Kennisportal
Kennisportal is een kennisplatform met een focus op de brede doelgroep Business en IT.

De impact van Covid-19 op security

In deze tijd rollen veel organisaties versneld software en hardware uit om thuiswerken mogelijk te maken. Er wordt onder druk gefaciliteerd en de gebruikelijke beslis- en analyseprocessen worden vaak achterwege gelaten. PwC publiceerde hier onlangs een interessant whitepaper over: Managing the impact of COVID-19 on cyber security. Want hoewel je je business op deze manier draaiende probeert te houden, brengt het ook grote risico’s met zich mee.

Een voorbeeld uit de dagelijkse praktijk; Zoom. Het gebruik is enorm toe genomen, maar daarmee ook de incidenten. Sessie ID’s waren niet goed afgeschermd, waardoor iedereen kon deelnemen en het dataverkeer liep via China. Als je je vooraf dus niet voldoende verdiept in het gebruik van (cloud)applicaties, loop je achteraf tegen zaken aan die misgaan. En die soms grote gevolgen kunnen hebben voor de security positie van je organisatie.

De risico’s

Wanneer er onvoldoende tijd en aandacht wordt besteed aan de implementatie, gaan gebruikers met nieuwe technologie en tooling werken die ze niet goed kennen. Het risico daarvan is dat gebruikers daarmee de deur wagenwijd open kunnen zetten voor externe gebruikers, of zaken (onbewust) delen met derden waar dat helemaal niet de bedoeling was, met alle gevolgen van dien.

Een ander aandachtspunt is de zorgvuldig opgebouwde security controls. In de standaard tooling is deze volledig geïmplementeerd, maar dat is zeker niet het geval in de nieuwe tooling. Ook met betrekking tot compliance op deze software; hoe houd je controle op de data die wordt gedeeld en hoe zorg je voor een goed back-up plan, indien het om wezenlijke data gaat? En last but not least, mocht het misgaan, hoe zorg je dat de betreffende data ook weer van lokale devices verwijderd kan worden in geval van een compromised account of device? Bij de nieuwe oplossingen die gebruikt worden, is hier niet per definitie al over nagedacht.

Een derde belangrijk aandachtspunt is social engineering en spearphishing. Diverse onderzoeken, zoals Gartner en Forrester, laten zien dat cyberaanvallen op deze manier enorm zijn toegenomen. Nu zoveel gebruikers thuiswerken, is het een van de meest risicovolle ’toegangspoorten’ tot corporate data. In de praktijk blijkt dat phishing een succesvolle attackvector is. De aanvallen worden steeds geavanceerder en gecompliceerder. Daarnaast is ransomware een van de grootst mogelijke dreigingen. Gartner heeft een toename van 700% geconstateerd sinds 2016 en de voorspellingen voor 2020 zijn niet gunstig. Juist nu gebruikers veel thuiswerken en directe communicatie achterblijft, is het risico van het succes van deze aanvallen groter.

Shadow IT

In deze tijd neemt de kans op shadow IT toe. Op de ‘fysieke’ werkplek is er waarschijnlijk minder behoefte aan en wordt het via het corporate netwerk gereguleerd. Vanaf het thuisnetwerk wordt dit hoogstwaarschijnlijk niet gemonitord. Wil je deze shadow IT voorkomen, dan zal er een thuiswerkplek moeten zijn waar snel en eenvoudig data gedeeld kan worden. De alternatieven zijn immers voorhanden en niks is zo ergerlijk als een collega aan de lijn die wacht op jouw input. Het risico dat een bestand dan via bijvoorbeeld Dropbox, of WeTransfer wordt gedeeld is groot. En laten we met betrekking tot dit laatste maar even niet aan AVG denken.

Gelukkig zijn er ook mitigerende maatregelen, die worden beschreven in het whitepaper. Ze zijn niet allemaal even eenvoudig en snel uitvoerbaar, maar er zijn er zeker ook een paar die goed en snel haalbaar zijn en die lichten we hier toe.

Monitor het gebruik van shadow IT

Om te voorkomen dat gebruikers gevoelige data versturen via niet-goedgekeurde platformen, zoals Dropbox en WeTransfer, is het monitoren van deze schaduw IT van groot belang. Dat kan relatief eenvoudig met bestaande oplossingen en daarmee is dit risico goed te mitigeren.

Updates en security Patches

Zorg dat systemen die nu langere tijd geen contact maken met het corporate netwerk, up-to-date blijven m.b.t. security updates en patches. Er bestaan diverse configuraties die slechts updaten via het corporate netwerk en waarvoor de gebruiker dus thuis een VPN verbinding moet opzetten. Het uitrollen van nieuwe features, security patches en het controleren van de systemen valt of staat dan met de discipline van de gebruiker. Beter is het om dit via device managementoplossingen te managen, onafhankelijk van het bedrijfsnetwerk. De uitrol en inregeling van zo’n systeem kost een stuk meer effort dan bovenstaande oplossing, echter kan ook voor de toekomst veel meer opleveren. Niet iets wat je even snel implementeert dus, wel iets om op de roadmap te zetten.

Communiceer over nieuwe gevaren, zorg voor extra guidance m.b.t. spearphishing

Train je gebruikers in het herkennen van gevaren en cyberrisico’s. Dat kan op een laagdrempelige en leuke manier met de Portiva Security Awareness Training , een interactieve continue oplossing met trainingsvideo’s. Train je gebruikers op uiteenlopende thema’s, zoals phishing, office hygiëne, informatiebeveiliging en wachtwoorden. Met een accuraat dashboard krijg je grip op de ‘digitale volwassenheid’ van jouw organisatie. Zo leren je gebruikers de gevaren te herkennen en erop te anticiperen. Want spearphishing en CEO fraud aanvallen zijn veel minder succesvol bij getrainde gebruikers.

