Informatie beveiliging voor bedrijven: alles wat je moet weten over cyberrisico’s en informatie beveiliging verbeteren (2021)

| Leestijd: 25 minuten

Wat jij moet weten over informatie beveiliging? In dit artikel vertellen we je alles over:

  • de meest voorkomende cyberrisico’s voor bedrijven
  • hoe je je cyberrisico in kaart brengt
  • hoe je de informatie beveiliging binnen je organisatie op orde brengt

Met onze jaren ervaring in informatie beveiliging weten wij precies waar jij op moet letten binnen je organisatie. Maak je geen zorgen – het zal niet super technisch zijn! Let’s do this! Ben jij een particulier en wil je meer informatie over het onderwerp informatie beveiliging? Raden wij je aan om een te kijken bij het ncsc.

Over de auteur

Bij Surelock zijn we dag in, dag uit bezig met informatie beveiliging. Toch beseffen we dat informatie beveiliging voor veel bedrijven nog niet dagelijks hoog op het prioriteitenlijstje staat. 

Vaak wordt het belang van informatie beveiliging pas duidelijk nadat cybercriminelen systemen hebben geblokkeerd of data hebben gestolen. Tegelijkertijd kunnen anno 2021 cybercriminelen met relatief weinig kennis en inspanning veel slachtoffers maken, omdat de benodigde techniek steeds toegankelijker wordt. Het is als het ware laagdrempelig geworden; online is er bijvoorbeeld makkelijk informatie te vinden over hoe technieken van cybercriminelen werken. 

Door onze jarenlange ervaring in het vak weten we hoe cybercriminelen te werk gaan en wat je eraan kunt doen. Dit artikel is dan ook geschreven voor bedrijven die liever voor hun accreditaties dan hun datalek in het nieuws willen komen. 

Laten we starten bij het begin. 

Wat is informatie beveiliging?

informatie beveiliging, in het kort, is het beschermen van gegevens tegen schadelijke aanvallen van buitenaf en binnenuit. 

Onder informatie beveiliging verstaan we zowel het beveiligen van je hardware (servers, netwerken, computers) als de data op je apparaten (beschikbaarheid, integriteit en vertrouwelijkheid van je gegevens). Ook de meest onvoorspelbare factor van informatie beveiliging hoort hierbij: de manier waarop werknemers van elk bedrijf met hun data omgaan. Ook een plan van noodherstel en continuïteit na een informatie beveiligingsincident hoort bij informatie beveiliging.

Waarom is informatie beveiliging zo belangrijk? 

Als bedrijf wil je niet dat je gegevens op straat komen te liggen of jouw systemen worden gegijzeld door cybercriminelen.

Cybercriminaliteit is ook geen ‘klein’ probleem: volgens een rapport van RiskBased Security bleek dat er wereldwijd in de eerste negen maanden van het jaar 2019 7.9 miljard dossiers met persoonsgegevens openbaar werden na een datalek. Om je een beeld te geven: in slechts negen maanden was dat meer dan dubbel (112%) zoveel als dezelfde periode in 2018. 

In andere woorden: de omvang van cybercriminaliteit blijft toenemen, jaar na jaar. Zonder een goed informatie beveiligingsplan is niet de vraag óf jouw bedrijf in de problemen komt, maar wanneer. 

Soorten informatie beveiliging dreigingen

Wat is malware? 

Malware, afkomstig van het Engelse malicious (‘kwaadaardig’) is een naam voor een scala aan kwaadaardige programma’s die computers, servers en systemen kunnen infecteren. Zodra de malware het systeem heeft geïnfiltreerd, kan het onder meer worden ingezet om virussen te verspreiden, te spioneren  of om als ‘afstandsbediening’ de systemen van een bedrijf over te nemen.

Welke soorten malware zijn er? 

Er zijn verschillende soorten malware die cybercriminelen kunnen inzetten. 

Zo zijn virussen de bekendste vorm van malware, omdat ze voornamelijk bij consumenten slachtoffers maken. Virussen kunnen zich zelfstandig verspreiden door kopieën te maken van zichzelf en infiltreren zo andere programma’s. Ook computerwormen zijn erg bekend omdat ze zo ontzettend veel voorkomen. Wormen vermenigvuldigen zichzelf nóg actiever dan virussen. Een worm hecht zich aan andere programma’s, zoals een e-mailprogramma om andere systemen te infiltreren. 

Krijg je ineens een vreemd mailtje van een e-mailcontact met een download in de bijlage? Pas op, je hebt misschien met een computerworm te maken. 

Met sommige malware worden voornamelijk consumenten getarget, andere malware wordt voornamelijk gebruikt om bedrijven mee aan te vallen. Dit zijn de soorten malware waar bedrijven voornamelijk mee te maken krijgen:

 1. Ransomware 

Ransomware of afpersingssoftware is speciaal ontworpen software die de toegang tot systemen of bestanden blokkeert. Om deze blokkade op te heffen, wordt er geld geëist bij de bedrijven die aangevallen werden.

Ransomware kan bijvoorbeeld klantenbestanden blokkeren, maar kan net zo goed de volledige server van een bedrijf onbereikbaar maken.

Om een voorbeeld te geven: in april 2021 was de kaasafdeling van de Albert Heijn ineens leeg. Een drama in Nederland! Het logistiek bedrijf dat dat de kaas leverde, kreeg te maken met ransomware. De magazijnen konden geen orders meer ontvangen en ook de software om te weten in welk pallet welke kaas lag werkte niet meer. Bovendien werd de planning van de vrachtwagens geblokkeerd. Elk onderdeel van het normale proces lag dus stil door ransomware. 

