Elke dag worden mensen geconfronteerd met phishing-aanvallen. Het maakt niet uit of zij zakelijk of privé verbonden zijn met internet, inboxen lopen over van de phishingmails. Het doel van deze criminelen is elke keer weer anders. Diefstal van inloggegevens, het infecteren van een endpoint door te klikken op een link of bijlage en het verzamelen van persoonlijke informatie is slechts een greep uit alle phishing-doelen.
Het grootste onopgeloste cyber-probleem waar organisaties mee geconfronteerd worden is het groeiende aantal phishing mails op mobiele apparaten. Dit is problematischer dan traditionele aanvallen, mede omdat steeds meer werknemers hun mobiele apparaten gebruiken voor hun werk. Daarnaast zijn phishing-aanvallen tegenwoordig niet meer enkel gericht op zakelijke e-mailaccounts. Integendeel, aanvallen via sms, mms en whatsapp of privé-mailaccounts vormen een enorme bedreiging. Om deze reden moeten alle verbonden apparaten, met name mobiele apparaten, optimaal beveiligd worden. Daarbovenop is het nodig de eigenaar en gebruiker van deze apparaten en accounts goed te trainen. Uiteindelijk is het geen binaire beslissing tussen ‘1’ en ‘0’ en is er ruimte voor fouten als het gaat om bewustwording bij de werknemer. Dat wil zeggen, het definiëren van een framework en het voorzien van geschikte technologieën voor zijn bescherming.
Het BSI Management-rapport 2019 laat zien dat zowel productie- als dataverlies veroorzaakt door ransomware, alsmede het opruimen en herstellen van het systeem als resultaat hiervan, voor hoge kosten zorgen. Het rapport beschrijft onder andere dat het ‘consistente gebruik van state-of-the-art it security-maatregelen en het versterken van de digitale verantwoordelijkheid van elk individu een oplossing kan bieden’. Het BSI benadrukt zodoende dat een combinatie van organisatie en technologie nodig is om de best mogelijke cyber-security-infrastructuur te realiseren. Ook de FBI volgt deze gedachtegang en benadrukt in zijn ‘private industry notification’ het belang van bescherming tegen social engineering en cyberaanvallen.
Toen de AVG in mei 2018 van kracht werd, werden verantwoordelijken gedwongen passende technische en organisatorische maatregelen (tom) te nemen om te verzekeren en te bewijzen dat het verwerken van data voldoet aan de geldende regelgeving. Het verklaarde doel was (en is!) om een passend niveau van bescherming te bereiken voor de organisatie.
Hieronder vallen onder andere:
- Encryptie van persoonlijke data en pseudoniemen;
- Continu updaten van verwerkingssystemen en -services;
- Creëren van data-backups;
- Controleren van de toegepaste technische en organisatorische maatregelen;
- Zorgen voor de beschikbaarheid van data en de veerkracht van systemen;
- Reguleren van natuurlijke personen met toegang tot data.
Technische maatregelen verzekeren de beveiliging van it-systemen. Het heeft een directe invloed op de technische processen binnen de infrastructuur. Dit betekent dat het rechtstreeks verband heeft met het dataverwerkingsproces. Naast de encryptie van datatransmissies en providers omvat dit ook, bijvoorbeeld, de installatie van firewalls en backups.
Organisatorische maatregelen aan de andere kant, hebben geen directe invloed op de te beschermen it-systemen of het dataverwerkingsproces. Deze maatregelen reguleren de technische verwerking en vormen zodoende het framework voor technische maatregelen. Voorbeelden zijn de introductie van een ‘four-eyes-principle’, het bepalen van de juiste mensen die toegang verkrijgen tot gevoelige data of de bewustwording van werknemers tijdens security-awareness-trainingen.
Welke maatregelen een fysieke of virtuele locatie zou moeten gebruiken hangt af van de categorieën die relevant zijn voor de organisatie om het beoogde beveiligingsniveau te halen. Deze omvatten onder andere de huidige staat van de techniek, de kosten van het implementeren van een nieuwe it security-infrastructuur, de kans dat een bedreiging zich voordoet en het type, de grootte en het doel van dataverwerking binnen de organisatie. Zo kan bijvoorbeeld een bakker andere cyberaanvallen verwachten dan een grote it-organisatie. Elke organisatie moet daarom zelf een risk assessment van elk dataverwerkingsproces uitvoeren. Het BSI Management-rapport benadrukt: ‘Effectieve bescherming is alleen mogelijk als de algemene en concrete dreigingssituatie op z’n minst in één oogopslag bekend is’. Verder vermeldt het rapport dat de dynamische ontwikkeling van het cybersecurity-landschap een reguliere risk assessment vereist met preventieve en reactieve maatregelen als resultaat.
Masa onthult beveiligingslekken
Een inmiddels veelvuldig gebruikte technologie is tweefactorauthenticatie. Een techniek die direct voor een hoger niveau van databeveiliging zorgt. Deze methode waarbij een additionele code eenmalig naar de smartphone gestuurd wordt, biedt echter geen 100 procent procent waterdichte beveiliging. Zo verschafte chief hacking officer van KnowBe4, Kevin Mitnick, zichzelf onlangs live tijdens een event, via een phishing e-mail direct toegang tot een LinkedIn-account dat werd beschermd middels tweefactorauthenticatie.
Tweefactorauthenticatie is wel een verbetering van single-factorauthenticatie, maar zoals elke beveiligingsoplossing, is het kwetsbaar. Organisaties doen er goed aan te investeren in multi-factor authentication security assessment (masa) naast hun security awareness-trainingen. Deze tooling is ontwikkeld op basis van uitgebreid onderzoek naar allerlei bedrijfsprocessen en gaat in op specifieke risico’s die organisaties lopen. De masa-tooling geeft ook aanbevelingen over hoe organisaties zich beter kunnen beschermen tegen cyberaanvallen. Gebaseerd op deze analyse kunnen corporate security officers actie ondernemen om deze kwetsbaarheden te beveiligen.
Conclusie
De criminele it-infrastructuur groeit snel. Hierdoor is het nodig regelmatig de gevaren en risico’s te beoordelen en zowel technische als organisatorische tegenmaatregelen te combineren op een preventieve en reactieve manier. Tweefactorauthenticatie in het bijzonder geeft de indruk ‘onhackbaar’ te zijn, maar schijn bedriegt. Organisaties kunnen speciale tools gebruiken om te beoordelen welke stappen nodig zijn om hun authenticatieproces te beschermen. Vervolgens kunnen securityexperts eventuele zwakke punten in het proces verhelpen.