Cybersecurity in het aquarium

Heeft uw bedrijf de cybersecurity op orde? Veel werkgevers beantwoorden deze vraag met een stellig ja – maar vaak is dat ten onrechte. Want beschikken ze wel over een goede risico-inventarisatie? En hebben ze echt nagedacht over alle apparatuur die op het internet is aangesloten?

Lees verder 



Las Vegas 2017. Een van de casino's kan niet alleen bogen op de nieuwste gokapparatuur, maar ook op een geavanceerd aquarium. Prachtige planten, prachtige vissen, en een temperatuur die automatisch wordt gereguleerd, want de thermostaat is aangesloten op het internet. Ideaal voor die vissen – maar niet voor het casino zelf. Want zelfs zo'n thermostaat is te hacken, en aangezien dit apparaat is aangesloten op het casino-IT-netwerk, is er sprake van een ernstig beveiligingslek. Sterker nog, de criminelen hebben al zo'n 10 GB aan data weten door te sluizen naar hun eigen server, voordat de ICT’ers van het casino alarm slaan.

 

Het onderstreept de stelling van Fred Streefland, director Cybersecurity bij Hikvision: tegen cybercriminelen kun je je niet 100% beveiligen. “Maar”, zo voegt hij eraan toe. “Je moet er wel naar streven en je moet het pragmatisch bekijken. Het is een beetje zoals met je fiets: je kunt de duurste ketting kopen, maar als er beroepscriminelen langskomen met een slijptol, is die ketting ook het enige wat je nog terugvindt.”

 

Internet of Things

Volgens Streefland is het risico de laatste jaren toegenomen, niet alleen voor fietsenbezitters maar ook voor bedrijfseigenaren. “Dat aquarium in Las Vegas staat niet op zichzelf. Als je vroeger je organisatie wilde beveiligen tegen hackers, hoefde je je alleen zorgen te maken om computers: dat waren de enige apparaten die met internet waren verbonden. Maar tegenwoordig, in tijden van 5G en The Internet of Things (IoT), is dat lijstje aanzienlijk uitgebreid: mobiele telefoons, beveiligingscamera’s slimme koelkasten en schakelaars voor de verlichting in je huis. Letterlijk alles is op het internet aangesloten, en dat vaak zonder authenticatie. En nee, het risico is niet alleen dat criminelen het licht uitdoen als jij het juist aan wil hebben. Via die koelkast of die verlichting kunnen ze ook toegang krijgen tot het IT-netwerk, waarop jouw passwords van de bank of jouw medische gegevens staan.”

 

Identificeer de kroonjuwelen van je organisatie, de zaken die essentieel zijn voor je primaire proces

Sterke wachtwoorden 

Volgens Streefland is er helaas geen ‘silver bullet’, maar er zijn wel mogelijkheden om de security te verbeteren. Bijvoorbeeld met sterke wachtwoorden. “Tot een jaar of vijf geleden werden camera’s standaard voorzien van een default password, dat door installateurs en eindgebruikers werd gebruikt en niet hoefde te worden gewijzigd. Dit password was makkelijk te raden en eenvoudig te kraken, en leverde een serieus risico op. Vandaar dat Hikvision destijds besloot om het default password te wijzigen in een uniek, sterk wachtwoord dat moet worden ingesteld door de eindgebruiker. Zonder dit sterke wachtwoord is er geen toegang tot de camera mogelijk en werkt deze camera dus niet.”  

 

Risico-inventarisatie

Een sterk password is een van de mogelijkheden om de cybersecurity te verbeteren. Maar volgens Streefland gaat er een stap aan vooraf: een gedegen risico-inventarisatie. “In eerste instantie moet je kijken naar kans maal effect: wat is de kans dat er een cyberaanval plaatsvindt, en hoe groot is dan de potentiële schade? Wat dat effect betreft: identificeer de kroonjuwelen van je organisatie, de zaken die essentieel zijn voor je primaire proces. Kijk vervolgens naar de kans dat er iets met die kroonjuwelen misgaat. Is die groot genoeg om flink te investeren in beveiliging?” “Terug naar dat voorbeeld van die fiets: als ik die alleen gebruik om een kop koffie te gaan drinken in de stad, hoef ik me niet zoveel zorgen te maken. Maar anders ligt dat als ik die fiets nodig heb om mijn pizza's bij mijn klanten af te leveren. Dan moet ik dus gaan kijken wat de kans is dat hij wordt gestolen: in welke wijk moet ik hem bijvoorbeeld stallen?”

 

Het klinkt misschien als een open deur, maar Streefland wil het toch benadrukken: belicht in een risico-inventarisatie echt alle risico's. “Als je verantwoordelijk bent voor de veiligheid van een bepaalde dijk, wil je iedere vierkante meter van die dijk in de gaten kunnen houden. Er is maar een gaatje in de dijk nodig waar het water doorheen kan stromen en de gevolgen kunnen desastreus zijn.”

 

Echter, als het gaat om cybersecurity, blijken werkgevers dat niet altijd te beseffen. “Dat zag je bijvoorbeeld bij het Deense logistieke bedrijf Maersk. Daar hadden ze goed over de beveiliging nagedacht en serieus geinvesteerd in cybersecurity, maar uiteindelijk ging het toch mis: hackers kwamen binnen via een ‘blind spot’, een plek waar de beveiliging geen zicht op had. Het gevolg: een massale ransomware aanval en een schade van meer dan € 200 miljoen. Realiseer je dus dat je beveiliging zo goed is als de zwakste schakel in de keten.”

Segmentatie en VPN Tunnels

Terug naar het casino in Las Vegas. Moeten de vissen in het aquarium het voortaan doen zonder hightechthermostaat? Streefland denk niet dat dit nodig is. “Allereerst is het belangrijk om te zorgen voor segmentatie. Het mag niet zo zijn dat al je data toegankelijk zijn als er een aquarium wordt gehackt: je moet zorgen dat de rest van het netwerk wordt beschermd, bijvoorbeeld door encryptie. Maar ook dat aquarium zelf kun je beter beveiligen, bijvoorbeeld met een Vitual Private Network-tunnel (VPN). De essentie zit hem in de woorden ‘tunnel’ en ‘private’. Alleen via die tunnel krijg je toegang tot het apparaat, en jij bent de enige die toegang heeft tot de tunnel. Zo maak je het hackers een heel stuk moeilijker.”  

 

Dit artikel is gesponsored door Hikvison.

Cybercrisis_356

Fred Streefland: “Realiseer je dat je beveiliging zo goed is als de zwakste schakel in de keten.”


Trends in cybercriminaliteit

Hikvision: Cybersecurity in het aquarium

4/16
Loading ...