Draadloos wordt meer en meer het nieuwe bedraad in het bedrijfsleven. Handig, maar ook gevaarlijk, want het wifi-netwerk is bij veel mkb-bedrijven de achilleshiel van hun cybersecurity. Hoe zorg je voor veilige wifi op de werkvloer? We geven zeven tips.
Maar liefst 56 procent van de Nederlandse midden- en kleinbedrijven kreeg in 2019 te maken met een online aanval. Draadloze netwerken zijn daarbij een geliefd doelwit voor cybercriminelen, want bij slechte beveiliging fungeren ze als open deur naar het bedrijfsnetwerk.
Doe je als bedrijf niets om je wifi te beveiligen? Dan loop je een relatief groot risico dat bedrijfs-, klant- en personeelsgegevens in verkeerde handen komen, medewerkers ongemerkt worden omgeleid naar kwaadwillende websites en apparaten worden geïnfecteerd met malware. Gelukkig kun je aan de hand van de volgende zeven – betrekkelijk makkelijk uit te voeren – tips de beveiliging van je draadloze netwerk op kantoor enorm verbeteren.
Tip 1: verander het fabriekswachtwoord van je router en access point
Het is bepaald geen originele tip, maar wel een ongelooflijk belangrijke. Fabriekswachtwoorden zijn in veel gevallen namelijk een eitje voor hackers. Het wachtwoord aan de achterkant van het apparaat ziet er misschien complex en dus veilig uit. Het is echter mogelijk gebaseerd op het MAC-adres van het apparaat, waardoor het makkelijk te kraken is.
Bepaalde apparaten zijn uit zichzelf extra kwetsbaar met standaardwachtwoorden. Zo verzocht een grote Nederlandse internetprovider laatst met klem om het standaardwachtwoord van een bepaald type access point te veranderen in verband met een geconstateerd veiligheidslek. Ook gevaarlijk: staat het wachtwoord achterop het apparaat, dan kan iedereen die in het pand is ermee aan de haal gaan.
Welke cybersecurity-expert je het ook vraagt, iedereen zegt: verander meteen de fabriekswachtwoorden van je router en access point in sterke, zelfgekozen wachtwoorden. Overheidswebsite Veiliginternetten.nl adviseert minimaal 20 tekens, die volledig willekeurig zijn gekozen. Netwerknaam en beveiligingssleutel aanpassen kan via de link.
Tip 2: vergeet het beheerwachtwoord van je access point niet
Nu je toch met wachtwoorden bezig bent, verander dan meteen het beheerwachtwoord van je access point. Dat is het wachtwoord waarmee je inlogt op de beheerpagina van het apparaat. Op internet circuleren lijsten met standaardwachtwoorden en -inlognamen, dus verander deze gegevens zo snel mogelijk.
Tip 3: WPA2 is de norm (maar WPA3 komt eraan)
De meest gebruikte beveiligingsstandaard voor wifi is momenteel WPA2, dat al sinds 2004 bestaat. Toch zijn er nog bedrijven die de volstrekt onveilige voorgangers WEP en WPA gebruiken. WPA2 gebruikt veel betere authenticatie en encryptie (namelijk CCMP, dat is gebaseerd op AES). In 2017 is echter de ernstige kwetsbaarheid KRACK (Key Reinstallation Attack) ontdekt, waaruit blijkt dat WPA2-beveiliging is te omzeilen. De nieuwste standaard WPA3, die nu stilaan wordt omarmd door de markt en automatisch wordt ondersteund in wifi 6, lost KRACK en een paar andere kwetsbaarheden op.
Wat betekent dit voor de beveiliging van je wifi-netwerk? In ieder geval moet je WPA2 instellen op je wireless router of access point. Meestal moet je hiervoor naar een bepaalde URL gaan. Bij de tabbladen onder het kopje ‘security’ of ‘wireless’ kun je het beste het volgende instellen:
Onder soort beveiliging (‘security mode’, ‘authentication’, etc.) selecteer je WPA2-PSK of WPA2 Personal.
Bij de encryptiemethode kies je voor AES (en stel dit op alle andere apparaten ook in).
Bij ‘wachtwoord’ of ’pre-shared key’ voer je het eerder aangemaakte wachtwoord in.
Als er een vernieuwingsinterval is (‘re-key interval’ of ‘key renewal’), zet die dan op een uur.
Let op: routers met verouderde encryptiestandaarden zoals WEP of WPA kun je maar beter linea recta bij het elektronisch afval zetten. Zet daar ook alle andere sterk verouderde wifi-apparaten bij. Let op #2: vergeet niet om WPA2 in te stellen op de computers van je medewerkers.
Lees ook: Mkb vaker slachtoffer van cybercrime
Tip 4: voeg MAC-adressen toe aan je router
Ieder device dat met internet verbonden is, heeft een MAC-adres. Bij routers kun je deze unieke identificatienummers toevoegen voor alle apparaten die welkom zijn in het bedrijfsnetwerk, met als gevolg dat apparaten die níét zijn toegevoegd geen toegang kunnen krijgen tot het draadloze netwerk. Deze oplossing is niet geheel waterdicht, aangezien kwaadwillende gebruikers een MAC-adres kunnen spoofen.
Daar tegenover staat dat het wel weer een handig middel kan zijn om ervoor te zorgen dat medewerkers met hun persoonlijke – en dus meestal slechter beveiligde – apparaten op het gastnetwerk (of een ander niet-bedrijfskritisch netwerk) gaan, in plaats van op het hoofdnetwerk.
Tip 5: zorg dat de firmware van je draadloze apparaten up-to-date is
Firmware is de software waarop je apparaat draait. Omdat het software is, kunnen er kwetsbaarheden in zitten. Fabrikanten komen daarom af en toe met updates. Meestal worden die automatisch geïnstalleerd, zo niet dan vind je in de handleiding hoe je ze handmatig kunt installeren. Routers van internetproviders worden in de regel automatisch geüpdatet.
Het updaten van je firmware is niet geheel zonder risico: het kan gebeuren dat bijvoorbeeld je access point of netwerkkaart het niet meer doet nadat je een klein foutje hebt gemaakt.
Tip 6: stel een gastnetwerk in
Een gastnetwerk is een apart draadloos netwerk dat losgekoppeld is van het bedrijfsnetwerk. Gasten (of medewerkers die gebruikmaken van een persoonlijk apparaat) kunnen dan wel op internet, maar niet bij bijvoorbeeld bestanden en printers op het bedrijfsnetwerk. Op sommige routers kun je een gastnetwerk instellen, daarnaast kun je dit gemakkelijk regelen via Multiservice WiFi van KPN.
Tip 7: extra bescherming voor vertrouwelijke data
Werk je met vertrouwelijke data? Dan kun je het beste een aantal extra beveiligingsmaatregelen nemen. Denk aan een bekabelde in plaats van een draadloze verbinding met de router en een VPN of de WPA2 Enterprise-standaard voor extra respectievelijk betere versleuteling.
Online veiligheid met KPN
KPN staat voor online veiligheid. Bij KPN EEN MKB zit bijvoorbeeld standaard de dienst Extra Veilig Online, waarmee je internetverbinding extra goed beveiligd is. DNS- en webfilters zorgen ervoor dat onveilige websites al vanuit het KPN-netwerk worden geblokkeerd. Daarnaast beschermt goede antivirussoftware al je apparaten tegen bedreigingen van buitenaf. Zodat je altijd in business blijft.