Elk bedrijf werkt met systemen en datasets die, indien ze gegijzeld worden, de werking van het hele bedrijf kunnen stilleggen. 

2. Spyware 

Spyware is ook een sterk staaltje software, dat je bedrijf bespioneert zonder dat je je hiervan bewust bent. De data en informatie die hiermee verkregen wordt, wordt doorgestuurd naar de maker of naar derde partijen. 

Spyware wordt in het algemeen ingezet voor commerciële doeleinden, denk aan het feit dat je ineens heel persoonlijke advertenties krijgt. Alhoewel spyware geen directe schade aanbrengt aan je computers/servers/systemen, kan spyware de prestaties en veiligheid aantasten, waardoor in de toekomst dezelfde of andere cybercriminelen sneller toegang krijgen tot alles wat je wil beschermen. 

3. Trojan spyware of een Trojaans paard

Iedereen kent het verhaal wel van het Trojaans paard – hoe de Grieken Troje veroverden door middel van een list. De malware die gekend is als een Trojaans paard is geïnspireerd op dit verhaal: waar de inwoners van Troje dachten dat ze een onschuldig cadeau kregen, denken de personen die onwetend een Trojaans paard installeren dat ze een nuttig en veilig programma installeren. 

Een gebruiker die een Trojaans paard installeert, weet over het algemeen niet dat hij of zij malware heeft geïnstalleerd, want het programma probeert volledig onzichtbaar te blijven terwijl het op de achtergrond functies uitvoert. 

Zo kan een Trojaans paard:

  • Dataverkeer van een computer volgen
  • Informatie kopiëren en doorsturen
  • Informatie wijzigen of verwijderen
  • Software veranderen
  • Nieuwe software (denk aan spy- of adware) installeren
  • De computer laten crashen
  • Creditcard- en bankgegevens verzamelen
  • Een computer spammails laten versturen

Trojaanse paarden worden vaak verstuurd als e-mailbijlage (zoals .zip .exe en .vbs), maar kunnen evengoed verstopt zitten in downloads van websites. 

4. Backdoor of trapdoor

Backdoor – nog zo’n Engels woord – betekent dat malware ervoor zorgt dat de ‘achterdeur’ open gaat staan, of dat een externe user toegang krijgt tot een computer, zonder dat de eigenaar van die computer dat doorheeft. 

Zowel virussen, wormen en Trojaanse paarden kunnen backdoors installeren. 

Hoe herken je een malware aanval?

Het kan best zijn dat je niet doorhebt dat je computer geïnfecteerd is met malware. Maar vaak zijn er toch enkele symptomen die je kunt herkennen:

  • Je computer is ineens veel trager (omdat de malware je processor belast)
  • Je computer valt ineens uit of crasht vaker
  • Je programma’s crashen vaker
  • Programma’s zijn ineens verdwenen
  • Er worden nieuwe programma’s geïnstalleerd
  • Je firewall is ineens uitgeschakeld
  • Je krijgt veel reclame pop-ups
  • Je hebt ineens een nieuwe zoekmachine of werkbalk in je browser
  • Je bestanden zijn versleuteld

Dit zijn allemaal duidelijke symptomen van malware. 

SQL-injection 

Alsof er nog niet genoeg malware is, gebruiken cybercriminelen nog meer technieken om data te verzamelen en systemen te infiltreren. 

Zo is SQL-injection een vaak gebruikte manier om de database achter een website te bereiken. Op de meeste websites zijn invoervelden te vinden, bijvoorbeeld in contactformulieren of formulieren waarmee (potentiële) klanten zich kunnen inschrijven voor de nieuwsbrief. 

In zo’n tekstvak kan er uiteraard gewoon tekst worden ingevoerd, maar er kan ook code worden ingevoerd, zoals HTML of SQL. SQL is een code die wordt gebruikt om databases aan te sturen. 

Een veilige webpagina checkt of de ingevoerde code via het tekstvak schadelijk kan zijn en blokkeert deze indien dit zo is. Maar als de beveiliging niet op orde is, kan een hacker via een kwaadwillende SQL-query toegang krijgen tot de database achter de website. Hiermee kan er toegang worden verkregen tot persoonlijke informatie van klanten en meer. 

Het is belangrijk dat een website regelmatig wordt gescand om dit soort zwakke punten tegen te gaan. Een SQL attack is immers 100 procent te voorkomen door juiste programmacode. 

Heb je hier nog nooit aandacht aan besteed? Dan kun je een demo van onze vulnerability scan aanvragen. Hierbij rapporteren we alle manieren waarop je bedrijf al dan niet de beveiliging kan verbeteren. 

Deze vulnerability scan is bovendien super leerzaam, want je krijgt direct een goed beeld van je informatie beveiliging. 

Phishing  

Phishing is een heel bekende vorm van digitale oplichting, waarbij slachtoffers via e-mail, WhatsApp en sms naar een valse website worden gelokt die ontzettend goed lijkt op een vertrouwde website, zoals bijvoorbeeld de website van hun bank. Slachtoffers vullen dan hun gegevens in (zoals inloggegevens en creditcardinformatie), waarmee cybercriminelen dan aan de haal gaan. 

