Grootbedrijf vs kmo

Zijn KMO’s ook gevoelig voor hackers?

Grote bedrijven en multinationals komen met de regelmaat van de klok in het nieuws met telkens nieuwe aanvallen door hackers. Duizenden lijnen klantengegevens worden gestolen. Contactgegevens en wachtwoorden worden buitgemaakt. In het ergste geval komen kredietkaartgegevens op straat te liggen. Maar zijn KMO’s eigenlijk ook gevoelig voor hackers? 

Elk jaar doet Verizon, de tweede grootste telecomprovider van de Verenigde Staten, onderzoek naar informatiebeveiligingsincidenten. Het resultaat publiceren ze in een rapport genaamd Verizon Data Breach Investigations Report (DBIR). Hierin combineren ze data van publieke en private organisaties wereldwijd waaronder politiediensten, landelijke centra voor cybersecurity, onderzoeksinstellingen en beveiligingsfirma’s. Ze standaardiseren en analyseren de data om hieruit trends af te leiden en aanbevelingen te kunnen doen per industrie. In het DBIR van 2020 wordt dieper ingegaan op KMO’s. 

Als conclusie geven de onderzoekers mee dat het stijgende gebruik van clouddiensten en de stijging van social engineering aanvallen ervoor zorgen dat het verschil in de resultaten tussen KMO’s en grote bedrijven steeds kleiner wordt. Wat opvalt is dat van de gemelde informatiebeveiligingsincidenten er bij KMO’s veel meer leiden tot een datalek (54%) dan bij de grote bedrijven (7%). Daar waar bij KMO’s vooral fouten in hun applicaties tot incidenten leiden, zijn het bij grotere bedrijven bewuste aanvallen met crimeware en misbruik van rechten. Bij KMO’s worden vooral gebruikersgegevens, persoonlijke gegevens en medische informatie buitgemaakt bij de gelukte aanvallen. 

De top-3 aanvalsmethoden voor zowel KMO’s als grote bedrijven bevatten dezelfde methoden: 

  • Phishing (social engineering)
  • Diefstal van toegangsgegevens
  • Password dumpers

In vergelijking met voorgaande jaren, zijn aanvallers minder op zoek naar betaalgegevens en meer naar toegangsgegevens en persoonlijke gegevens. Waar aanvallen zich in het verleden vaak focusten op betaalterminals, zijn de laatste jaren vooral end user devices, mailservers en het personeel zelf het doelwit. 

Wat zijn nu de meest voorkomende oorzaken waardoor KMO’s gegevens verliezen? Met stip op nummer één staan de aanvallen op kwetsbaarheden in de (web)applicaties. Daarna volgen aanvallen via email en allerhande vormen van social engineering. Verbazend genoeg zijn onbedoelde fouten door personeelsleden een belangrijke bron van gegevensverlies. Vooral in cloudomgevingen kunnen configuratiefouten enorme gevolgen hebben. 

Een positieve vaststelling is dat in vergelijking met grote bedrijven incidenten bij KMO’s sneller worden ontdekt; denk daarbij aan dagen in plaats van maanden. Ook al hebben grotere organisaties hele teams die zich bezighouden met informatiebeveiliging, hun complexiteit maakt hun tot een groter doelwit. Met hun beperktere scope, hebben KMO’s meer zicht op hun assets en valt het sneller op wanneer er iets fout loopt. 

Moraal van het verhaal? 

  • Ken je bedrijf
  • Ken je processen
  • Ken je assets
  • Denk na over je beveiligingsstrategie wanneer je de stap naar cloudoplossingen zet
  • Laat je bijstaan wanneer je hiervoor zelf niet de tijd of kennis hebt

Lettersoep

Afkortingen in Cyber Security

Net zoals elke technologische sector, zit ook die van de cybersecurity vol met afkortingen. Dit kan heel overweldigend overkomen. Maar met een beetje hulp van deze blogpost, kom je al een heel eind. 

