Hackers en cybercriminelen verleggen het vizier. Steeds vaker lijken medische praktijken, kleine handelaren, agentschappen en middelgrote bedrijven slachtoffer te worden van cybercriminaliteit. Niet in de laatste plaats vanwege de Covid-gerelateerde digitale arbeidsomstandigheden in het mkb.
De gevolgen zijn desastreus: productieverlies en uiteindelijk financiële schade treffen het mkb meestal harder dan grote bedrijven. Vaak richten hackers zich op zakelijke gegevens door ransomware in bedrijfsnetwerken te verspreiden en essentiële data te versleutelen. De criminelen vragen vervolgens enorme bedragen in bitcoin om de decoderingssleutel te overhandigen.
De gevolgen voor ondernemers zijn hard, omdat cybersecurity tot nu toe vaak een onbelangrijke rol heeft gespeeld voor hun bedrijf. Maar het hoeft niet zover te komen. Als it-medewerker, beheerder of gespecialiseerde partner kan je veel doen met de tools die je ter beschikking hebt om minimale cybersecurity te garanderen. Een paar praktische tips over hoe fine-tuning je hierbij kan helpen.
Routers
- Het is vaak mogelijk een router te managen via verschillende toegangsprotocollen. Deactiveer onnodige of onversleutelde configuratieprotocollen, zoals http of telnet. Gebruik in plaats daarvan versleutelde protocollen zoals http of ssh.
- Op dezelfde manier . Gebruik in plaats daarvan vpn voor het configureren van de router, als het apparaat überhaupt vanaf internet moet worden geconfigureerd.
- Een router heeft meestal een geïntegreerde firewall. Alle ongebruikte poorten in de firewall van de router moeten worden gesloten.
- Eindapparaten zoals printers worden vaak rechtstreeks op de router aangesloten. Blokkeer de toegang tot deze eindapparaten via het internet en sluit onveilige toegangspunten.
- Controleer of je vpn voldoet aan de nieuwste veiligheidsrichtlijnen. Gebruik IKEv2 als het vpn-protocol, met aes-gcm en ten minste sha-256 als de encryptie-algoritmen. Protocollen zoals pptp of algoritmen zoals md-5 of sha-1 worden als onveilig beschouwd en moeten worden vervangen door veilige varianten.
Switches
Hetzelfde geldt voor switch-netwerken. Blokkeer alle niet-versleutelde ethernetpoorten die overbodig zijn. Anders zet je de deuren van je interne netwerk wagenwijd open voor aanvallers.
- Gebruik vlan’s om verschillende netwerken voor applicaties en/of afdelingen te segmenteren. De poorten die je gebruikt voor de configuratie moeten in een management-vlan zitten. Verplaats de netwerken en apparaten die door de eindgebruikers worden gebruikt naar een apart vlan. Zo voorkom je dat onbevoegden toegang krijgen tot de configuratiepoorten.
- Vraag jezelf af op welke ethernetpoorten een eindapparaat is aangesloten. Open poorten brengen altijd het risico met zich mee dat onbevoegden ter plaatse een verbinding met je netwerken kunnen maken.
- Als het niet duidelijk is welke poorten wanneer gebruikt zullen worden, kan je de authenticatie via 802.1X laten verlopen. In een kleinere omgeving kan dit met certificaten gedaan worden, hoewel dit complex en tijdrovend kan zijn. Authenticatie van het mac-adres kan als alternatief worden gebruikt.
- Vergeet ook niet om onnodige of onveilige configuraties op afstand uit te schakelen.
Wifi-toegangspunten
De eenvoudigste vorm van wifi-bescherming is gebruik van de nieuwste wpa3-standaard.
- Je kan ook het zendvermogen van je access points tot een minimum beperken, zodat wifi alleen wordt gebruikt als het nodig is.
- Je moet ook overwegen welke ssid’s je nodig hebt. Geef voor bepaalde groepen gebruikers aan wanneer hun ssdi’s actief zijn. Privé-apparaten van klanten en werknemers enerzijds, en zakelijke apparaten anderzijds, moeten verschillende ssid’s gebruiken. Deze kunnen met verschillende vlan’s met het netwerk worden verbonden. Bovendien kan de ssid via de switches zo worden geconfigureerd dat het gastnetwerk alleen de router bereikt, terwijl vlan voor de zakelijke apparaten toegang tot het bedrijfsnetwerk biedt. Hierdoor hebben privé-apparaten van gebruikers alleen internettoegang en voorkom je dat ze intern schade veroorzaken.
- Private pre-shared key (ppsk)/ lancom enhanced passphrase security (leps). Gebruik persoonlijke, vooraf gedeelde sleutels voor gebruikers of gebruik leps. Individueel verspreide ppsk-netwerksleutels hebben het voordeel dat eindapparaten beperkte rechten hebben, en zo beter worden gecontroleerd.