Een ander veelvoorkomende phishing strategie is dat een fraudeur zich voordoet als iemand uit de naaste omgeving, die vraagt dat het slachtoffer geld overschrijft. Consumenten krijgen bijvoorbeeld een WhatsApp bericht van een familielid die zijn of haar mobiel is verloren (vandaar het andere nummer) en vraagt of het slachtoffer geld kan overschrijven. Phishing is bij consumenten over het algemeen niet ontzettend gericht; de e-mails en berichten worden op grote schaal uitgestuurd naar vele e-mailadressen en de cybercriminelen hopen dat enkele personen zich laten vangen. 

Phishing bij bedrijven

Phishing is uiteraard ook een probleem voor bedrijven. Hierbij gaan cybercriminelen vaak gericht te werk: ze zoeken uit wie er werkt, om vervolgens zogenaamd vanuit de CEO of CFO aan een iemand van het financiële departement te vragen om een overschrijving uit te voeren. Zo kan er veel geld worden overgeschreven aan fraudeurs. Het is dus uiterst belangrijk dat elk bedrijf checks inbouwt: vanaf een bepaald bedrag moet een overschrijving altijd worden goedgekeurd door een tweede of derde persoon. 

Natuurlijk worden bedrijven vaak ook getarget met phishing e-mails waarmee fraudeurs gegevens zoals inloggegevens, wachtwoorden, creditcardgegevens en pincodes proberen te ontfutselen. 

DDoS aanvallen

DDoS, de afkorting van distributed-denial-of-service aanval, zijn cyberaanvallen waarbij wordt geprobeerd een computer, computernetwerk of dienst zo aan te vallen, waardoor klanten die computer, dat computernetwerk of die dienst niet meer kunnen bereiken. Het hoofddoel van een DDoS aanval is dus om aanvragen van reguliere gebruikers niet mogelijk te maken. 

Een DDoS aanval wordt uitgevoerd door meerdere computers tegelijk. Meerdere personen kunnen hun acties coördineren – dit is bijvoorbeeld wat hackerscollectief Anonymous doet – , maar vaker wordt een botnet gebruikt. Deze software-robots kunnen bijvoorbeeld het doelsysteem met externe communicatieverzoeken overbelasten, waardoor deze erg traag wordt en de server kan overbelasten. Een neveneffect van DDoS aanvallen is dat legitieme gebruikers steeds een site refreshen omdat ze geen toegang krijgen, waardoor het effect van de DDoS attack onbedoeld wordt vergroot. 

Cybercriminelen creëren vaak programma’s (flooders genoemd) om een computer, computernetwerk of dienst aan te vallen en te overspoelen met data. 

Hoe breng je informatie beveiligingsrisico’s in kaart? 

Nu je meer weet over het scala aan informatie beveiligingsrisico’s, volgt natuurlijk de vraag hoe je precies ontdekt of jouw hardware, software en systemen goed beveiligd zijn en/of er grijze of onbeveiligde zones zijn. Gelukkig zijn er verschillende manieren om te testen hoe goed de informatie beveiliging van je bedrijf is. 

Hoe goed kennen werknemers informatie beveiliging risico’s?

In de informatie beveiliging sector weet iedereen het: je kunt nog zó goed je systemen beveiligen, als werknemers niet opletten, zijn er kansen voor cybercriminelen. Eén verkeerde klik is soms al genoeg! 

Daarom is het belangrijk dat werknemers het belang informatie beveiliging begrijpen én getraind worden op informatie beveiliging. Zo kan er bijvoorbeeld getraind worden op het herkennen van phishing e-mails met een phishing simulatie.

Wat is een phishing-simulatie?

Een phishing-simulatie is een e-mail van een informatie beveiligingspartij die wordt gestuurd naar de werknemers van bedrijven om te testen hoeveel procent de e-mail spot als phishing en hoeveel procent op de bijlage/link klikt. Idealiter klikt niemand op de phishing-simulatie, want bij een echte phishing-mail is slechts één klik genoeg voor cybercriminelen om toegang te krijgen tot systemen, data en meer. Met een phishing-simulatie krijgt een bedrijf beter inzicht in de informatie beveiliging van het bedrijf én het kennisniveau rondom security awareness. 

Een phishing-simulatie is geen vage e-mail in slecht Engels die van een kilometer ver te spotten is. Nee, dit kunnen heel geloofwaardige e-mails zijn van bijvoorbeeld de Belastingdienst of Google Drive, zie het voorbeeld hieronder. Zou jij zien dat dit een phishing-e-mail is? 

Voorbeeld van een phishingmail, informatie beveiliging

De afbeelding hierboven is één van onze eigen, gratis phishing-simulaties. Ben je benieuwd hoe vatbaar jouw organisatie is? Dan bieden we een gratis nulmeting aan. Wij sturen alle werknemers een geloofwaardige phishing-simulatie en rapporteren nadien hoe (on)veilig je gegevens zijn. 

Hoe goed zijn de processen ingericht voor informatie beveiliging?

Niet alleen de werknemers moeten op de hoogte zijn van informatie beveiligingsrisico’s, ook de processen van een organisatie moeten zo ingericht zijn dat er geen grijze zones zijn die cybercriminelen kunnen misbruiken. 

Hoe veilig de processen zijn ingericht en hoe goed de data van een bedrijf is beveiligd, wordt gecheckt tijdens een informatie beveiliging audit. Er wordt met een objectieve blik gekeken naar onderdelen van een organisatie, zoals de beveiliging van datacenters en databases. 

