7 december 2016

Security bedrijfsleven zwaar onder de maat

Organisaties denken nog vaak dat het wel meevalt met de gevaren van cybercriminaliteit. Ze hebben zelf immers nog nooit problemen ondervonden. Televisieprogramma’s als 'Zembla' en Opgelicht?! Cybercrime tonen maar weer eens aan dat de realiteit heel anders is. Sterker nog, de meeste bedrijven hebben totaal geen weet van hun kwetsbaarheden. Wat gaat er allemaal mis in Nederland?

1. Blijft geheime bedrijfsinformatie altijd geheim als de security goed is geregeld?

Helaas moeten we u teleurstellen. U kunt al uw systemen en infrastructuur maximaal hebben beveiligd, maar een ongeluk zit in een klein hoekje.

Zembla toonde als voorbeeld de Europese politieorganisatie Europol. Het kantoor is zwaarbeveiligd en het beleid is dat medewerkers geen informatie mee naar huis mogen nemen. Dat dit soort richtlijnen nauwelijks is te handhaven, blijkt wel uit het feit dat een medewerker de informatie toch op een USB-stick mee naar huis nam. Haar man maakte vervolgens op een Iomega NAS-schijf van Lenovo een back-up van haar laptop.

Ruim vier jaar geleden berichtte KRO Reporter al dat deze NAS-schijf allesbehalve veilig is, aangezien Iomega met standaard wachtwoorden werkte. En zo kon het vier jaar later gebeuren dat ruim 700 vertrouwelijke pagina's over terroristen door iedereen in te zien waren.

2. Hoe zit het met het beveiligingsbewustzijn?

Vrijwel iedere securityleverancier roept het: uw medewerkers zijn de zwakte schakel in uw securitystrategie. Door onwetendheid klikken ze bijvoorbeeld op een link in een mailtje van een onbekende afzender en halen op die manier een virus binnen. Zembla bewijst dat het creëren van beveiligingsbewustzijn vandaag de dag echter nog steeds een uitdaging is.

Zo gebruikte een piloot van Martinair de kwetsbare Iomega-schijf voor het opslaan van gevoelige informatie zoals kopieën van zijn creditcard, paspoort en vliegbrevet. In tijden van terrorisme is dit op zijn zachtst gezegd zeer onhandig. Of wat dacht u van een voormalige medewerker van oliemaatschappij Chevron die meer dan 1.000 pagina's met gevoelige gegevens lekte? Zo was te lezen hoe te evacueren bij grote rampen op een boorplatform en op welke radiofrequenties hulpverleners zijn te bereiken.

Philips werd recent al op de vingers getikt vanwege een datalek. Zembla toonde in dezelfde maand weer een probleem aan. Door het gebruiken van een openstaande Iomega-netwerkschijf heeft een medewerker de vertrouwelijke bedrijfsplannen openbaar gemaakt. Zo kon het zijn dat de concurrentie meer kon lezen over de toekomstige verdienmodellen van Philips.

Ook is lang niet iedereen zich bewust van de risico’s van identiteitsdiefstal. Zo kunnen cybercriminelen uw identiteit al stelen met een kopie van uw paspoort. In Opgelicht?! was het verhaal te zien van journalist Kevin Goes. Een vreemde gebruikte zijn paspoort om een woning te huren en daar een wietplantage aan te leggen. Goes moest zelfs voor de rechter verschijnen om zijn onschuld te bewijzen.

3. Moeten we mobiele telefoons ook beter beveiligen?

Jazeker, want ook in mobiele telefoons kunnen ernstige lekken zitten. Zembla gaat als voorbeeld in op de Android-telefoon waarvan de hardware zeer kwetsbaar is. Cybercriminelen kunnen namelijk met behulp van een softwareprogramma de geheugenchips in mobieltjes manipuleren.

Zo kan het gebeuren dat uw mobiele telefoon besmet raakt door het bezoeken van een populaire website zoals Buienradar of Nu.nl waar internetcriminelen malafide advertenties op hebben geplaatst. Door het infecteren van de telefoon kan een aanvaller de controle volledig overnemen.

