Hack van de dam - Cybersecurity podcast

Het wordt steeds moeilijker om gekwalificeerde cybersecurityspecialisten op de arbeidsmarkt te vinden. Tegelijk zien we een explosieve toename van het aantal mensen dat kunstmatige intelligentie gebruikt. Denk aan de opmars van ChatGPT en andere toepassingen die menselijke trekjes vertonen. Maar hoe veilig is dat eigenlijk? Is het gebruik van AI wel zonder risico's? Cybercriminelen weten immers altijd een manier te vinden om technologie op een kwalijke manier uit te buiten… In HVDD #21 (de eerste aflevering van Seizoen 3) praten onze vaste hosts - Jasper en cybersecurityspecialist Martijn - over de mogelijkheden die AI biedt én over de gevaren die kunstmatige intelligentie met zich meeneemt. Uiteraard krijg je ook tips om er zo veilig mogelijk gebruik van te maken.

In de podcastserie Hack van de Dam draait alles om cybersecurity in de breedste zin van het woord. Het gaat niet alleen over de technische aspecten, maar ook over de integratie van cybersecurity in bedrijfsprocessen en het toenemende belang van cybersecurity awareness. Digitale veiligheid is intussen (gelukkig) niet meer alleen voorbehouden aan de IT-afdeling. Iedereen heeft ermee te maken, iedereen moet er iets mee doen. In HVDD #20 (de afsluiter van Seizoen 2) onderstreept Avantage-CEO Eric Carree dat nog maar eens. Verder geeft hij onder meer aan dat de status van cybersecurity-adviezen een verandering doormaakt. “Als IT-bedrijf moeten we tegen onze klanten durven zeggen dat ze maatregelen moéten nemen om onze zorgplicht goed in te kunnen vullen.” Ga er maar even voor zitten.

In de podcastserie Hack van de Dam gaat het over de technische aspecten van cybersecurity; het integreren van cybersecurity in bedrijfsprocessen en het belang van security awareness. Het rapport Cybersecuritybeeld Nederland 2022 van de Nationaal Coördinator Terrorismebestrijding en Veiligheid was voor ons aanleiding om Inge Bryan, directeur van Fox-IT, uit te nodigen om bij ons aan te schuiven. In HVDD #19 gaat het om de informatie die in het rapport te vinden is. Hoe groot is de digitale dreiging eigenlijk? Hoe goed werken organisaties en/of brancheverenigingen samen om die dreiging het hoofd te bieden? Hoe staat het met het delen van dreigingsinformatie door de publieke sector met de private sector? Inge zorgt samen met Jasper en Martijn voor de antwoorden op deze (en meer) vragen.

In de podcastserie Hack van de Dam gaat het regelmatig over de technische aspecten van cybersecurity; IT-oplossingen die bedoeld zijn om cyberaanvallen te voorkomen. Daarnaast vragen we vaak aandacht voor het integreren van cybersecurity in bedrijfsprocessen en benadrukken we het belang van security awareness; medewerkers die helpen om de digitale weerbaarheid van een organisatie te versterken. In deze aflevering gaat het echter om de juridische aspecten van cybersecurity. Wie is aansprakelijk voor de schade die een cyberaanval veroorzaakt? Welke afspraken moet je met je IT-leverancier maken? En hoe zit het met de verzekering? Samen met advocaat Rosalie Brand van advocatenkantoor Kennedy van der Laan zorgen Jasper en Martijn voor de antwoorden en nog veel meer praktische informatie.

Een cyberoorlog mag dan online worden gevoerd; er zijn wel degelijk overeenkomsten met een fysieke oorlog. De wapens zijn misschien minder tastbaar; de gevolgen zijn net zo merkbaar. Wanneer een land een digitale aanval uitvoert op een ander land, hoeft die niet per definitie gericht te zijn op vitale infrastructuur. Het beïnvloeden van de publieke opinie met propaganda of nepnieuws (al dan niet met behulp van deepfakes) is ook een middel om een maatschappij te ontwrichten. Hoe goed is Nederland voorbereid op een digitale aanval? Hoe gaan we met de eventuele gevolgen om? Kunnen we ons daartegen wapenen? En wat moeten we daar dan voor inzetten? Dat zijn belangrijke vragen in deze 17e aflevering van Hack van de Dam. Jasper en Martijn gaan er dieper op in en geven ook antwoorden.

Wie bij hackers nog steeds denkt aan opgeschoten pubers met een hoodie die bedrijven vanaf hun zolderkamer online lastig vallen, zit er stevig naast. Hacken is tegenwoordig serieuze business en hackorganisaties hanteren dan ook serieuze businessmodellen. Zaken als marktonderzoek, doelgroepen en segmentatie spelen een belangrijke rol om het verdienmodel vorm te geven. In aflevering 16 van Hack van de Dam gaan Jasper en Martijn in op de organisatie die professionele hackers nodig hebben om succes te boeken. “Die kans op succes kun je trouwens minimaliseren door proactieve tegenmaatregelen te nemen”, weet Martijn. En als jouw organisatie toch getroffen wordt? “Onderhandelen. De schade beperken.” Luisteren maar!