Het is ontzettend belangrijk dat de processen van een organisatie goed zijn ingericht, waardoor de data van een bedrijf te allen tijde goed beveiligd is. Zo mag bepaalde data (denk aan cv’s) maar een korte tijd worden bewaard, terwijl andere data maar door werknemers met een bepaalde clearance mag worden bekeken. 

Een informatie beveiliging audit is belangrijk om in orde te zijn met wetgeving & frameworks (zoals AVG, ISO of ISAE). Uiteraard is een audit ook handig om regelmatig de omgeving van je organisatie te testen. Daarnaast kunnen bedrijven ook hoge boetes krijgen als er data lekt en blijkt dat deze data niet goed beveiligd was. Daarvoor werd immers de Algemene verordening gegevensbescherming (AVG) in het leven geroepen. Organisaties die de AVG overtreden, kunnen een boete van maximaal 20 miljoen euro of 4% van hun wereldwijde jaaromzet krijgen. Reden genoeg om de processen lekvrij in te richten! 

Geen enkel bedrijf wil in het nieuws komen omdat er een hoge boete moet worden betaald na een datalek. Zorg er dus voor dat er regelmatig een informatie beveiliging audit komt – door een externe partij – die heel kritisch kan kijken naar alle processen van een organisatie. 

Een informatie beveiliging audit gebeurt door informatie beveiliging professionals, dit is dus een ‘menselijke check’.

Hoe goed is de techniek van een bedrijf ingericht voor informatie beveiliging? 

Professionals kunnen veel grijze zones ontdekken aan de hand van een gestructureerde vragenlijst, maar computers ontdekken vaak nóg meer problemen. 

Vulnerability scan

Met een vulnerability scan wordt gecheckt welke valkuilen er zijn in de netwerkbeveiliging. Netwerkbeveiliging is als een race: als er ergens problemen zijn, moet jij ze eerder vinden dan cybercriminelen en deze problemen natuurlijk tijdig kunnen elimineren. 

Tijdens een vulnerability scan wordt het hele netwerk van een bedrijf gescand, zowel de externe als interne network security. 

Bij Surelock hebben we ons gespecialiseerd in het duidelijker maken van de vulnerability scans. Bij de meeste bedrijven die hun techniek laten scannen, zijn de resultaten van zo’n scan vrij hard: ze ontvangen een waslijst aan werkpunten. Wij weten uit ervaring dat zo’n lijst er vaak voor zorgt dat het onduidelijk is welke punten het eerst aandacht nodig hebben. Een netwerk vulnerability scan geeft bovendien enkel aan waar het mis gaat en geeft geen oplossing voor de gevonden fouten. 

Surelock pakt een vulnerability scan nét iets anders aan dan andere bedrijven in deze markt. Wij zorgen er immers voor dat alle punten van de waslijst in een dashboard worden gegoten. Daar stopt het niet: dit dashboard geeft scores aan elk werkpunt, gebaseerd op het risico dat deze zwakke punten vormen, doordat aanvallers actief op zoek zijn naar deze zwakke punten. Op deze manier kan elk bedrijf snel de werkpunten opdelen tussen kritische punten die asap moeten worden opgelost en punten die iets minder prioriteit hebben. 

Benieuwd wat de kwetsbaarheden van jouw organisatie zijn? Vraag dan gerust een eenmalige gratis vulnerability scan aan die de buitenkant van jouw netwerk en omgeving scant. Deze scan is ontzettend leerzaam én 88% van onze klanten realiseert direct betere prioriteiten! 

Hoe gaat een vulnerability scan van Surelock in zijn werk?

Een IT netwerk van een bedrijf bestaat uit vele componenten. Denk hierbij aan de servers, werkstations en printers waar de medewerkers mee werken. Daarnaast zijn er veel componenten aanwezig die niet direct zichtbaar zijn en niet door medewerkers worden gebruikt. Denk hierbij aan routers, switches, een firewall en webservers.

Al deze ‘devices’ zijn verbonden met het IT netwerk en bevatten software, zoals een operating system of firmware. Deze software dient met een vaste regelmaat gecontroleerd te worden op veiligheid, zodat de laatste updates geïnstalleerd kunnen worden. Apparaten die niet geüpdatet worden vormen een beveiligingsrisico voor de organisatie. 

Een aanvaller kan door middel van een bekende kwetsbaarheid toegang krijgen tot het apparaat en daarmee tot het bedrijfsnetwerk. Met die toegang is het mogelijk om de aanval verder uit te breiden, bijvoorbeeld door ‘als insider’ toegang te krijgen tot vertrouwelijke informatie, of om netwerkverkeer af te luisteren. Daarom is het belangrijk om de gebruikersapparaten, zoals laptops, desktops, tablets en smartphones vaak te updaten. Ook alle apparatuur die niet direct zichtbaar is maar wel aangesloten is op het netwerk van de organisatie goed te beveiligen, mag ook niet worden vergeten.

Stap 1 van de vulnerability scan: de discovery scan 

De eerste stap van de vulnerability scan van Surelock is dus het uitvoeren van een discovery scan. Deze discovery scan maakt een inventarisatie van alle apparatuur die aan het netwerk gekoppeld is. De discovery scan levert vaak leerzame informatie op, omdat in veel organisaties geen volledig beeld is van alle apparatuur die aanwezig is op het netwerk. Denk bijvoorbeeld aan een alarmsysteem of telefooncentrale, of een access point die door een medewerker is geplaatst zonder IT te informeren. Deze onbekende systemen noemt met ook wel ‘shadow IT’.