Sinds 25 mei 2018 is de General Data Protection Regulation (GDPR) van kracht. In het Nederlands wordt deze ook wel de Algemene Verordening Gegevensbescherming (AVG) genoemd. Deze wetgeving legt maatregelen op ter bescherming van persoonsgegevens. Ze bevat de mogelijkheid tot zware boetes wanneer bij een datalek blijkt dat onvoldoende is nagedacht over informatiebeveiliging.

Een belangrijk fundament van informatiebeveiliging is Identity and Access Management (IAM). IAM is en framework met als doel de juiste mensen binnen (of buiten) de organisatie toegang geven tot de juiste data of applicaties. Het framework start met het controleren van een identiteit en het toewijzen van een gebruikersnaam. Na het aanloggen of authentiseren, wordt op basis van de autorisaties bepaald welke applicaties gebruikt mogen worden, welke data mag worden gelezen en welke acties mogen worden uitgevoerd.

Binnen IAM komen we nog heel wat afkortingen tegen. Laten we beginnen met Logical Access Management (LAM), een systeem waarin de toegang van gebruikers naar toepassingen wordt geconfigureerd. In plaats van de toegangsrechten per gebruiker te beheren, kunnen we ook kiezen voor Role Based Access Control (RBAC). Bij dit concept worden toegangsrechten gebundeld in rollen waarna deze rollen worden toegewezen aan groepen van gebruikers.

Aanloggen met een gebruikersnaam en wachtwoord is aanloggen met één factor, iets wat je kent, je wachtwoord. Met Multi Factor Authentication (MFA) kunnen we het aanloggen sterk beveiligen door een groter aantal factoren te vereisen. Andere mogelijke factoren zijn iets wat je hebt zoals een smartcard of token of iets wat je bent, een biometrische eigenschap zoals je vingerafdruk.

In grotere organisaties is het van belang om geprivilegieerde gebruikers strenger te beheren. Denk bij dit soort gebruikers aan Administrator accounts waarmee systemen werden geïnstalleerd. Typisch hebben deze accounts verregaande toegang tot systemen en data. Dit beheer heet Privileged Access Management (PAM) en heeft als functionaliteiten het beheren van wachtwoorden van deze accounts, het verlenen van toegang tot deze accounts en het registreren van het gebruik ervan.

Wanneer een organisatie meerdere security oplossingen heeft die allemaal events genereren, moet er ook iemand die events bekijken. Dan is er nood aan een Security Operation Centre (SOC), de cyber tegenhanger van een meldkamer bij alarmsystemen. De cyber tegenhanger is het Cyber Incident Response Team (CIRT). Wanneer er veel security oplossingen events genereren, wordt het lastig om ze allemaal in de gaten te houden. Dan wordt het tijd voor een Security Information and Event Management (SIEM) oplossing. Dit systeem bundelt de events uit andere systemen en kan relaties tussen events detecteren. De meldkamer kan iemand langs sturen die de nodigen onderzoeken uitvoert en stappen onderneemt om schade te beperken. Een van de nieuwste detectiesystemen is User and Entity Behaviour Analytics (UEBA). Deze systemen kijken naar het gedrag van processen en gebruikers, stelt een verwacht patroon op en slaat alarm wanneer gedrag afwijkt van de verwachting. Een klassiek voorbeeld is de secretaresse die plots midden in de nacht vanuit Azië toegang probeert te krijgen tot de boekhouding.

Wanneer je van al deze afkortingen geen kaas hebt gegeten, kan je een Chief Information Security Officer (CISO) inhuren. Deze kan een security strategie op maat van een onderneming opstellen en uitvoeren. Wanneer je zelf geen personeel met de nodige kennis en ervaring hebt om security functies uit te voeren, kan een Managed Security Service Provider (MSSP) een strategische oplossing zijn. Hierbij vervult een gespecialiseerde partij taken uit de security strategie.