BackgroundF1.2

Belangrijk nieuws over jouw digitale veiligheid

Beste klant,

Als ICT adviseur vinden wij jouw digitale veiligheid van groot belang. De afgelopen periode zijn er veel problemen rondom dit onderwerp aan het licht gekomen. Het is belangrijk dat je op de hoogte bent van deze risico’s. Dan weet je ook waarom wij bepaalde keuzes maken in het beheer jullie netwerk.

Ga er maar even rustig bij zitten, neem een kopje koffie of thee en lees het onderstaande aandachtig door. Natuurlijk snappen we dat sommige punten misschien niet duidelijk uit te leggen zijn in een mailing, schroom dan niet om even met ons te bellen voor uitleg!

Wat is er gebeurd?

In december 2020 kwam het bericht van een ransomware aanval op de gemeente Hof van Twente.

Begin maart kwam een beveiligingslek van Microsoft Exchange aan het licht met nog onbekende gevolgen. Eerder was ook al de universiteit van Maastricht slachtoffer van ransomware. En eind maart kwam daar nog een groot lek bij RDC (bedrijf in de autobranche) bij, waarbij naar schatting veel privé gegevens van miljoenen Nederlanders op straat liggen. 

Je hoort het begrip Ransomware steeds vaker op het nieuws. Dit is software die jouw systemen “gijzelt” en vervolgens alleen vrij geeft als je “losgeld” betaalt, in het Engels dus ransom. Deze software wordt door een hacker in je systeem geïnjecteerd. Nog een reden dus, naast diefstal van gegevens, om hackers buiten de deur te houden!

Hoe worden deze hacks gezet?

De gemeente Hof van Twente is gehackt via een “Bruteforce attack” via het remote desktop protocol (RDP). Dit is het systeem wat veel gebruikt wordt om thuis in te loggen op de computer op het werk.  De hacker gaat met behulp van wachtwoordlijsten, te koop op internet, wachtwoorden raden. Net zolang tot het goede wachtwoord is geraden. En dan, hoppa, de hacker is binnen. Iemand bij de gemeente gebruikte het wachtwoord “Welkom2020”. Een zwak wachtwoord welke vaak gebruikt wordt en welke vervolgens tijdens de bruteforce attack geraden is. Ook stond er geen lock-out policy ingesteld (wanneer je bij bijvoorbeeld 3 keer een foutief wachtwoord invoeren geblokkeerd wordt voor een bepaalde tijd). Als er een bruteforce attack is gebruikt, wat soms wel meer dan 10.000 keer een wachtwoord proberen is, dan stond er sowieso geen lock-out policy ingesteld bij de gemeente. Ook was er geen tweestapsverificatie (2FA) ingesteld.

De systemen waren waarschijnlijk rechtstreeks benaderbaar vanaf het internet. Het was dus niet een digitale achterdeur die open stond, maar eerder gezegd de digitale voordeur, compleet met plattegrond van het systeem…

Beveiligingslekken zijn deuren in softwarepakketten om informatie door uit te wisselen, waar waarbij men even vergeten is het slot erin te zetten. In grote softwarepakketten als Microsoft Exchange zitten deze lekken vaak, maar worden deze tijdig opgemerkt en gedicht. In dit geval waren de hackers ze echter voor. Hackers hebben dus een pakketje gebracht en achter de deur neergezet. Nu moet er worden onderzocht wat er in het pakketje zit. Er zijn veel besmettingen geconstateerd, waarbij we helaas nog niet weten wat de gevolgen zijn.

Extra risico

Door de Coronacrisis zijn veel meer mensen vanuit huis gaan werken. Er wordt vele malen meer gebruik gemaakt van RDP of soortgelijke systemen om andere computers over te nemen. Hackers zien dit natuurlijk als een kans om binnen te komen.

En nu?

Wij hebben al een paar maatregelen getroffen. Hierover hebben onze klanten met Exchange servers een apart bericht ontvangen, zodat duidelijk is welke beveiligingsmaatregelen we in specifieke gevallen nu al getroffen hebben en welke werkzaamheden we achter de schermen al gedaan hebben. Zo hebben wij onder andere onze eisen aan wachtwoorden (het wachtwoord policy) aangescherpt. Alle accounts (inclusief beheeraccounts) zullen periodiek een wachtwoordwijziging moeten krijgen en voldoen aan een minimale wachtwoordsterkte. Negeer deze meldingen dan ook niet! Het wijzigen van wachtwoorden levert altijd lastige situaties op omdat deze dan onthouden moeten worden. Hier zijn wij ons ook van bewust. Maar ook hier zijn goede oplossingen voor.

We zijn gestart met het beperken van het gebruik van extra niet-persoonsgebonden accounts, dat wil zeggen dat deze accounts uitgeschakeld worden en alleen nog als gedeelde postvak in outlook kunnen dienen. Alle andere niet-persoonsgebonden accounts zullen dezelfde policy voor wachtwoordbeheer volgen als de persoonlijke accounts.

Er zijn meerdere manieren om het risico van digitale inbraak zo klein mogelijk te maken. Hackers zullen altijd nieuwe manieren uitvinden om bij je binnen te komen, maar wij willen er graag voor zorgen dat die kans zo klein mogelijk is.