Stap 2 van de vulnerability scan: het vulnerability management systeem 

Na de discovery scan bevat het vulnerability management systeem een volledig overzicht van alle apparaten en dit overzicht wordt met iedere nieuwe discovery scan automatisch geüpdatet, zodat nieuwe apparatuur gemeld wordt bij de IT beheerder en deze het beheer kan controleren.

Stap 3 van de vulnerability scan: de kwetsbaarhedenscans

Nadat de Discovery heeft plaatsgevonden en alle apparatuur geïdentificeerd is, wordt het mogelijk om het netwerk te segmenteren voor de kwetsbaarhedenscans. Dit segmenteren is belangrijk omdat verschillende netwerksegmenten ook een verschillende aanpak nodig hebben. 

Typische segmentaties zijn:

  • Onderscheid maken op locatie,
  • Onderscheid maken in type besturingssysteem,
  • Onderscheid maken in passief of actieve netwerkcomponenten,
  • Onderscheid maken in beheerders verantwoordelijkheid,
  • Onderscheid op basis van bedrijfsbelang / continuïteitsoogpunt.

Wanneer de segmentatie is ingedeeld in de vulnerability management tool, worden er filters toegepast zodat bij nieuwe discovery scan gevonden apparaten direct in het juiste segment worden toegepast. Bijvoorbeeld een nieuw ontdekte Windows laptop, wordt direct in de ‘map’ Windows toegevoegd en de beheerder krijgt hier een signaal van. Ook kan het systeem niet-herkende apparaten aangeven. 

Het bepalen van scanfrequenties

Met alle apparaten en toewijzingen op de juiste plek is de volgende stap om scanfrequenties te bepalen. Hierbij wordt ook rekening gehouden met de patch frequentie; hoe vaak wordt door de leverancier een update uitgebracht op dit type systeem. Zo zal een Linux server vaker updates nodig hebben dan een netwerk switch. De scanfrequenties bepalen hoe vaak de scanner een geselecteerde groep zal scannen, hoe lang de scan daar over mag doen en op welk tijdstip dat mag plaatsvinden. 

Op die manier houden wij rekening met:

  • Systeembelasting (scannen kost CPU tijd van het systeem),
  • Netwerkbelasting (scannen kost bandbreedte),
  • Scanconsumptie (scannen kost geld, hiermee worden de kosten van het scannen geminimaliseerd)

De scanner van Surelock heeft een unieke eigenschap om een scan-register aan te leggen van iedere scan. Daarmee blijft een maand lang een overzicht behouden van alle gevonden systemen en software binnen de scan. 

Wanneer nieuwe kwetsbaarheden bekend worden, gaat de scanner eerst in dit scan-register terugkijken en kan direct gemeld worden of dit probleem mogelijk aanwezig is, zonder dat alle systemen eerst volledig gescand dienen te worden. 

Pentest

Ook met een pentest kan de techniek van een bedrijf en de zwakke punten in kaart worden gebracht. Een pentest of penetratietest geeft inzichtelijk waar de risico’s en kwetsbaarheden van systemen liggen. Een pentest gaat eigenlijk een stapje verder dan een vulnerability scan: waar een scan aangeeft waar de zwaktes liggen en dan stopt, worden deze zwaktes ook getest door ethical hackers bij een pentest. 

Door middel van geautomatiseerde tools proberen ethical hackers om – na toestemming van het bedrijf – toegang te krijgen tot systemen en/of informatie aan de hand van eerder gevonden zwaktes. 

Er zijn drie soorten pentests die de technische beveiligingsrisico’s van een IT-infrastructuur, website of (mobiele) app in kaart te brengen. 

  1. Black Box pentest: bij een Black Box pentest verstrekt de opdrachtgever vooraf geen informatie aan de ethical hackers. Met andere woorden: zij gaan de systemen (website, IT-infrastructuur, mobiele apps, API-koppelingen) aanvallen zoals echte hackers dit zouden doen, op zoek naar kwetsbaarheden die kunnen worden uitgebuit. Middels open bronnen onderzoek (OSINT) wordt de omgeving van de opdrachtgever van binnen en van buiten in kaart gebracht. 

2. Grey Box pentest: een Grey Box-tester heeft voor de test het toegang- en kennisniveau van een gebruiker, mogelijk met verhoogde bevoegdheden op een systeem. Zo krijgt de tekster ook allerlei ontwerpdocumentatie voor een netwerk. Deze wordt gebruikt om vanaf het begin te richten op de systemen met het grootste risico en de grootste waarde, in plaats van tijd te besteden aan het zelf te moeten bepalen welke systemen de grootste risico’s bevatten. Het doel van Grey Box pentesting is dus om een meer gerichte en efficiënte beoordeling van de beveiliging van een netwerk te bieden dan een Black Box beoordeling. 

Vaak krijgt een Grey Box pentester ook een intern account op het systeem. Dit maakt het ook mogelijk om de beveiliging binnen de geharde perimeter te testen en een aanvaller te simuleren die een langdurige toegang tot het netwerk heeft.

  1. White Box pentest: bij een White Box pentest – ook soms Crystal Box genoemd – geeft de opdrachtgever de ethical hackers al veel informatie over het bedrijf, denk aan de source code, functionaliteitenlijst, rollen/rechten matrix en de gedefinieerde scope. Zo kunnen de ethical hackers veel gerichter op zoek gaan naar de zwakke punten van de IT-infrastructuur, website, (mobiele) apps en meer. 

