Onderzoekers van Kaspersky Lab zijn er in geslaagd om bij 86 procent van de geanalyseerde organisaties de hoogste privileges in het interne netwerk te bemachtigen. Ook kwalificeren zij het algemene beschermingsniveau tegen cyberaanvallen bij 43 procent van de bedrijven als laag of extreem laag. Dat blijkt uit het rapport ‘Security assessment van bedrijfsinformatiesystemen in 2017' van Kaspersky Lab.
Het onderzoek, dat Kaspersky jaarlijks publiceert, moet organisaties wereldwijd inzicht geven in mogelijke kwetsbaarheden in hun netwerken om financiële, operationele en reputatieschade te voorkomen.
In de gevallen waarbij de onderzoekers wisten in te breken op het bedrijfsnetwerk, lag de oorzaak opvallend vaak bij kwetsbare webapplicaties (73 procent). Wat verder opvalt uit de onderzoeksresultaten is dat het algemene beschermingsniveau tegen cyberaanvallen bij 43 procent van de geanalyseerde bedrijven als laag of extreem laag wordt gekwalificeerd.
Een veel voorkomende manier van ongewenst binnendringen in het bedrijfsnetwerk was een aanval op publiek beschikbare managementinterfaces met zwakke- of standaard-inloggegevens. In 29 procent van de externe penetratietestprojecten slaagden Kaspersky Lab-experts erin de hoogste toegangsrechten te verkrijgen binnen de gehele it-infrastructuur, inclusief toegang op beheerdersniveau tot de belangrijkste bedrijfssystemen, servers, netwerkapparatuur en werkstations van medewerkers.
Informatiebeveiliging
Tot verrassing van de onderzoekers blijkt dat de informatiebeveiliging van interne bedrijfsnetwerken nog slechter is. Het beschermingsniveau tegen interne aanvallers werd voor 93 procent van alle geanalyseerde bedrijven geïdentificeerd als laag of extreem laag.
Zo mogelijk nog verrassender is dat de beruchte kwetsbaarheid MS17-010 – die op grote schaal werd gebruikt bij zowel individuele gerichte aanvallen als ransomware zoals WannaCry en NotPetya/ExPetr – werd aangetroffen bij 75 procent van de bedrijven die interne penetratietesten ondergingen nadat informatie over de kwetsbaarheid was gepubliceerd. Sommige organisaties hadden hun Windows-systemen niet bijgewerkt. Zelfs niet tot acht maanden na het uitbrengen van de patchupdates. Bij 86 procent van de geanalyseerde organisaties werd verouderde software gevonden op de netwerkperimeter.
Volgens hetzelfde onderzoek zit de grootste kwetsbaarheid bij webapplicaties van overheidsinstanties. Bij elke geanalyseerde applicatie werden risicovolle kwetsbaarheden gevonden. Daarentegen blijken e-commercetoepassingen veel beter beschermd te zijn tegen mogelijke cybercriminaliteit. Slechts iets meer dan een kwart van de onderzochte handelsapplicaties bevat risicovolle kwetsbaarheden. Daarmee behoren e-commerce-toepassingen tot de best beschermde applicaties.
Europa
Het onderzoek is uitgevoerd bij organisaties in West-Europa (22 procent), Azië (4 procent), Midden-Oosten, Turkije en Afrika (57 procent) en Oost-Europa (17 procent). 35 procent van de organisaties kwam uit de financiële sector, 31 procent uit de overheidssector, 9 procent uit de telecomsector, 4 procent zowel uit de e-commerce sector en de productiesector en 17 procent uit overige sectoren.
Wanneer we het hebben over beveiligen en IT, dan zijn er enkele zaken die zeker moeten worden overdacht.
Eén van de basis principes, en dit is universeel, is dat Digitaal Automatiseren een principe is. U automatiseert namelijk om processen en productie te versnellen met minder bemensing, materieel en middelen. Daar zit winst aan twee kanten in. Edoch, door de verdere vercommercialisering in de IT, zijn er plots tal van diensten en disciplines bijgekomen, die daarvoor gewoon als discipline in één en dezelfde professional was vervat.
Voorbeeld. U mocht van een redelijke IT professional verwachten dat die de zelfstandigheid had goed na te denken en bij te blijven in eigen discipline. Dat betekend ook dat veilgheid, beveiligen, de positie in de IT keten en aansluitingen elders in de organisatie, een normaal onderdeel uit maakte van de dagelijke werkzaamheden en expertise.
Plots is deze professional alleen nog maar bezig met de eigen discipline, weet vrijwel niets meer van de essentie van zijn werk, lees; Digitale Automatisering, laat de beveiliging over aan andere professionals en denkt niet langer meer na over diens positie in de IT keten. Mwoah, das toch niet mijn taak ‘se?
Digitale inbrekers zitten heerlijk achterover om de razendsnelle ontwikkelingen in de commerciele markt. Byod? Graag. Uw eigen laptop en telefoon mee? Prima. De exploderende toename van Cloud diensten? Geweldig? Internet of Things, Waanzinnig, mooi doet u maar.
Er is een eenvoudige regel die zegt: Hoe minder componenten, hoe minder er mis kan gaan. Ik weet het, dat is niet zo commercieel natuurlijk.
Doel van commercie is te verkopen. en wat vind een cyber crimineel nou niet mooier dan te zien dat er een explosie plaats aan het vinden is van commerciele producten en diensten op de markt, een hard teruglopend bestand aan gedegen nadenkende IT professionals, een enorm gat om het onderhoud gedegen vorm te geven van alle IT producten en security?
Geweldig toch? Commercie is ‘het virus’ geworden en dat virus waarschuwt u nu van de consequenties waar zij zelf van aan de basis staat.
Uiteraard hoeft u dit van mij niet aan te nemen. De globale exploderende cijfers betreffende cybercrime zegt daarentegen genoeg.
Klaarblijkelijk heeft men helemaal niet zoveel (meer) op met de meest basale principes van digitaal automatiseren, wel uw portemonnee.