"Datalek? Mij overkomt het niet"

Geert van der Klugt
Datalekken vinden steeds regelmatiger plaats. Het onderwerp van cybersecurity beperkt zich niet langer tot grootbedrijven en de ICT. Hoewel ook de dagkranten bol staan van het nieuws over gegevensverlies en cybercriminaliteit, blijft het makkelijk om te relativeren en te bedenken dat het jou of jouw bedrijf niet overkomt. Een verklaarbare houding, want mkb-ondernemingen zijn zelden het doelwit van gerichte aanvallen. Toch hebben juist mkb-ondernemingen de grootste kans om slachtoffer te worden.

Eén klik op een verkeerde link kan leiden tot een dagen- of wekenlange staking van werkzaamheden. Zelfs de diefstal van het kleinste klantenbestand loopt al gauw uit tot imagoschade en gezichtsverlies.

De oplossing, cyberveiligheid, begint bij erkenning. Een lastige stap, want de slachtoffers waarmee we het vaakste worden geconfronteerd, hebben weinig met onszelf of onze bedrijven in gemeen.

Grootschalige datalekken bereiken het nieuws; kleinere voorvallen gaan aan de radar voorbij. Listig, want ook kleinere datalekken kunnen leed veroorzaken.

Tussen juni 2019 en juni 2020 werd één op de vijf mkb-ondernemingen slachtoffer (bron: SIDN). Getroffen ondernemers die zich uitspreken zijn zeldzaam. Voorvallen gaan met het verlies van tien- of honderdduizenden euro’s, schaamte en angst gepaard.

Je hoeft geen doelwit te zijn om schade op te lopen. Elk bedrijf verwerkt de gegevens van personeel, partners en klanten. De meeste bedrijven zijn kwetsbaar. Vallen gegevens in verkeerde handen, dan zijn de consequenties vaak groot. We werpen een licht op twee risicocategorieën:
 

  • Voorletters, geboortedata, mailadressen en andere veelvoorkomende persoonsgegevens kunnen worden ingezet om identiteitsfraude te plegen. Een cybercrimineel doet zich voor als een vertrouwde klant om facturen betaald te krijgen en rekeningnummers te laten wijzigen.
     
  • In andere gevallen worden de gegevens gebruikt om toegang tot de systemen van bedrijven te krijgen. Gelekte wachtwoorden en gebruikersnamen - of voldoende persoonsgegevens om dergelijke informatie op te halen - stellen een crimineel in staat om van buitenaf aan te vallen.

Ben je onvoldoende beschermd en worden de gegevens van jouw bedrijf door een klant, opdrachtnemer of medewerker opgeslagen, dan kan een lek bij hen voor jou gevolgen hebben. Dit werkt uiteraard twee kanten op: leidt een phishing-aanval tot het verlies van de gegevens die jouw bedrijf verwerkt, dan worden alle verwante bedrijven en personen kwetsbaar.

Drie aanvalsoppervlakken

Het goede nieuws is dat cybercriminelen afweerbaar zijn. De juiste voorzorg is drieledig. Elk bedrijf heeft ingangen, doorgangen en uitgangen. Pas wanneer je je bewust bent van de kwetsbaarheden die in dit drietal voorkomen, ben je in staat om de veiligheid van jouw bedrijf te indiceren.
 

  1. Met de ingang doelen we op de toegang tot bedrijfssystemen. Denk aan het het bedrijfsnetwerk of de beheeraccount van een website. De toegang wordt bijna altijd door wachtwoorden en gebruikersnamen bewaakt. Vinden criminelen een weg om die wachtwoorden en gebruikersnamen te stelen, dan is de beveiliging omzeild - en liggen klantgegevens, financiële informatie en personeelsbestanden voor het oprapen.
     
  2. Met de doorgang doelen we op devices als laptops en smartphones, ook wel endpoints genoemd. We gebruiken deze apparaten om data op te slaan en te verwerken. Is een crimineel in staat om toegang tot een apparaat te krijgen, dan kunnen de gegevens worden gebruikt voor het kraken van een ingang.

    Toegang wordt doorgaans met de verspreiding van malware bereikt. Vaak via foute links, ook wel phishing genoemd. Hoewel fysieke diefstal zeldzamer is, zijn de gevolgen identiek.

    Ransomware is een veelvoorkomende malwarevorm. Kwaadwillenden versleutelen de gegevens van een apparaat, eisen losgeld en herstellen het apparaat pas wanneer het bedrag wordt betaald. Krijg je de toegang daadwerkelijk terug, dan ben je één van de gelukkigen: sommige criminelen gebruiken, verhandelen of vernietigen de gegevens alsnog, ook wanneer er aan de losgeldeis wordt voldaan.
     