NIST framework

Ook met het NIST informatie beveiligingsframework kan er gekeken worden naar de technische informatie beveiliging van een bedrijf. NIST staat voor US National Institute of Standards and Technology en is dus een Amerikaans framework. 

Afbeelding die duidelijk aangeeft wat het NIST frame aangeeft.  Dit kan bedrijven helpen bij het begrijpen van hun informatie beveiliging.

Het NIST framework bestaat uit 5 ‘core functies’:

  1. Identify: organisaties moeten inzicht krijgen in hun omgeving. Enkel zo kan een organisatie begrijpen welke risico’s er zijn en welk beleid er moet worden uitgevoerd om deze risico’s te minimaliseren. 
  2. Protect: organisaties moeten safeguards ontwikkelen en implementeren om mogelijke informatie beveiligingsissues tegen te gaan. Met andere woorden: een organisatie moet de focus leggen op bewustmaking bij werknemers, maar evengoed processen opzetten om de gegevens te beveiligen en beschermende technologieën implementeren.
  3. Detect: organisaties moeten passende maatregelen nemen om informatie beveiliging problemen snel te kunnen detecteren. Dit houdt in dat organisaties oplossingen moeten gebruiken die afwijkende activiteiten en andere bedreigingen kunnen detecteren. Door deze continue monitoring kan er worden geanticipeerd op een . 
  4. Respond: mocht zich een cyberincident voordoen, dan moeten organisaties weten hoe ze hiermee omgaan. Er is een response plan nodig, er moet data worden verzameld over het cyberincident en de geleerde lessen moeten worden gebruikt in nieuwe safeguards.
  5. Recover: organisaties moeten na een cyberincident snel werken aan het herstellen van de services die werden aangetast tijdens het incident. Samen met externe partijen moet het herstelplan worden uitgevoerd én de geleerde lessen moeten worden opgenomen in de geactualiseerde herstelstrategie. 

Wat zijn de gevolgen van slechte informatie beveiliging ? 

We hebben het natuurlijk in dit artikel even gehad over de soorten van cybercrime en hoe bedrijven hun systemen kunnen analyseren om zwakke punten te vinden. Dan volgt natuurlijk de volgende grote vraag: “wat zijn nu precies de gevolgen van cybercrime?”.

Wel, de gevolgen van cybercrime zijn afhankelijk van het soort van cybercrime waarmee een bedrijf te maken krijgt, maar ze kunnen voor enorm veel schade zorgen. Monetaire schade, schade aan het imago van een bedrijf én schade voor de klanten van een bedrijf. 

Het kan voor kosten zorgen

Er zijn verschillende kosten: zo kan een bedrijf geld verliezen door digitale financiële fraude, waarbij er geld wordt overgeschreven naar een account van een crimineel. Ook diefstal van intellectuele eigendommen kan een flinke duit kosten.

Daarnaast kan het ook dat een bedrijf ook geld moeten betalen aan hackers die met ransomware systemen en bestanden versleutelen én moet een bedrijf daarna kosten maken om hun informatie beveiliging weer op te lappen. Tijdens de periode dat een website of webshop wordt ‘platgelegd’, wordt er natuurlijk ook geen geld verdiend, wat voor een indirect omzetverlies kan zorgen. 

De kosten worden ook ieder jaar meer en meer – een duidelijk teken dat het belang van informatie beveiliging niet mag worden onderschat. Om een idee te geven: uit een onderzoek van Forrester bij 5600 bedrijven wereldwijd, bleek dat er 1.6 miljard euro gezamenlijke schade was door cyberincidenten, zoals malware en ransomware. Dat was ongeveer 540 miljoen meer dan het voorgaande jaar. 

Uit datzelfde onderzoek bleek dat een ransomware-incident gemiddeld 827 000 euro kost. Een virus is ‘goedkoper’: slechts 438 000 euro. Hoe dan ook, dit zijn gigantische sommen die geen enkel bedrijf wil betalen. 

En als bij een bedrijf de data gecompromitteerd is, dan moet het bedrijf ook direct een melding doen bij de Autoriteit Persoonsgegevens (AP). Wordt dit niet correct gedaan, kan het bedrijf ook nog een AVG-boete ontvangen. 

Het kan imagoschade opleveren

Bij een cyberincident gaat bijna altijd imagoschade mee gepaard. Soms zijn de hackers daar ook op uit – bijvoorbeeld door bedrijfsgegevens te misbruiken voor identiteitsfraude of gegevens van leveranciers misbruiken. 

Ook als een bedrijf in het nieuws komt door een hack, is dat uiterst slecht voor het imago van dat bedrijf. 

Hoe kan je informatie beveiliging binnen jouw organisatie verbeteren?  

Money, money, money … als iemand je zegt dat informatie beveiliging een stevige duit kost, dan weet je nu dat het antwoord is “Ja, maar een cyberincident nog meer!”. Goede informatie beveiliging is dus elke cent waard. 

Om de informatie beveiliging binnen jouw organisatie te verbeteren, is het belangrijk om verschillende stappen te zetten. Laten we beginnen met security awareness. 