Je kunt bijvoorbeeld de volgende aanbevelingen opvolgen:

Aanbeveling #1

Wij willen onze klanten met klem verzoeken gebruik te maken van 2 Factor Authenticatie (2FA) voor accounts die buiten kantoor gebruikt worden. Hieronder vallen bijvoorbeeld thuiswerkers, maar ook gebruikers die via webmail bij de bedrijfsemail kunnen komen. Wij bieden hiervoor een pakket aan van Duo. Er zijn meerdere soorten licenties welke je aan kunt schaffen. De eerste optie is alleen 2FA maar er is ook een uitgebreide variant die naast 2FA de mogelijkheid biedt om een controle af te dwingen op het apparaat dat de verbinding op wil zetten. Men is dan zeker van de aanwezigheid van een virusscanner of een minimaal patchlevel (wanneer is het apparaat het laatste bijgewerkt met de nieuwste updates) waar het systeem aan moet voldoen.

Duo is een 2-staps verificatie applicatie, dus in gewone taal: je kunt niet meer met alleen een wachtwoord inloggen, maar er wordt ook gevraagd naar een code die verstuurd wordt naar email of telefoonnummer. Dit systeem wordt ook bij bijvoorbeeld DigiD gebruikt.

Aanbeveling #2:

Om bij werknemers bewustwording te creëren bieden wij een programma genaamd SAT (Security Awareness Training) aan. Dit programma omvat een phishing campagne welke via de mail verstuurd wordt om inzichtelijk te krijgen hoe goed werknemers nu eigenlijk op de hoogte zijn van potentiële gevaren. De campagne stuurt een mailing naar leden van de organisatie en probeert gebruikers over te halen om links aan te klikken en om (gevoelige) informatie in te vullen. Uit de resultaten van deze campagne volgt een uitgebreid rapport welke gebruikt kan worden om bij werknemers verder bewustwording te creëren waar zij precies op moeten letten.

Aanbeveling #3:

Wij hechten als jouw ICT leverancier grote waarde aan de beveiliging van de systemen die wij in beheer hebben. In dat kader worden de systemen met regelmaat gepatched met de laatste updates en worden de netwerken voorzien van een firewall en worden systemen voorzien van monitoring en antivirus software. Dit zorgt er voor dat we de risico’s zoveel mogelijk beperken voor wat betreft inbraak, besmetting of lekken van data. Echter betekent dit niet dat hiermee alle risico’s afgedekt zijn. Veel apparaten zijn tegenwoordig “intelligent”, wat betekent dat zij in het netwerk aangesloten kunnen worden, maar misschien helemaal niet (goed) beveiligd zijn. Denk aan bijvoorbeeld camera’s, Access Points of printers. Om mogelijke risico’s inzichtelijk te krijgen die vanuit deze apparaten kunnen komen, bieden wij ook pentesting aan. Deze test legt kwetsbaarheiden in een netwerk bloot en biedt aanbevelingen om deze risico’s weg te nemen. Een test om te zien hoe gemakkelijk je via die apparaten te hacken bent dus.

Aanbeveling #4:

We kunnen nu een nieuwe oplossing aanbieden voor wat betreft de monitoring van de systemen van onze klanten uitgebreid met een Ransomware monitor. Deze monitor detecteert ongebruikelijke bestandsacties (wat een gevolg is van encryptievirussen / ransomware aanvallen) zodat deze actie tijdig in de kiem gesmoord kan worden. Tegelijk wordt het besmette systeem van het netwerk geïsoleerd, waardoor de schade beperkt blijft tot het ene systeem en niet door kan gaan naar andere systemen in het netwerk, zoals computers, servers en NAS apparaten. Deze ransomware monitor is een aanvulling op de monitoring agent. De ransomware monitor kan alleen worden aangeschaft in combinatie met de monitoring agent.

Aanbeveling #5:

Een adequate bescherming tegen misbruik van e-mail begint bij de bron: DNS. DNS (= Domain Name System) staat voor een techniek die computer- en domeinnamen omzet in IP-adressen zodat het door een computer te verwerken is. Gegevens in DNS zorgen er bijvoorbeeld voor of een webpagina weergegeven kan worden en zorgen er ook voor hoe het mailverkeer voor een domeinnaam (bijvoorbeeld overheid.nl) afgehandeld wordt. Spam en phishing zijn al sinds het gebruik van e-mail een overlast voor gebruikers en deze technieken worden ook steeds beter zodat he voor de gebruiker steeds lastiger wordt om echt van nep te onderscheiden, met alle mogelijke gevolgen van dien. Nieuwe technieken in DNS zorgen er voor dat deze nieuwe phising en spam varianten al tegengehouden worden voordat ze bij de gebruiker afgeleverd worden. Ook hier kunnen wij als jouw ICT leverancier een rol in spelen om hierbij een betere bescherming te bieden.

Conclusie

In de huidige IT wereld waarin wij leven zou het erg naïef zijn om de risico’s op inbreuk of datalekken te bagatelliseren. Ook als de opvatting bestaat dat “er toch niets te halen valt”. Zelfs als de data die jij bezit voor anderen niet interessant lijkt: ook identiteitsfraude wint gestaag aan populariteit. Deze vorm van fraude kan verstrekkende en vervelende gevolgen hebben voor het slachtoffer.

Kortom: zorg ervoor dat je de juiste keuzes maakt om de beveiliging van jouw systeem op orde te brengen. Een goede beveiliging is tegenwoordig echt noodzakelijk en kan veel (financiële) schade voorkomen, om nog maar niet te spreken van de imagoschade. Ook hier geldt de aloude wijsheid, voorkomen is beter (en goedkoper) dan genezen!

Wij zijn er om jou te helpen! Mail of bel voor meer info, we staan graag tot je dienst.