“Zijn we voldoende beschermd tegen hackers?” is een vraag die CEO’s zichzelf – hopelijk – steeds vaker stellen. Wie het meest eerlijke antwoord op die vraag kunnen geven? Nou, de hackers zelf.
Toch durven velen alsnog zelf conclusies trekken: “Wij zijn geen interessant doelwit, dus meer bescherming dan een firewall en een antivirus is niet nodig”. Maar waarop is dit gebaseerd? Is het nog wel mogelijk te beweren dat bedrijven uit bepaalde branches geen doelwit van hackers zijn?
Hackers & cybersecurity
De praktijk laat zien dat kwaadwillende hackers niet discrimineren. Het aantal cyberaanvallen neemt nog altijd toe en slachtofferorganisaties lopen steeds meer uiteen. Zelf voorspellen dat er toch geen aanval gaat zijn op organisatie X staat gelijk aan de kop in het zand steken.
Laten we wel voorop stellen: die struisvogelresponse is heel begrijpelijk. Cyberveiligheid kan een overweldigend onderwerp zijn. Dat snappen we.
Maar voor wie zijn hoofd nog in de aarde heeft zitten: we raden iedereen wel aan het zand alsnog uit de ogen te wrijven. Dat heeft er alles mee te maken dat geen enkele organisatie 0% risico loopt. Hoe dat zit? We leggen het uit.
In elke woning kan brand uitbreken
Cyberdreiging is net als brandgevaar: dat een huis met een rieten dak minder brandveilig is dan een huis met dakpannen, wil niet zeggen dat dat laatste huis gegarandeerd nooit met vuur te maken krijgt. In elke woning kan een kaars omvallen. Om nog maar te zwijgen over brandstichting.
Sterker nog: er is zelfs kans dat het rieten dak juist minder risico op brandschade loopt. Vaak zijn deze huiseigenaren zich extra van brandveiligheid bewust en treffen ze meer maatregelen. Is er ergens een vonk? Dan is er vast een brandmelder in de buurt, waardoor ze er op tijd bij zijn met de brandblusser.
Bij elke organisatie kan een hacker binnen komen
Organisaties die doorgaans zeggen geen doelwit te zijn van hackers, zijn te vergelijken met de huiseigenaren met pannen op hun dak. Ze denken geen risico te lopen en nemen geen of minder beschermende maatregelen.
Dat terwijl elke organisatie gegarandeerd te maken krijgt met programmeerfouten, misconfiguraties of phishingacties. Het kan 9x goed gaan. Maar ja, die ene keer dat het mis gaat…
Veel cybersecurity maatregelen zijn dus niet alleen gebaseerd op het voorkomen van dit soort gebeurtenissen, maar ook het beperken van schade wanneer het gebeurt.
Waarom hackers bepalen
Maar nu even terug naar onze eerste uitspraak: dat hackers zelf degenen zijn die bepalen of uw cybersecurity voldoende bescherming biedt. Waarschijnlijk begrijpt u al waar we naartoe willen. Of u nu zelf de normen bepaalt of zich houdt aan ISO- of NEN-richtlijnen: uiteindelijk is het aan de aanvaller een eindoordeel te geven.
Want zelfs wanneer u alles op papier perfect in orde heeft, is er geen garantie. 1 onopgemerkte misconfiguratie en 1 hacker die het toevallig wél opmerkt kan al genoeg zijn voor een succesvolle cyberaanval.
Dat wil niet zeggen dat al die maatregelen geen zin hebben, in tegendeel. De richtlijnen zijn er niet voor niets. We willen vooral aangeven dat cybersecurity nooit een kwestie van “Alle vakjes zijn afgevinkt, dus nu kunnen we achterover leunen” is.
Geen lijstjes afvinken, maar werken vanuit inzicht
Met de wetenschap dat veel succesvolle cyberaanvallen leiden tot faillissementen is lijstjes afvinken voor de vorm spelen met vuur. Het zet echt wel wat zoden aan de dijk, maar nogmaals: de hacker geeft het eindoordeel. Eén (nog niet gepatchte) kwetsbaarheid in software kan al voldoende zijn voor – bijvoorbeeld – datadiefstal.
Dus, geen lijstjes afvinken, geen overdreven veel maatregelen. Maar: juist concreet risico’s in kaart brengen, testen (red team) en daar doelgericht op inspelen. En bovenal de schade zo klein mogelijk te houden als er wel iets gebeurt. Want nogmaals: 100% cyberweerbaarheid bestaat niet.
Grootste risico’s blijven aanpakken
Het is duidelijk: cybersecurity die “goed genoeg is” blijft nooit bij implementeren en het op zijn beloop laten. Doeltreffende bescherming is een continu proces. Waar te beginnen met zo’n proces? Een cybersecurity expert kan u daar het beste gepast advies in geven. We zetten algemeen aanbevolen opties op een rij:
1. Pentests: in de huid van de hacker kruipen
Als de hacker bepaalt of uw cybersecurity voldoende is: waarom zou u dan niet alvast zelf een (gesimuleerde) aanval op uw infrastructuur regelen? Dat geeft een zuiver beeld van kwetsbaarheden die op dat moment aanwezig zijn.
Tijdens een pentest voert een ethisch hacker een aanval uit op uw netwerk of webapplicatie, etc. Is hij/zij in staat een kwetsbaarheid te exploiteren? Dan leest u dat in een uitgebreid rapport waarin alle risico’s die u loopt in kaart zijn gebracht. Uiteraard inclusief de oplossing.
2. Kwetsbaarheden verhelpen Vulnerability Management
Een pentest geeft een heel realistisch beeld van de risico’s die u loopt, omdat de aanval precies is zoals een kwaadwillende hacker dat zou doen. Maar het is en blijft een momentopname. Om heel het jaar door actief kwetsbaarheden te verhelpen, is een Vulnerability Management systeem onmisbaar.
InsightVM van Rapid7 is zo ingericht dat het goed te implementeren is in de workflow. Uw security verbetert, zonder dat overweldigende gevoel van een hoop werk.
3. Op de hoogte van wat er gebeurt met een SOC
Met de wetenschap dat kwetsbaarheden altijd kunnen ontstaan, is alertheid en inzicht hét wapen om incidenten te voorkomen of te beperken. Een Security Operations Center (SOC) houdt namelijk in de gaten wat er gebeurt op uw netwerk(en). Zijn er verdachte activiteiten? Dan krijgt u op tijd een melding.
Niemand weet wat voor exploits en kwetsbaarheden er morgen weer ontstaan. Dus exploiteert een hacker een kwetsbaarheid waar u (nog) niets vanaf wist? Dan bent u in alsnog in staat op tijd in actie te komen en schade door hackers te beperken.
Bescherming tegen hackers
Geef hackers nooit de kans uw security als onvoldoende te bestempelen. Denk niet in normen, ook niet in “hoe meer hoe beter”, maar vertrek altijd vanuit inzicht. Alleen op die manier verkleint u de kans op een succesvolle aanval op een doeltreffende manier. Meer informatie over dit onderwerp? Neem vrijblijvend contact met ons op!