  1. Security awareness bij de medewerkers 

Eerder in dit artikel gaven we aan dat mensen de meest onvoorspelbare factor zijn in het hele informatie beveiligingsproces. Je kunt je IT-infrastructuur nog zó goed beveiligen, als werknemers geen kennis hebben van informatie beveiliging, gaat het vroeg of laat fout.

Iemand klikt een phishing e-mail open, een andere persoon downloadt een grote dataset, zet die op een USB-stick en laat deze slingeren … zelfs zonder kwaadwillig opzet, kan een bedrijf in de problemen komen. 

Daarom is awareness training voor medewerkers ontzettend belangrijk. Er zijn veel aanbieders van security awareness trainingen die video’s op maat aanbieden, waarin wordt geleerd over de GDPR en informatie beveiliging. Er wordt besproken wat de actuele gevaren zijn en wat de nadelen voor een bedrijf kunnen zijn als er niet genoeg focus is op informatie beveiliging. 

Surelock biedt twee soorten trainingen aan: fysieke training én online training. Wij kunnen makkelijk op kantoor komen, maar evengoed via een online meeting onze kennis doorgeven. Daarnaast hebben we een online platform met een scala aan kennisvideo’s over onderwerpen zoals CEO fraude, wifi hotspots, etc. De video’s duren slechts enkele minuten, zodat de kijkers niet afgeleid worden. 

  1. Doorlopende vulnerability scanning

Eerder in dit artikel spraken we al over vulnerability scanning. Dit kun je ook eenmalig gratis – en geheel vrijblijvend – bij Surelock aanvragen, via de button hieronder. 

Maar om écht goed beveiligd te zijn als bedrijf, is het belangrijk dat alle systemen doorlopend gemonitord en gescand worden. Zo worden zwakke punten snel gedetecteerd en ongewild bezoek buitengesloten. Bij Surelock zitten we graag met je samen om een jaarplan te maken qua externe netwerkscans, interne netwerkscans, cloud scans en wifi scans om zo de informatie beveiliging van je bedrijf te optimaliseren. 

Conclusie

Anno 2021 kun je niet om informatie beveiliging heen. Als bedrijf moet je verregaande stappen zetten om alle systemen en data te beveiligen. Het is niet genoeg om te reageren als er iets gebeurt, nee, er moet proactief worden gecheckt én werknemers moeten opgeleid worden om de gevaren te herkennen. 

Om een zin van eerder in dit artikel te herhalen: zonder een goed informatie beveiligingsplan is niet de vraag óf jouw bedrijf in de problemen komt, maar wanneer. 

Laat het niet zo ver komen en focus op je informatie beveiliging. Zoek hiervoor een goede partner – wij staan alvast klaar om te helpen.

Geschreven door: Stefan Schepers

 
Delen: Informatie beveiliging voor bedrijven: alles wat je moet weten over cyberrisico’s en informatie beveiliging verbeteren (2021)

Door

- Stefan Schepers
Marketing manager
foto van een jongen aan het lachen in zwart wit

Hoe gaat een vulnerability scan in zijn werk?

Een IT netwerk van een bedrijf bestaat uit vele componenten. Denk hierbij aan de servers, werkstations en printers waar de medewerkers mee werken. Daarnaast zijn er veel componenten aanwezig die niet direct zichtbaar zijn en niet door medewerkers worden gebruikt. Denk hierbij aan routers, switches, een firewall en webservers.



Al deze ‘devices’ zijn verbonden met het IT netwerk en bevatten software, zoals een operating system of firmware. Deze software dient met een vaste regelmaat gecontroleerd te worden op veiligheid, zodat de laatste updates geïnstalleerd kunnen worden. Apparaten die niet geüpdatet worden vormen een beveiligingsrisico voor de organisatie. 



Een aanvaller kan door middel van een bekende kwetsbaarheid toegang krijgen tot het apparaat en daarmee tot het bedrijfsnetwerk. Met die toegang is het mogelijk om de aanval verder uit te breiden, bijvoorbeeld door ‘als insider’ toegang te krijgen tot vertrouwelijke informatie, of om netwerkverkeer af te luisteren. Daarom is het belangrijk om de gebruikersapparaten, zoals laptops, desktops, tablets en smartphones vaak te updaten. Ook alle apparatuur die niet direct zichtbaar is maar wel aangesloten is op het netwerk van de organisatie goed te beveiligen, mag ook niet worden vergeten.


Hoe goed is de techniek van een bedrijf ingericht voor informatie beveiliging?

Professionals kunnen veel grijze zones ontdekken aan de hand van een gestructureerde vragenlijst, maar computers ontdekken vaak nóg meer problemen.

Wat is een phishing-simulatie?

Een phishing-simulatie is een e-mail van een informatie beveiligingspartij die wordt gestuurd naar de werknemers van bedrijven om te testen hoeveel procent de e-mail spot als phishing en hoeveel procent op de bijlage/link klikt. Idealiter klikt niemand op de phishing-simulatie, want bij een echte phishing-mail is slechts één klik genoeg voor cybercriminelen om toegang te krijgen tot systemen, data en meer. Met een phishing-simulatie krijgt een bedrijf beter inzicht in de informatie beveiliging van het bedrijf én het kennisniveau rondom security awareness. Link-site.nl

Een phishing-simulatie is geen vage e-mail in slecht Engels die van een kilometer ver te spotten is. Nee, dit kunnen heel geloofwaardige e-mails zijn van bijvoorbeeld de Belastingdienst of Google Drive, zie het voorbeeld hieronder. Zou jij zien dat dit een phishing-e-mail is?

