Uw topmanagement gaat om met confidentiële data en veel geld. Dat maakt hen kwetsbaar. Hen beschermen vergt extra aandacht. Bij Crelan, dat slachtoffer werd van ceo-fraude, zullen ze dat beamen. Tegelijk blijken executives vaak net het minst geneigd om hun eigen security policy te volgen. Hoe moeten organisaties dit aanpakken?
Tijdens het voorbije Computable Café liep een debat en stemming over het meest memorabel Belgisch security-incident van de laatste jaren. Deelnemers konden kiezen uit een lijst van tien incidenten. De ‘winnaar’ werd de ceo-fraude bij Crelan, waarbij een medewerker, die dacht dat hij handelde in opdracht van de ceo, geld overschreef naar hackers. ‘Het uiteindelijke verlies werd geraamd op zeventig miljoen euro’, stelt security-expert Marc Vael die de stemming leidde.
Kwetsbaarheid
Ceo-fraude is een onderschat probleem. Bedrijven lopen er niet mee te koop, erkent ook Marc Vael. ‘Het bijzondere was dat Crelan er wel snel en open over communiceerde. En op die manier eigenlijk ook het probleem aan de oppervlakte bracht.’
Het voorval en impact bij Crelan bevestigt tegelijk ook de kwetsbaarheid van managers. ‘Zowat iedereen met toegang tot informatie is een potentieel target’, weet Vael. Maar dit geldt in hoge mate voor zogenaamde c-level profielen, al vallen bijvoorbeeld ook personal assistants hier onder. Al zijn er wel enkele speerpunten en maatregelen voor bedrijven en hun management.
1. Topmanager is lastige klant
Om te beginnen is de bedrijfstop in functie van security in een bedrijf zowat de moeilijkste doelgroep. Uit onderzoek blijkt vaak dat juist executives het minst geneigd zijn om hun eigen security policy te volgen en respecteren. Terwijl ze dat wel verwachten van hun collega’s/ondergeschikten.
Executives moeten eventueel ook beseffen dat ze beslagen en geduldige tegenstanders hebben. Aanvallers nemen bijvoorbeeld hun tijd om de situatie in een bedrijf onder de loep te nemen en de context in te schatten. ‘Aan de ceo-fraude bij Crelan ging een grondige voorstudie vooraf’, weet Vael. Cybercriminelen gebruiken ook publieke info via websites als LinkedIn of Facebook.
2. E-mail is favoriete doelwit
E-mail is een van de meest gebruikte bronnen van aanvallen tegen executives. Het hacken van de Democratische partij indertijd, door Russische hackers tijdens de Amerikaanse presidentsverkiezingen, gebeurde naar verluidt via een e-mail die vroeg om het Gmail-paswoord van de campagneleider te resetten. Maar het was dus een phishing mail.
Een goede endpoint beveiliging, die ook constant wordt gepatcht, moet hier ook helpen. Maar voor heel belangrijke mails en transacties worden de verzenders van belangrijke e-mails best ook vaak persoonlijk geïdentificeerd. ‘Zo’n procedure had Crelan alvast veel leed bespaard’, merkt Marc Vael op.
3. Besef de gevaren (van informatievreten)
Executives zijn ook in andere zin een moeilijke doelgroep. Het zijn ‘informatievreters’ en verwachten dus een aanhoudende stroom aan informatie. Waardoor ze vaak onbewust eerder geneigd zijn om te klikken op wat op het eerste zicht een belangrijke boodschap blijkt te zijn. Iets als phishing is bijvoorbeeld niet bepaald een thema dat regelmatig in de boardroom wordt besproken.
Maar topmanagement moet beseffen dat ze niet op iemand anders moeten rekenen om hen te beschermen. Bewustwording is dus de eerste stap, benadrukt ook Vael. Ze moeten eigenhandig verdachte links of phishing e-mails kunnen detecteren.
