Voys pronto estará activo en España. ¿Tiene alguna pregunta? Póngase en contacto con nosotros.
De Eerste Kamer heeft de nieuwe massasurveillance- en hackwet aangenomen. Binnen deze wet mag de overheid niet alleen je bedrijfscommunicatie afluisteren, maar ook actief hacken. Tijd voor maatregelen. Met deze twaalf acties kun je jouw bedrijf beschermen tegen de meeglurende ogen van de overheid en hackers.
Dit artikel verscheen eerder op RTL-Z
De Eerste Kamer heeft de nieuwe massasurveillance- en hackwet aangenomen. Binnen deze wet mag de overheid niet alleen je bedrijfscommunicatie afluisteren, maar ook actief hacken. Zelfs wanneer jouw organisatie niet het doel is maar ze daarmee een ander bedrijf of individu wil monitoren.
Naast de glurende ogen van de overheid, krijgen organisaties steeds vaker te maken met digitale veiligheidsproblemen. De grote uitbraken van ransomware als WannaCry en Petya – voortgekomen uit een lek bij de Amerikaanse veiligheidsdienst NSA – zijn hier voorbeelden van.
Tijd voor maatregelen dus. Met deze twaalf acties kun je jouw bedrijf beschermen tegen de meeglurende ogen van de overheid en hackers.
«Veiligheid? Who cares», zullen veel collega’s (inclusief jijzelf?) denken. De to do lijst van de dag is altijd belangrijker. Toch?
Nee. Tijd om iedereen eens wakker te schudden. Stuur bijvoorbeeld een ‘ik-haal-taart-mail’ vanaf de niet-beveiligde computer van een collega en doe dit net zolang totdat iedereen zijn computer netjes lockt. Laat de collega’s onderling eens per maand controleren of de computers van collega’s up-to-date zijn en of de schermbeveiliging niet per ongeluk naar een uur is gegaan in plaats van een paar minuten.
Het belangrijkste wat je kunt doen is namelijk: je organisatie bewust maken van het belang van goede veiligheid. Iedereen in het bedrijf is verantwoordelijk voor de veiligheid, niet alleen een security officer of een werkplekbeheerder.
Zorg dat je een wachtwoordbeleid hebt, dat ieders schermbeveiliging automatisch start na een minuut en dat de computer voorzien is van een wachtwoord. En volg de overige 11 tips op:
Om het je collega’s makkelijk te maken kun je zorgen voor een ‘Am I Secure’-checklist. Op deze lijst staan alle zaken die collega’s zelf kunnen doen om hun eigen veiligheid te controleren of die bij elkaar te kunnen controleren.
Voorbeeldvragen voor een checklist zijn:
Als je echt geconfronteerd wilt worden met de werkelijkheid dan kun je je organisatie laten hacken. Dit kan een puur technische test zijn; een zogenaamde penetratietest of pentest.
Dit kan ook een social engineering of spear phishing aanval zijn. Bij dergelijke testen probeert men de zwakste securityschakel – de mens – te ‘hacken’. Een dergelijke test is gericht op het verkrijgen van vertrouwelijke of geheime informatie door mensen bewust te targetten. Uit ervaring weten we: dit lukt altijd.
Combinatietesten, waarbij ook wordt geprobeerd om in te breken bij een bedrijf, worden zogenaamde Red Team-testen genoemd. Wij hebben recentelijk een test gedaan en het was zowel in technische als organisatorische zin een leerzame test die veel deed voor ons securitybewustzijn.
Als je denkt ‘dat social engineering, daar trap ik niet in’ dan raad ik je aan deze video te bekijken.
Iemand die een mogelijk beveiligingslek vindt in de software van je organisatie en vervolgens actief op zoek gaat naar de gevolgen van zo’n lek is vaak strafbaar bezig. Dit valt onder computervredebreuk: ‘Het opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk’.
Maar het is juist heel prettig als mensen je systemen proberen binnen te komen of een mogelijk lek actief onderzoeken als men geen kwade bedoelingen heeft. Personen die dit doen – met goede bedoelingen hacken – kun je vrijwaren van vervolging door een Responsible Disclosure programma op te zetten.
In zo’n programma geef je de spelregels weer waarbinnen een hacker zich mag bewegen zonder strafbaar te zijn. Een voorbeeld van een dergelijk beleid vind je hier.
Dit klinkt als een open deur, maar deze kun je niet genoeg benadrukken: houd je systemen up-to-date. Overheden gebruiken tools die bugs in bijvoorbeeld besturingssystemen als Windows misbruiken om binnen te dringen in je computer.
Vaak zijn deze gaten al gedicht door Microsoft met een update, maar als je deze niet installeert blijf je kwetsbaar. Ransomware als WannaCry en Petya had geen impact gehad als bedrijven als het Nederlandse Q-Park, pakketbezorger FedEx, APM Terminals in Rotterdam en de Spaanse telecomprovider Telefonica hun systemen netjes van een update hadden voorzien.
Wie kent ‘m niet? Dat handige excelsheetje waar alle wachtwoorden instaan van je afdeling. Zo’n excelbestand is een goudmijn voor hackers en veroorzaakt grote problemen wanneer collega’s oud-collega’s worden.
Hackers vinden het ook heel prettig als je hetzelfde wachtwoord gebruikt voor meerdere diensten. Zo zorgt een wachtwoordenlek bij LinkedIn er namelijk voor dat zij ook gelijk in je bedrijfsmailbox kunnen inloggen.