Hoe goed kennen werknemers informatie beveiliging risico’s?

Iedereen op het gebied van informatiebeveiliging weet: je kunt ook je systeem beveiligen. Als medewerkers niet oppassen, hebben cybercriminelen een kans. Soms is één verkeerde klik al genoeg!

Daarom is het belangrijk dat medewerkers het belang van informatiebeveiliging begrijpen en informatiebeveiligingstraining krijgen. Een training om phishing-e-mails te identificeren kan bijvoorbeeld worden gegeven door middel van een phishing-simulatie.

Hoe goed zijn de processen ingericht voor informatie beveiliging?

Niet alleen de werknemers moeten op de hoogte zijn van informatie beveiligingsrisico’s, ook de processen van een organisatie moeten zo ingericht zijn dat er geen grijze zones zijn die cybercriminelen kunnen misbruiken.

Hoe veilig de processen zijn ingericht en hoe goed de data van een bedrijf is beveiligd, wordt gecheckt tijdens een informatie beveiliging audit. Er wordt met een objectieve blik gekeken naar onderdelen van een organisatie, zoals de beveiliging van datacenters en databases.

Het is ontzettend belangrijk dat de processen van een organisatie goed zijn ingericht, waardoor de data van een bedrijf te allen tijde goed beveiligd is. Zo mag bepaalde data (denk aan cv’s) maar een korte tijd worden bewaard, terwijl andere data maar door werknemers met een bepaalde clearance mag worden bekeken.

Een informatie beveiliging audit is belangrijk om in orde te zijn met wetgeving & frameworks (zoals AVG, ISO of ISAE). Uiteraard is een audit ook handig om regelmatig de omgeving van je organisatie te testen. Daarnaast kunnen bedrijven ook hoge boetes krijgen als er data lekt en blijkt dat deze data niet goed beveiligd was. Daarvoor werd immers de Algemene verordening gegevensbescherming (AVG) in het leven geroepen. Organisaties die de AVG overtreden, kunnen een boete van maximaal 20 miljoen euro of 4% van hun wereldwijde jaaromzet krijgen. Reden genoeg om de processen lekvrij in te richten!

Geen enkel bedrijf wil in het nieuws komen omdat er een hoge boete moet worden betaald na een datalek. Zorg er dus voor dat er regelmatig een informatie beveiliging audit komt – door een externe partij – die heel kritisch kan kijken naar alle processen van een organisatie.

Een informatie beveiliging audit gebeurt door informatie beveiliging professionals, dit is dus een ‘menselijke check’.

Hoe herken je een malware aanval?

Het kan best zijn dat je niet doorhebt dat je computer geïnfecteerd is met malware. Maar vaak zijn er toch enkele symptomen die je kunt herkennen:

Je computer is ineens veel trager (omdat de malware je processor belast)
Je computer valt ineens uit of crasht vaker
Je programma’s crashen vaker
Programma’s zijn ineens verdwenen
Er worden nieuwe programma’s geïnstalleerd
Je firewall is ineens uitgeschakeld
Je krijgt veel reclame pop-ups
Je hebt ineens een nieuwe zoekmachine of werkbalk in je browser
Je bestanden zijn versleuteld

Dit zijn allemaal duidelijke symptomen van malware.

Waarom is informatiebeveiliging belangrijk? (2021)

Als bedrijf wil je niet dat je gegevens op straat komen te liggen of jouw systemen worden gegijzeld door cybercriminelen.


Cybercriminaliteit is ook geen ‘klein’ probleem: volgens een rapport van RiskBased Security bleek dat er wereldwijd in de eerste negen maanden van het jaar 2019 7.9 miljard dossiers met persoonsgegevens openbaar werden na een datalek. Om je een beeld te geven: in slechts negen maanden was dat meer dan dubbel (112%) zoveel als dezelfde periode in 2018.

In andere woorden: de omvang van cybercriminaliteit blijft toenemen, jaar na jaar. Zonder een goed informatie beveiligingsplan is niet de vraag óf jouw bedrijf in de problemen komt, maar wanneer.

Hoe groot is de kans op een datalek?

Uit het jaarverslag 2017 van de Autoriteit Persoonsgegevens over datalekken blijkt dat bijna 80% van de datalekken wordt veroorzaakt door menselijke fouten. Dit zijn de meest voorkomende fouten:

1. Persoonlijke gegevens verzenden of doorgeven aan de verkeerde ontvanger (47%);
2. Gegevensdrager kwijt (14%);
3. Verloren of geopende teruggestuurde e-mail (9%);
4. Per ongeluk vrijgeven of weergeven van persoonlijke gegevens (9%)

Wat houdt informatiebeveiliging in?

Het proces van het vaststellen van de vereiste betrouwbaarheid van het informatiesysteem en het tot stand brengen, onderhouden en beheersen van een samenhangend pakket van samenhangende maatregelen op het gebied van vertrouwelijkheid, beschikbaarheid en integriteit.

Neem contact op

Wij helpen je graag verder.
E-mails beantwoorden wij binnen 1 werkdag.

Bel ons:

0348 - 796 146

Telefonisch bereikbaar op

Maandag
Dinsdag
Woensdag
Donderdag
Vrijdag
Zaterdag
Zondag

08:00 – 18:00
08:00 – 18:00
08:00 – 18:00
08:00 – 18:00
08:00 – 18:00
Gesloten
Gesloten