4. Zakenreizen (naar bepaalde landen)
Leidinggevenden kunnen overal slachtoffer worden van cyberaanvallen, maar de dreiging neemt vaak toe bij de (vele) buitenlandse reizen. Procedures en beveiligingsrichtlijnen voor elektronische apparaten en data die het thuisland van het bedrijf verlaten, lijken dus aangewezen.
En eigenlijk ook: wat er terug binnenkomt. Vier à vijf jaar geleden gaven de Russen de delegatie van de toenmalige Europese president Herman Van Rompuy usb-sticks en opladers voor mobiele telefoons mee als geschenk. Na een inspectie door het team bleken die ‘cadeaus’ afluisterapparatuur te bevatten.
Speciale aandacht is er alvast voor landen met een hoger risico. Tijdens het recente bezoek van premier Charles Michel aan Rusland lieten de meegereisde medewerkers van de premier hun eigen telefoon alvast thuis, uit vrees voor hacking, en kregen een ‘gestripte’ smartphone. Executives moeten, zo wordt vaak aangeraden, op hun pc dan alleen data meedragen die ze offline nodig hebben. Alle (externe) data die ze op afstand nodig hebben, moeten volgens Vael bijvoorbeeld beschikbaar worden gemaakt via een beveiligd kanaal, zoals een vpn, of opgeslagen op een versleutelde usb.
5. Publieke wifi vermijden
Wifi-netwerken kunnen inderdaad riskant zijn, of ze zich nu in luchthavens, hotels, restaurants of andere locaties bevinden. Het is niet moeilijk om een eenvoudige nep-wifi-hotspot opzetten om toegang te krijgen tot de laptop of het mobiele apparaat van een gebruiker.
Sommige bedrijven hanteren een standaardbeleid om nooit gebruik te maken van openbare wifi, maar dat blijkt moeilijk op te leggen mede ook omdat zo veel managers reizen. Andere moedigen het personeel aan om hun eigen smartphone als hotspot te gebruiken.
6. Geef (aangepaste) training
Leidinggevenden, net als alle andere werknemers, moeten herinnerd worden aan het belang van veiligheid. Bewustwording begint bij training. Als deze managers toegang hebben tot gevoelige informatie, zijn encryptie en virtuele netwerkoplossingen bijvoorbeeld aangewezen, al staat opleiding bovenaan. ‘Maar benadruk hierbij zeker de zakelijke voordelen die de manager als individu zal behalen door een veiligere aanpak te hanteren’, aldus Steve Durbin managing director van het onafhankelijke Information Security Forum in cio.com.
Leidinggevenden moeten volgens hem hun toegewezen pc’s en mobiele apparaten regelmatig updaten en patchen en dus ook vpn’s en andere veilige communicatietechnologieën gebruiken wanneer dat nodig is. Maar ze moeten ook op regelmatige basis deelnemen aan beveiligingsbewustmakingscursussen. ‘Beveiligingsteams moeten hun standaard beveiligingstraining voor werknemers uitbreiden met aanvullende richtlijnen voor leidinggevenden, met de nadruk dan op de grotere risico’s en informatieblootstelling vanwege hun functie.’
7. Begin met kritieke informatie
Tot slot nog dit. Op zich baseert of begint een security-aanpak zich natuurlijk niet op bepaalde personen, maar gaat deze breder. ‘We stellen voor om niet met de individuen te beginnen, maar met de kritieke informatie die een organisatie probeert te beschermen,’ vat Steve Durbin het samen. Dit zal volgens hem vanzelfsprekend ook leiden tot een beoordeling van gebruikers die mogelijk kwetsbaar zijn voor een aantal bedreigingen, zoals aanvallen met phishing.
Deze aanpak zal, volgens hem, ook leiden tot de ontdekking van kwetsbare systemen in een organisatie: van niet-gepatchte tot slecht beveiligde systemen zoals servers tot onvoldoende beschermde draadloze netwerkrouters. Want ook de it-infrastructuur telt mee.
Of hoe beveiliging een kwestie is van de zwakste schakel. Maar vergeet dus zeker uw baas niet.
