.
Een ander groot risico voor besmetting vormen peer-to-peernetwerken. Een behoorlijk deel van de bestanden die tussen gebruikers uitgewisseld worden, zijn in feite Trojaanse paarden die wanneer films of muziek wordt afgespeeld, kwaadaardige code op de machine installeren. De gecompromitteerde machines komen zo in handen van de beheerder van een botnetwerk die via de achterdeur in staat is om ongemerkt de pc op eenvoudige wijze over te nemen.
De antivirusdetectie wordt uitgeschakeld of zelfs zo ingesteld dat het de kwaadaardige code van de botnetbeheerder niet herkent, maar die van concurrerende beheerders juist extra scherp in de gaten houdt. Er zijn zelfs gevallen bekend van botnetbeheerders die de antivirusdefinities zelf aanvullen met gegevens over hun concurrenten.
Onbeveiligde routers
Een derde manier om ongemerkt binnen te komen, is via onbeveiligde draadloze netwerken. Vooral middelgrote en kleine bedrijven lijken zich onvoldoende bewust van de risico’s. Men vertrouwt er blindelings op dat de aangeschafte router van de fabriek uit is voorzien van beveiliging, wat resulteert in openstaande of eenvoudig binnen te dringen WiFi-netwerken. Officieel mag het ongevraagd gebruiken van het draadloze netwerk strafbaar zijn, vervolging op deze gronden is in Nederland nog niet voorgekomen.
Nederland loopt daarbij overigens niet achter op de rest van de wereld, al is er onlangs iemand in de Verenigde Staten aangehouden wegens het ongeoorloofd gebruiken van een openstaand WiFi-netwerk van een koffietentje. Niet dat deze persoon kwaad in de zin had. Hij wilde slechts even snel, zonder een kop koffie te nemen, vanuit de auto zijn eigen mail ophalen.
Social engineering
Bovenstaande methoden om een pc of netwerk binnen te dringen, zijn technologisch goed tegen te houden. Vrijwel elk bedrijf heeft inmiddels een firewall en er zijn nog maar weinig organisaties te vinden die geen antivirusmaatregelen hebben genomen. Elke beveiliging is echter zo sterk als de zwakste schakel en hier ligt het breekpunt vaak niet bij de technologie. In vrijwel alle gevallen blijkt de gebruiker de makkelijkste manier te zijn om binnen te dringen. Vandaar dat steeds vaker social engineering wordt ingezet om ongemerkt binnen te komen.
“We zijn soms verbaasd hoe eenvoudig gebruikers hun wachtwoorden weggeven,” legt Roland Vergeer, manager Forensics, Audits en Training van Fox-It, uit. “Soms is een geënsceneerd telefoontje van een zogenaamde ict-afdeling al genoeg om iemand zijn wachtwoord te ontfutselen. Een andere keer moet men wat meer moeite doen en vertelt de crimineel dat de servers zijn vastgelopen. Dat heeft tot gevolg dat alle wachtwoorden opnieuw ingesteld worden en de zogenaamde beheerder geeft de gebruiker een bijzonder ingewikkeld wachtwoord van misschien wel twaalf willekeurige cijfers en letters. De gebruiker wordt echter gepaaid met de mogelijkheid om tijdelijk zijn oude wachtwoord te gebruiken, maar dat moet dan wel eerst aan de malafide beheerder worden gegeven.”
Vergeer: “Criminelen spelen zo handig in op normale menselijke behoeften en weten zo een mailaccount of soms het hele systeem binnen te dringen. Zo’n aanval is gemakkelijk te pareren wanneer de gebruiker is getraind om altijd de it-beheerder terug te bellen. Tenzij de criminelen ook het Voice-over IP-systeem in handen hebben, komt bedrog dan snel uit. Er moet dan wel een centraal punt zijn waar men dit kan melden. In de praktijk blijkt dat waakzame gebruikers een goede beveiligingslaag vormen.”
Acces management
Een ander, niet te onderschatten risico vormen de eigen werknemers die niet tevreden zijn of die ontslagen worden. Uit diverse onderzoeken blijkt dat voormalige werknemers nog maanden in het systeem blijven zitten en toegang houden tot het netwerk omdat niemand de it-beheerder heeft gemeld dat de betrokkene is vertrokken. Een simpel access management systeem dat is gekoppeld aan de bestanden van de personeelsafdeling kan dit soort misbruik voorkomen.
Volgens Vergeer moet men vooral meer aandacht hebben voor informatiebeveiliging op de lange termijn. “We zien toch steeds weer dat er op een gegeven moment aandacht is voor de problematiek en dat men dan snel investeert in tegenmaatregelen. Als dat achter de rug is, valt het helaas vaak stil. Er wordt niet meer naar de instellingen van de firewall gekeken en er wordt niet meer gecontroleerd of alle updates zijn uitgevoerd en of alle virusdefinities van recente datum zijn.”
Vergeer: “Ict behoort bij de meeste bedrijven niet tot de kernactiviteit, dus gaat men al snel over tot de orde van de dag. Eerst update men de machines misschien nog eens in de maand, maar dat wordt al snel eens per half jaar of langer. Als je in die fase zit, weet je niet meer in hoeverre je nog beschermd bent. Bij een multinational of financiële organisatie is dat meestal redelijk op orde omdat de risico’s zo duidelijk zijn.”
“De problematische gevallen vinden we dan ook vooral terug in het midden- en kleinbedrijf. Die hebben noch de kunde, noch de tijd om zich in deze materie te verdiepen. Ze lopen daardoor een groter risico om slachtoffer te worden. Als alle huizen in de omgeving voorzien zijn van een goed slot, zal de inbreker op zoek gaan naar precies dat huis dat dit niet op orde heeft! Dat is digitaal niet anders.”
Volledigheid
“We zien toch nog vaak dat bedrijven geen idee hebben wat ze precies aan componenten in huis hebben”, zegt Paul Overbeek, partner bij OIS Information Risk & Security Management en verantwoordelijk voor de masteropleidingen Security van TiasNimbas. “Als je niet precies weet wat je beheert, mis je al snel een onderdeel dat je niet optimaal kan beveiligen. Het gaat er niet om dat je het merendeel van de systemen hebt beveiligd, maar dat je echt elk los onderdeel hebt meegenomen in het beveiligingsplan.”
“In technische zin moet je volledigheid betrachten en daarnaast is het ontzettend belangrijk om het personeel goed en regelmatig te trainen in het herkennen van mogelijk gevaarlijke situaties. Juist doordat er nog steeds bedrijven zijn die de basis niet op orde hebben, betekent dat er een markt blijft bestaan voor criminelen. Ik ben ervan overtuigd dat als werkelijk iedereen zijn best doet, we er over twee jaar vanaf kunnen zijn!”
Tegenmaatregelen
– goed geconfigureerde firewall
– antivirussoftware op mailserver én werkstation
– strak updatebeleid voor OS, applicaties en antivirussoftware
– training bewustzijn personeel en management
– audits om te weten waar de risico’s liggen