Op deze manier kunnen hackers toegang verkrijgen tot honderdduizenden mobiele telefoons. Ze kunnen meeluisteren, meekijken met de camera en zelfs applicaties vervangen. Vaak is dat een koud kunstje, omdat de juiste beveiligingsmaatregelen op mobiele apparaten ontbreken.

4. Is security bij Internet of Things echt een probleem?

Zembla laat zien hoe eenvoudig het is om via een bewakingscamera bij een bedrijf naar binnen te kijken. Het bedrijf AVTECH heeft inmiddels meer dan 100.000 camera's via internet met elkaar verbonden, waarvan 1.000 in Nederland. Ook hiervoor gold dat de gebruikersnamen en wachtwoorden in de fabriek standaard waren ingesteld.

Hierdoor kon het gebeuren dat we op televisie konden meekijken met de handelingen in een visverwerkingsfabriek in IJmuiden, hoe het reilde en zeilde in het Mercure Hotel in Amersfoort en hoe twee jaar lang de leerlingen van een basisschool bespied konden worden.

Deze bedrijven en instellingen hebben de Nederlandse privacywet geschonden. Daarnaast is het voor kwaadwillenden een koud kunstje om de camera's op afstand te besturen. Ze kunnen niet alleen inzoomen en uitzoomen, maar zelfs de camera's uitzetten. Ook is het mogelijk om met deze apparaten grote DDoS-aanvallen te plegen.

Wat nog zorgelijker is: cybercriminelen hoeven niet eens geschoold te zijn om systemen binnen te dringen. Vanwege de slecht beveiligde apparaten kan vrijwel iedereen binnenkomen. Met de zoekmachine Shodan, de ‘Google voor hackers’, zijn die onveilige apparaten bovendien kinderlijk eenvoudig op te sporen.

5. Wat is het nadeel van een slecht beveiligde website?

Cybercriminelen zoeken continu naar kwetsbaarheden in websites, bijvoorbeeld om inloggegevens te onderscheppen. Aan dit risico stonden onder andere de bezoekers van Wehkamp bloot.

Door een groot probleem was het voor cybercriminelen mogelijk om bezoekers van de webwinkel om te leiden naar een malafide site en ze daar data te ontfutselen.

Wie is verantwoordelijk voor verbeteringen?

Zembla onderzocht de vraag hoe kwetsbaar Nederland is. Het antwoord hierop is door de reportage eenvoudig: het Nederlandse bedrijfsleven is nog steeds te slecht beveiligd. Sterker nog, vrijwel geen enkele organisatie die door Zembla werd geconfronteerd met een lek was zich bewust van alle gevonden kwetsbaarheden. De redenen hiervoor lopen uiteen. Van slecht geïnformeerde medewerkers tot het gebruik van onveilige apparatuur.

Extra zorgwekkend is dat de betrokken bedrijven hun schouders ophaalden bij het nieuws. Niemand leek er echt van te schrikken. Dat terwijl cybercriminaliteit een groeiend probleem is. Het is een lucratieve business en de pakkans is laag. Phishing, identiteitsfraude en andere vormen van cybercrime kunnen een enorme impact hebben, zowel op bedrijven als consumenten.

Deze ingrijpende gevolgen komen uitgebreid aan bod in drie specials van het AVROTROS-programma Opgelicht?! Cybercrime op NPO1. Wilt u meer weten over de digitale risico’s voor het bedrijfsleven? Kijk dan op 13 en 20 december om 21.25 uur naar Opgelicht?!. De eerste special is al uitgezonden en kunt u online terugkijken.

We kunnen ons voorstellen dat de uitzendingen van Zembla en Opgelicht?! vragen bij u oproepen. Voor informatie en tips voor een betere beveiliging kunt u altijd contact opnemen met KPN Security Services. Stuur dan een e-mail naar managedsecurityservices@kpn.com.

Gerelateerde artikelen