Belang van it-beveiliging
Beveiliging werkt alleen als de medewerkers er actief aan bijdragen. Je moet regelmatig (bewustwordings-)trainingen aanbieden op het gebied van it-beveiliging. Wat zijn veilige wachtwoorden en hoe ga je om met phishingmails? Ook niet onderschatten: je moet het gebruik van ongeautoriseerde usb-sticks en de aansluiting van privé-datadragers op het bedrijfsnetwerk tegengaan. Daarom:
- Houd systemen up-to-date en installeer regelmatig de nieuwste beveiligingsupdates voor software en apparaten.
- Vaak centraal geregeld bij grotere bedrijven, maar ook mkb’ers moeten dagelijks backups maken van hun data.
- Gebruik indien mogelijk een professionele firewall. Idealiter kies je voor een utm-firewall die je zelfs beschermt als er al malware op je systeem aanwezig is.
Het belang van cybersecurity neemt alleen maar toe. Verstandig is het om samen te werken met gespecialiseerde resellers of it-beheerders om een totaalconcept te ontwikkelen voor het identificeren en elimineren van bestaande zwakke punten. Totdat je dit kunt realiseren, is het aan te raden om op korte termijn optimaal gebruik te maken van de middelen die je ter beschikking hebt.
Dit artikel slaat de plank helemaal mis; het gorgelt een aantal standaarditems van security checklists op en herkauwt die nog maar eens. Wat heeft een MKBer daar nu aan? Die weten toch helemaal niet wat protocollen zijn, of VPNs, of SSH, of een poort, of 802.1X? Dit is helemaal geen advies voor MKBers! Die zouden daarentegen gebaat zijn bij producten/diensten die direct aansluiten bij hun behoeften en (lage) IT kennis.
Jos,
Advies om geen onveilige protocollen te gebruiken is uiteindelijk geen slecht advies hoewel het allemaal wel wat technisch is en je zou van een vice-president die zich richt op business development inderdaad een iets ander verhaal verwachten. Maar de term MKB kan misleidend zijn als daarmee niet alleen het micro- en kleinbedrijf bedoeld wordt waar een ZZP-er zoals Jan van Leeuwen het IT-beheer doet maar ook een middelgroot bedrijf met zo’n 250 werknemers waar Henri graag zijn cybersecurity awareness training aan verkoopt. In de afsluitende alinea somt Jan Buis het echter allemaal keurig nog een keer op, vergeet niet de back-up en het up-to-date houden van de systemen en zorg dat gebruikers zich bewust zijn van de gevaren.
Het probleem aan dit artikel is het zelfde probleem dat heel veel “cybersecurity specialisten” hebben. Ze duiken in de techniek, storten een bak vol kretologie over mensen uit en roepen dat zij het allemaal beter kunnen. Laat dat nu precies zijn wat men in het MKB niet nodig heeft (en wat heel veel directies in het MKB echt kunnen missen als kiespijn).
Wat men wel nodig heeft is bewustwording, hulp bij het inschatten van de risico’s die men loopt en hoe en met welke maatregelen er risico beperkt kan en moet worden. Wat men nodig heeft is hulp bij het inrichten van business continuity, waar cyber een onderdeel van is. Wat men nodig heeft zijn mensen die in staat zijn bedrijfsprocessen te doorgronden en hoe deze processen door IT-systemen ondersteund worden.
Robert D,
Veel directies van MKB bedrijven leggen goede adviezen naast zich neer omdat de investeringen niet renderen, vervangen van onveilige protocollen kost geld maar levert niet direct wat op. En hetzelfde geldt voor het vervangen van de end-of-life systemen, het aanbrengen van patches of het maken van een back-up. Wij van WC-eend hebben dan ook ruime ervaringen met verkeerde zuinigheid als het om het inschatten van de risco’s gaat, met 30 jaar praktijkervaring weet ik wel iets af van het verwachtingsmanagement. Als adviseur ga ik niet op de stoel van de directeur zitten om zo het ondernemersrisico weg te nemen maar ik kan wel wijzen op de risico’s en kans van optreden met een inschatting van de schade.
Voor alle duidelijkheid, ik ken Jan Buis niet en hou me niet meer bezig met het hacken van systemen maar ik herken van A tot Z de genoemde zwakheden en weet precies hoe ik ze moet exploiteren. Dat klinkt spannender dan het is want bij veel micro- en kleinbedrijven hoef je dus alleen maar de bezemkast te openen om aan de onderkant van de firewall/router het adminstrator account met het wachtwoord te lezen. Bij bedrijven die de fysieke beveiliging van routers, switches e.d. wat beter geregeld hebben kan ik passief vaak nog altijd een een apparaat (€30) tussen printer en netwerk plaatsen om mee te luisteren. En aangaande WiFi hoef ik vaak alleen maar op de parkeerplaats te gaan staan, vele scholieren waarderen de service van gratis internet;-)