Monitoring

Implementeer ‘monitoring and controlling’ van devices zoals tablets en smartphones en de mogelijkheid om toegang tot het netwerk en data te beperken in het geval van een verdachte situatie. Voorbeelden zijn het constateren van verdachte login-pogingen, impossible travel waarbij de gebruiker plots vanuit China inlogt op de systemen en meer van dat soort zaken. Dit is uitstekend te loggen en te volgen en het is verstandig om daar consequenties aan te verbinden. Zo kan je bij verdachte logins de toegang tot bedrijfskritische systemen of sites blokkeren tot de gebruiker zich opnieuw heeft geauthenticeerd. Of je beperkt de toegang tot systemen bij het opvallend veel downloaden van documenten, als dat iets is wat de gebruiker normaliter niet doet en je dus afwijkend gedrag constateert. Geen project wat je er even snel tussendoor doet, maar zeker ook geen mega project. Daarnaast wel erg waardevol naar de toekomst toe, ook na een corona tijdperk!

Voorkom dat gevoelige data onbedoeld de organisatie verlaat

Implementeer Data Leakage Protection (DLP). Hiermee zorg je dat gevoelige data niet zonder meer de organisatie verlaat doordat het gemaild wordt, gedeeld wordt via teamsites of andere manieren. Vul dit eventueel aan met encryptie van bestanden. Als gevoelige data via de mail wordt gedeeld, gebeurt dit encrypted en er is dan ook access control op de bestanden. De bestanden kunnen dan altijd weer ’teruggehaald’ kan worden indien noodzakelijk, zonder dat de mogelijkheid voor de externe gebruiker bestaat om het bestand te printen of door te sturen.

Het aanzetten van DLP is in de meeste gevallen vrij simpel. Echter, het bedenken van de regels om de juiste informatie te filteren is vaak wat lastiger. Vaak zien we organisaties hiermee worstelen, waarbij men door de interne discussie vaak niet veel verder komt. Tip? Zet de policy gewoon aan met een check op de belangrijke keywoorden en zorg dan in fase 1 dat er niet geblokkeerd, maar slechts gemonitord wordt.

Zo bouw je kennis op over hoe vaak dit daadwerkelijk in de organisatie voorkomt en kun je in fase 2 voorzichtig de policy dwingender maken. Zo zet je geleidelijk een goed werkend en accuraat DLP beleid op. Patiëntgegevens gelekt via de mail? Een kritisch beleidsstuk naar buiten? Dat soort zaken hoeven echt niet voor te komen. Fase 1 is low effort, fase 2 kost meer tijd. Uiteindelijk zal deze maatregel wel veel waarde opleveren richting de gewenste AVG compliance. Ook niet verkeerd.

Neem mitigerende maatregelen m.b.t. phishing

Phishing zal in 2020 verder toenemen, net als impersonation (CEO fraud) en ransomware aanvallen. Sommige impersonation attacks zijn op het oog zeer lastig te herkennen. Digitaal gezien is deze vorm van fraude makkelijker te herkennen. Er bestaan goede e-mailfilteringsystemen die feilloos de relatie weten te leggen tussen de domeinnamen waarmee je zelf werkt en samenwerkt, en de e-mails die binnenkomen van look-a-like domeinen.

Hierbij lijkt de afzender wellicht op de organisatie die je denkt te kennen, maar dat zeker niet het geval. Dit noemen we ook wel een homograph attack. Hierbij wordt er slim gebruik gemaakt van cyrillic characters om een domeinnaam te impersonaten of je eigen domeinnaam wordt zelfs nagemaakt met cyrillic characters.

Een voorbeeld; de domeinnaam van Apple is simpel te faken door de eerste letter ‘a’ in het cyrillic alfabet te gebruiken. Die lijkt als twee druppels water op de ‘normale’ latin ‘a’ zoals wij hem in het alfabet kennen, maar betekent toch iets totaal anders. De Unicode verschilt. Met die simpele verwisseling zijn dus talloze domeinnamen na te maken en te gebruiken om mail te versturen, zonder dat de gebruiker dat op het oog ziet.

Tel daarbij op dat er vaak gedegen onderzoek is gedaan naar de organisatie waar de aanval op ingezet wordt en de kans is groot dat een impersonation aanval slaagt. Het implementeren van een goede filtering op het e-mailverkeer is geen rocket science of dure investering. Maar de toegevoegde waarde van een goed systeem is enorm! Er zijn echt goede oplossingen die deze impersonationaanvallen succesvol kunnen herkennen en tegenhouden. De winst daar te behalen is enorm!

Stilzitten is geen optie. Kom in actie!

Van alle kanten wordt gewaarschuwd voor een toename van cybercriminaliteit. PwC onderschrijft dit nogmaals in hun whitepaper. Stilzitten is geen optie. De reputatie en continuïteit van je bedrijf staan op het spel. Laat je goed adviseren wat voor jou het laaghangende fruit is en start daarmee. En zet alles wat complexer is, meer effort kost en meer investering vraagt samen op de roadmap en werk toe naar jouw stip op de horizon, een veilige digitale werkomgeving, ook in tijden van corona.

Meer weten? We helpen je graag!