Rick Verdoes (Pentests.nl): Cybercriminelen liggen continu op de loer

Geplaatst door CorporatieMedia op
 

De afgelopen weken werd de corporatiesector opgeschrikt door een reeks hackaanvallen. De vraag hoe het gesteld is met de beveiliging bij woningcorporaties is daardoor een terechte. CorporatieGids.nl sprak met Rick Verdoes, ethical hacker bij Pentests.nl, over de grootste gevaren én belangrijkste kansen voor woningcorporaties.

Gehackt worden is iets wat iedereen kan overkomen, begint Rick het gesprek: “Waar gewerkt wordt, worden fouten gemaakt. En een hacker heeft vaak maar één fout nodig om toegang te krijgen. Dat gesteld hebbende, zie ik dat woningcorporaties de afgelopen jaren zich steeds bewuster zijn geworden van de digitale dreiging en de noodzaak van informatiebeveiliging. Vaak zien wij dat de focus echter ligt op de organisatorische en menselijke kant van informatiebeveiliging. Dit komt onder andere door de invoering van de AVG. De technische kant wordt vaak nog onderbelicht omdat het complex en nog onbekend is.”

Technische beveiliging onderbelicht
Niet iedere woningcorporatie staat daarnaast op hetzelfde punt. “Er is een duidelijk verschil te zien in hoe volwassen ze zijn met de technische kant van informatiebeveiliging. Vooral als een organisatie nog nooit een pentest – een gesimuleerde hackaanval – heeft uitgevoerd, zijn de resultaten schrikbarend. Denk bijvoorbeeld aan beheeraccount met wachtwoorden als ‘Welkom01!’ en back-ups die voor iedereen te benaderen zijn. Dit leidt er vaak toe dat het binnen een uur mogelijk is om de gehele netwerkomgeving over te nemen.”

“Een voorbeeld hiervan is dat ik ooit de beveiliging van een fileshare onderzocht heb. Deze fileshare was op organisatorisch niveau ingericht met een strak rechtensysteem. Gebruikers konden alleen bij de mappen en bestanden als ze daarvoor geautoriseerd waren. Tijdens de implementatie heeft dit rechtensysteem duidelijk aandacht gehad. Tijdens de pentest kwam ik er binnen een kwartier echter achter dat een beveiligingsupdate miste. Hierdoor was het mogelijk om het gehele systeem – inclusief alle bestanden uit alle mappen – over te nemen. De focus lag duidelijk op het organisatorisch deel van informatiebeveiliging en de technische beveiliging was onderbelicht. Bij informatiebeveiliging geldt dat het zo sterk is als de zwakste schakel. Alle aspecten verdienen dezelfde aandacht.”

Nóg een hack
De kans dat een grote hack zoals begin dit jaar de sector nogmaals plaatsvindt, acht Rick reëel: “Cybercriminelen liggen continu op de loer. Dit gebeurt vaak voor financieel gewin met bijvoorbeeld ransomware. Deze aanvallen zijn de afgelopen jaren alsmaar toegenomen, zowel in frequentie als in het gevraagde losgeld. Zolang deze vorm van criminaliteit dusdanig lucratief is, zullen criminelen er niet gauw mee stoppen.”

Afhankelijkheid
Op de vraag wat volgens hem het grootste gevaar is voor de sector, noemt Rick de afhankelijkheid. “Door de digitale transitie van de afgelopen jaren, zijn organisaties afhankelijk geworden van IT. De schade die ontstaat na getroffen te worden door ransomware is daarom enorm. Daarnaast zijn woningcorporaties vaak afhankelijk van externe partijen. Dit resulteert vaak in een onoverzichtelijk IT-landschap waarbij het niet precies duidelijk is wie waarvoor verantwoordelijk is én waarin het overzicht ontbreekt. Een voorbeeld hiervan is dat er vaak een duidelijk updatebeleid aanwezig is, maar dat sommige systemen niet meer bekend zijn bij de IT-afdeling en deze daarom geen update ontvangen. Dit is een blindspot waar cybercriminelen zich op kunnen richten.”

Zwakste schakel
Toch is informatiebeveiliging de laatste jaren steeds hoger in het vaandel komen te staan, vervolgt Rick: “Dit komt mede door de invoering van de AVG. Hierdoor ligt de focus echter vaak op de privacy en organisatorische kant van informatiebeveiliging. De technische kant krijgt zoals gezegd niet altijd de aandacht die het verdient. Dit brengt de nodige risico’s met zich mee, want je informatiebeveiliging is zo sterk als je zwakste schakel. Daarnaast is het meestal een uitdaging om inzicht te krijgen in de zwakke plekken. Een pentest biedt dan vaak de oplossing.”

Pentest
“We snappen dat IT-beveiliging voor organisaties complex en uitdagend kan zijn,” gaat Rick verder. “Bovendien mist er vaak een helder beeld van de plekken waar je jezelf kunt verbeteren. Wij kunnen corporaties helpen met het verkrijgen van zulke inzichten via pentests. Aan de hand hiervan identificeren we de zwakke plekken en geven we passend advies. Daarbij hanteren wij een pragmatische en doeltreffende aanpak. Zo beginnen wij een traject altijd met een quickscan. Dit is een nulmeting waarbij we in de breedste zin kijken naar de technische kant van informatiebeveiliging. Dit achterhaalt waar de risico’s het grootst zijn en hoe er slimme keuzes ter verbetering gemaakt kunnen worden. Hierdoor kunnen keuzes gemaakt worden die er zichtbaar toe doen.”

“Daarnaast zit de kracht van informatiebeveiliging in de herhaling. Een eenmalige beveiligingstest kan gezien worden als een druppel op een hete plaat. Het draagt eenmalig iets bij, maar wordt al snel vergeten. Daarom adviseren wij om IT-beveiliging een integraal en periodiek onderdeel te maken van de bedrijfsvoering zodat er op een constructieve manier verbetering getroffen kan worden.”

Verbetering
Hoewel er vaak al aandacht is besteed aan informatiebeveiliging, zijn er nog veel kansen voor verbetering. Rick: “Deze liggen vooral aan de technische kant. Veel corporaties zijn zich al bewust van de basis cybersecuritymaatregelen, maar toch kunnen enkelen hier nog hun voordeel mee doen. Zo beveelt het Nationaal Cyber Security Centrum maatregelen aan als het toepassen van multifactorauthenticatie, het segmenteren van netwerken, controleren welke apparaten en diensten bereikbaar zijn vanaf het internet én deze beschermen, opslagmedia versleutelen met gevoelige bedrijfsinformatie, het regelmatig maken van back-ups en het installeren van softwareupdates.”

Grotere risico’s
Verbeteren is belangrijk, want de komende jaren zullen de cyberrisico’s bij corporaties alleen maar groter worden. Rick: “Het IT-landschap van organisaties wordt alsmaar complexer en het wordt een steeds grotere uitdaging om een compleet inzicht hierop te krijgen. Ik denk persoonlijk dat het daarnaast voor sommige corporaties noodzaak is om naast de organisatorische en menselijke kant, ook de technische kant tegen het licht te houden. Informatiebeveiliging staat gelukkig bij veel corporaties wel hoog in het vaandel en velen hebben in het verleden tijdens de invoering van de AVG al laten zien dat ze met de continuïteiten kunnen meebewegen.”

Bron: CorporatieMedia, Foto: Pentests.nl