  3. Met de uitgang doelen we op cloudsystemen. De meeste Nederlandse bedrijven maken gebruik van Microsoft 365 met tools als OneDrive, SharePoint en Teams. Dergelijke software draait in de cloud. Samenwerking en uitwisseling van bestanden verloopt regelmatig op openlijke locaties. Deze toegankelijkheid wordt door cybercriminelen benut. Malware wordt via de cloud in de apparaten (ofwel doorgang) van gebruikers geïnjecteerd.

Zo sterk als de zwakste schakel

De beveiliging van doorgangen, ingangen en uitgangen is leidend voor de veiligheid van jouw bedrijf om het aanvalsoppervlak te verkleinen. Slaagt een kwaadwillende in het omzeilen van de beveiliging van cloudsystemen (uitgang), dan kunnen laptops en smartphones (doorgang) worden geïnfecteerd. Laat de beveiliging van deze apparaten te wensen over, dan liggen de gegevens van onbeveiligde accounts en bedrijfsnetwerken (ingang) voordehand.

Het is heel waarschijnlijk dat één van de categorieën in jouw omgeving al met een voorzorgsmaatregel wordt gedekt. Misschien betaal je voor aanvullende securitymaatregelen in Office 365. Misschien heb je de laptops van medewerkers of collega’s met een endpoint security tool beveiligd. Maar de helft is niet genoeg.

Beveilig je de doorgang met endpoint security, dan kan een gebrek aan cloud security alsnog tot de kraak van een ingang leiden. Is cloud security wél aanwezig, maar endpoint security niet, dan blijft een geslaagde phishing-aanval genoeg. Zorg dat je lagen opbouwt en een plan hebt.

Software als antwoord

De meest effectieve security-oplossingen dekken elke categorie. ESET is een schoolvoorbeeld. Het securitybedrijf heeft recent hiervoor het ESET Protect platform ontwikkeld, welke via Nederlandse partners wordt aangeboden om de veiligheid van elke bedrijfsgrootte te waarborgen.

Verschillende bundels maken het mogelijk om verschillende zwakke punten te versterken. De beveiliging van de doorgang, ofwel endpoint security, keert in elke bundel terug. De beveiliging van de uitgang, ofwel cloud, is voor uitgebreidere bundels weggelegd.

Deze gradaties zijn geen beperking, maar juist een pluspunt. Werk je nauwelijks met tools als Exchange Online of OneDrive, dan heb je weinig belang bij cloud security. In geval van het laatste kies je voor een basale bundel en betaal je uitsluitend voor de veiligheid die wél benodigd is. ESET Protect blijft het fundament, wat op- of afschalen vergemakkelijkt.

Binnen ESET’s bundels vind je een aantal onderscheidende maatregelen. Cloud sandboxing is een voorbeeld. De term doelt op een bijzonder effectieve methode voor het identificeren van nieuwe, nog onbekende dreigingen. Zelfs wanneer jij of een medewerker op een foute link klikt, wordt het leed je bespaard. Niet voor niets adviseert de AIVD officieel om phishing met cloud sandboxing tegen te gaan. De technologie is in vier van de vijf ESET Protect-bundels aanwezig.

In aanvulling op de vaste bundels, biedt ESET aanscherpingen als tweestapsverificatie en Endpoint Encryption.
 

  • Tweestapsverificatie houdt meer dan 90 procent van alle aanvallen op ingangen tegen. Zelfs wanneer de gegevens van accounts en bedrijfsnetwerken in verkeerde handen vallen, wordt de toegang niet verleend. Is tweestapsverificatie aanwezig, dan dient er een tweede apparaat - bijvoorbeeld een smartphone - aan de account van een gebruiker gekoppeld te worden. Log je met de juiste gegevens in, dan wordt er om een code gevraagd. Deze code is uitsluitend via het gekoppelde apparaat te genereren. Zonder dit apparaat komt een crimineel nergens.
     
  • Vindt er een datalek plaats en is er geen encryptie toegepast, dan dreigen gegevens openbaar gemaakt te worden. Een versleutelingsoplossing maakt het voor aanvallers onmogelijk om gestolen gegevens te lezen. Volledige schijfversleuteling is in de meeste ESET Protect bundels inbegrepen. Wil je meer mogelijkheden om ook e-mails en bijlagen, verwijderbare media en mappen te versleutelen, dan biedt ESET Endpoint Encryption de oplossing.
afbeelding van Geert van der Klugt

Geertvan der Klugt | Redacteur

Bekijk alle artikelen vanGeert