CYBERSECURITY OP DE HELLING DOOR INTERNET OF THINGS
Nog veel zwakke punten in databeveiliging

HACKING = BIG BUSINESS


OOK BEDRIJFSSPIONAGE OP KLEINERE SCHAAL

INTERNET OF THINGS EXTREEM VATBAAR
Bedrijfsprocessen zijn heel erg vatbaar voor hackers. Veel van die systemen werken nog op oude besturingssystemen, daterend uit de tijd dat cybersecurity nog geen prioriteit was. De hoofdbekommernissen waren toen eerder gebruiksgemak, proceszekerheid en 100% beschikbaarheid. Maar nu deze systemen ook nog eens ingepast worden in een overkoepelend IoT-systeem, met de nodige communicatie van en naar externe devices, zijn ze heel kwetsbaar voor aanvallen.
HMI, SCADA EN PLC

GOUDEN ANTIHACKINGTIPS
USB-gebruik

Wachtwoorden
Sinds de explosie van het aantal op het internet aangesloten devices is het aantal wachtwoorden evenredig gestegen. Veelal hebben gebruikers slechts een of enkele wachtwoorden voor meerdere toestellen. Ook de sterkte laat meer dan eens te wensen over. Een wachtwoord van acht karakters valt in minder dan twee uur te kraken. Het is dus zaak om wachtwoorden te maken die ten eerste lang genoeg zijn, ten tweede cijfers, hoofdletters en cijfers bevatten en ten derde liever geen bestaand woord vormen. Ook moeten wachtwoorden geregeld veranderd worden, met telkens 'verse' wachtwoorden.
Virussen
Virussen kunnen op allerlei manieren systemen infiltreren. Ook hier is een bescherming niet enkel een zaak van software, maar ook en vooral van gebruikersgedrag. Een goede firewall in combinatie met het opvolgen van updates en patches is dus één ding, maar werknemers moet ook uitgelegd worden dat op links klikken altijd en overal met de nodige argwaan benaderd moet worden. Ook is het aangeraden om toegangsrechten in te stellen. Al te vaak hebben werknemers immers op alle echelons toegang tot alle data en zijn ze zich net bewust van de mogelijke gevolgen van een simpele klik.
Firewalls
Firewalls zouden standaard moeten zijn, zowel overkoepelend als nogmaals apart voor elk aangesloten toestel. Enkel het overkoepelende systeem voorzien van een firewall en de aparte toestellen niet, is als je voordeur barricaderen, maar de achterdeur wagenwijd openlaten. Nadelen hiervan zijn de meerkost en een mogelijke vertraging op het systeem. In kritische toepassingen kunnen er ook firewalls van meerdere fabrikanten geïnstalleerd worden, zodat deze een extra bescherming bieden. Wees u er ook van bewust dat er meerdere types firewalls bestaan.
Afvalbeheer
Iets wat vaak over het hoofd gezien wordt, is de fysieke afvalstroom. Er zijn meerdere gevallen bekend van datahacks waarbij de gevoelige informatie rechtstreeks uit de container van het bedrijf gehaald werd. Dat kan papier zijn dat niet door een shredder geraakt is, maar evengoed worden er soms moederborden gedumpt zonder voorafgaandelijke destructie van de datadragers.
Cloud
Als het over de cloud gaat, is het duidelijk: gebruik hem niet om bedrijfskritische informatie in op te slaan, hoewel dat aanlokkelijk is. Mocht u het toch niet kunnen laten, dan zijn encryptie en een goed wachtwoordbeheer het absolute minimum.
Mobile devices
'Bring Your Own Device' luidde het credo ooit, waarmee men bedoelde dat werknemers zelf bedrijfsacties konden uitvoeren met hun laptop of smartphone. Handig, goedkoop en efficiënt, maar een nachtmerrie voor de cyberveiligheid. Hier geldt hetzelfde als bij de cloud: zeker niet te gebruiken voor kritische data.
Identificatie
Het beschermen van data betekent ook het beschermen van serverruimtes en bedrijfseigen workstations tegen mogelijke inmenging. Hier is een waterdichte identificatie absoluut nodig. Het zou niet de eerste keer zijn dat een hack ongemerkt plaatsvindt omdat een 'elektricien' zogezegd dringende werken moet komen uitvoeren in de serverruimte. Badgesystemen met gelimiteerde toegangsrechten per persoon zijn dus onvermijdelijk, met een extra registratiesysteem voor bezoekers en onderaannemers. Ook hier is bewustmaking van het personeel broodnodig: leer ze personen aan te spreken die niet de vereiste identificatie kunnen voorleggen, toon hun de zwakke punten in hun afdeling.
MENSELIJKE FACTOR IS ZWAKSTE SCHAKEL
U merkt het: cyberveiligheid gaat veel verder dan de installatie van een standaardvirusscanner met bijbehorende firewall. De zwakke schakel in de beveiliging blijkt quasi altijd de menselijke factor te zijn, wat het volgende markante voorbeeld aantoont. Een Belgische industriële speler deed onlangs een uitgebreide test bij zijn werknemers met cybersecurity als thema. Er werden drie geheime 'cybertests' uitgerold. Bij de eerste kregen alle werknemers een zogenaamde interne mail van de IT-dienst met de vraag om hun paswoord en inloggegevens door te geven, naar aanleiding van een zogenaamde black-out in hun systeem. De mail in kwestie kwam niet van een bedrijfseigen adres, maar had verder wel volledig dezelfde opmaak, met dezelfde lettertypes, hoofding en banners. Liefst 41% van de werknemers deed klakkeloos wat gevraagd werd. Meer zelfs, toen na bekendmaking van de test aan die 41% gevraagd werd om hun paswoord aan te passen dat ze net blootgegeven hadden, bleek na één week dat nog eens 34% onder hen dit nog steeds niet gedaan had.
Een tweede test ging over het gebruik van USB-sticks. De test hield in dat men random over de bedrijfsterreinen 36 USB-sticks verspreidde: in vergaderlokalen, 'achteloos achtergelaten' aan de receptie, op tafel in de refter, in een bak in een magazijn. De USB-sticks bevatten een programma dat automatisch een bericht stuurde naar de IT-dienst als hij ingeplugd werd.
Daarbij bleek dat na één maand al 24 van de USB-sticks minstens één keer ingeplugd waren. De derde test was gericht op het buiten houden van vreemde personen. Een ingehuurde acteur probeerde telkens mee binnen te glippen met werknemers, ook al had hij geen toegangsbadge. In bepaalde gevallen kwam hij gewoon mee binnen met iemand aan het begin van de werkdag. Of hij sloeg een praatje in de rookruimte, om vervolgens met een glad excuus binnen te glippen. In nog een andere situatie verkocht hij zichzelf, verkleed als een werkman van een onderaannemer. In iets meer dan de helft van de gevallen lukte het probleemloos om mee te glippen voorbij de eerste toegangslaag. Er is zelfs een extreem geval van serverhacking bekend, waarbij er gewacht werd op de jaarlijkse vakantie van de preventieadviseur om toe te slaan onder het mom van een evacuatieoefening. Daarbij was er zogezegd een zwaargewonde gevallen in de serverruimte. Om een lang verhaal kort te maken: het overgrote deel van de hackings vloeit voort uit menselijk handelen (of het gebrek eraan). Een goede bescherming tegen cyberaanvallen begint dus bij een bewustmaking op de werkvloer.