Gebruik daarom een zakelijke passwordmanager. Deze zorgt ervoor dat je voor iedere site een uniek complex wachtwoord gebruikt. Verder kun je de wachtwoorden delen met alleen de mensen die ze nodig hebben en heb je een overzicht van aan te passen wachtwoorden als een collega uit dienst gaat. De beste passwordmanagers ondersteunen Single sign-on. Hiermee kun je eenmalig inloggen, waarna je automatisch toegang hebt tot meerdere applicaties.
Bij sommige passwordmanagers kan er zelfs een tijdelijk account voor je worden aangemaakt, die na gebruik weer wordt opgeheven. Zelf zijn we na een uitgebreide marktverkenning overgestapt op Keyhub van Topicus, omdat deze over alle facetten van wachtwoordbeheer goed heeft nagedacht.
Voor veel diensten, zoals bijvoorbeeld Gmail, kun je twee-factor-authenticatie aanzetten. Dit betekent dat je na een login met gebruikersnaam en wachtwoord een code invult die naar je mobiel wordt verzonden.
Zo kan iemand – zelfs als hij een wachtwoord heeft verkregen – niet inloggen op de bedrijfsmail of een andere dienst waarvoor je organisatie twee-factor-authenticatie aan heeft staan.
Publieke wifi-punten zijn altijd onveilig. Gebruik ze gewoon niet. Wil je met een computer flexwerken in dat leuke koffietentje op de hoek, deel dan de internetverbinding van de mobiele telefoon.
Dit heet tethering en daarmee kun je overal online. Wil je als organisatie geen smartphone en mobiel internet van het werk aanbieden dan wordt een VPN verplicht.
Als je online bent met je computer of je smartphone, dan is je internetverkeer af te luisteren via je internetprovider. Zij weten exact welke websites je bezoekt en indien die websites niet beginnen met https:// kunnen zij zelfs zien wat je op die websites hebt gedaan.
Wil je dit voorkomen, dan gebruik je een VPN dienst. RTL Z-redacteur Daniël Verlaan deed een test van 100 VPN diensten en Private Internet Access en NordVPN kwamen in de combinatie van goed en gebruiksvriendelijk als beste uit de test.
Zelf zijn we ook fan van ProtonVPN. Deze diensten laten het toe om meerdere apparaten te beveiligen met één account. Wil je een VPN-oplossing voor je gehele organisatie waarbij je de gebruikers centraal kunt beheren dan is onder andere VyperVPN een oplossing.
Kies bewust voor de diensten die je als bedrijf gebruikt. Kies voor een veilige messenger-app, een e-mailprovider die je privacy serieus neemt en ja, dus ook een telecomprovider waarbij je je zakelijke telefoongesprekken kunt laten versleutelen (schreef de oprichter van die telecomprovider).
Bedrijven, producten en diensten die je beschermen zijn vaak uitgesproken en transparant over jouw privacy en de bescherming die ze bieden, dus maak dit onderdeel van het selectieproces van de bedrijven waarmee je als organisatie wilt werken.
Ieder modern besturingssysteem geeft je de mogelijkheid om de gegevens op je harde schijf te versleutelen. Dit wordt full disk encryption genoemd. Bij Windows heb je hier de pro-editie van het besturingssysteem voor nodig en heet dit Bitlocker.
Bij Mac vind je de instellingen onder de naam Filevault. Hiermee wordt de data op je harde schijf zonder wachtwoord onleesbaar en kan men niet zien wat er op je computer staat als deze gestolen wordt of zoek raakt. Even nakijken of je collega’s het ook hebben staan kan mooi op de eerder genoemde ‘Am I Secure’-checklist.
Als je nog geen James Bond-gevoel had, dan doet deze tip het wel. Het op afstand wissen van de gegevens van een computer, tablet of smartphone wordt remote wipe genoemd. Het is een functie die veel apparaten ondersteunen, maar die niet altijd aanstaat.
Zo moet je op een Android smartphone of tablet ‘Find My Device‘ aanzetten. Voor Windows apparaten heeft je bedrijf Intune nodig en bij een Mac moet iCloud geconfigureerd zijn. Ook dit kun je onderdeel maken van de ‘Am I Secure’-checklist.
Meegluren wordt een stuk lastiger als je bedrijf deze 12 acties uitvoert. Dat je jouw organisatie actief moet beschermen tegen de Nederlandse en buitenlandse veiligheidsdiensten is eigenlijk schandalig. Het lek bij de NSA heeft al aangetoond hoe schadelijk een hack- en sleepnetwet is voor de internetveiligheid en het bedrijfsleven.
Het ‘altijd mee kunnen kijken’ van de overheid tast daarbij de democratie en de vrijheid die we genieten enorm aan. Dat is ook de reden dat commerciële bedrijven en privacy-instellingen, maar ook journalisten en advocatenkantoren, gezamenlijk een rechtszaak voorbereiden tegen de aftapwet.
Als bedrijf kun je hieraan bijdragen door bijvoorbeeld bedrijfssponsor te worden van Bits of Freedom. De onofficiële stap 13 luidt daarom: steun partijen die vechten voor jouw internetvrijheid. Samen krijgen we de wet van tafel.
On our blog we post about a lot of stuff, just go for it and read some posts for your own fun.
Go to the blogfrom 23 abril 2024