In HVDD #15.5 hebben Jasper en Martijn een bijzondere (en jeugdige) gast: Madison. Cybersecurity is namelijk niet alleen iets voor grote mensen, maar ook voor kinderen. Zij hebben net zo goed te maken met online gevaren, die ze vaak niet herkennen. Daardoor weten ze ook niet hoe ze moeten voorkomen dat ze door hackers te grazen worden genomen. Als expert legt Madison in duidelijke taal uit waar leeftijdsgenoten online op moeten letten. Daarbij geeft ze ook nog eens een stevig aantal praktische tips om ervoor te zorgen dat kinderen zich niet zomaar in de luren laten leggen. Een heel belangrijke tip is: ‘als je twijfelt, vraag het aan je ouders'. En als die niet in de buurt zijn? Dan gewoon niet doen.

In HVDD #15 is Sanne Maasakkers te gast bij Jasper en Martijn. De cybersecurityspecialist en ethisch hacker maakte begin 2022 de overstap van het bedrijfsleven (Fox-IT) naar de overheid om bij te dragen aan de nationale digitale veiligheid. Sanne constateert dat het neutraliseren van digitale dreigingen steeds vaker op de voorgrond treedt. Dat maakt het extra belangrijk om te weten wat je moet doen wanneer jouw organisatie door een cyberaanval wordt getroffen. “Dat moet je oefenen”, vindt zij. Daar is Martijn het helemaal mee eens. “We doen al brand- en ontruimingsoefeningen. Dit is minstens zo belangrijk.” Verder gaan ze uitgebreid in op de crisisoefening ISIDOOR, waarin onder meer de samenwerking tussen verschillende disciplines wordt getest. Kijk en luister!

In deze 14e aflevering van Hack van de Dam hebben Jasper en Martijn het samen met collega Frank Fokker over veilig printen. De printer heeft zich door de jaren heen van stand alone documentproducent ontwikkeld tot onmisbaar element voor document management in IT-omgevingen waarin online communiceren aan de orde van de dag is. Dat brengt uitdagingen op het gebied van cybersecurity met zich mee. Je moet er in de eerste plaats natuurlijk voor zorgen dat de technische randvoorwaarden adequaat worden ingevuld om ervoor te zorgen dat hackers niet via een printer met verouderde software bij jouw organisatie kunnen inbreken. Tegelijk zijn er genoeg andere zaken waar je rekening mee moet houden om te voorkomen dat je onnodig slachtoffer wordt van cybercriminelen. Benieuwd? Luisteren maar!

Deze 13e aflevering van Hack van de Dam brengt zeker geen ongeluk! Integendeel; nadat Jasper en Martijn een aantal opvallende nieuwtjes uit de media hebben belicht, praten ze met Everdina Groen, Projectmanager & Security Officer bij de Friese thuiscorporatie Elkien. Zij vertelt op haar eigen enthousiaste manier welke rol cybersecurity bij ‘haar' organisatie speelt en hoe ze ervoor zorgt dat alle medewerkers zo goed mogelijk bij de cybersecurityles blijven. “Je moet je bewust zijn van de risico's en van de impact ervan op de manier waarop je werkt.” En zo is het!

In de 12e aflevering van Hack van de Dam bespreken Jasper en Martijn eerst een aantal opvallende zaken uit de media, zoals de hack bij MediaMarkt. Voordat ze ingaan op de cybersecurity trends voor 2022, worden de belangrijkste ontwikkelingen in 2021 nog even onder de loep genomen. Meer hacks, meer datalekken, meer aanvallen op toeleveranciers en meer DDoS-aanvallen. En in 2022 wordt het er zeker niet beter op. Reken maar op ransomware. Maar wat kun je daar nou tegen doen? Luisteren!

In de eerste aflevering van het tweede seizoen van ‘Hack van de dam', onze podcastserie over cybersecurity, kijken we eerst kort terug op een aantal cybersecurity-incidenten, die de media hebben gehaald. Daarna hebben we het vooral over de rol van cybersecurity in de hybride werkomgeving. Want hoe veilig gebeurt dat eigenlijk? Sinds de thuiswerkplek een vast onderdeel van de werkomgeving is geworden, zijn er 30% meer datalekken geconstateerd en is het aantal hacks met 64% toegenomen. Om die cijfers naar beneden te krijgen, is het niet genoeg om te investeren in technische preventieve maatregelen. Bewustwording van de digitale risico's bij de medewerkers is minstens zo belangrijk.

00:26 In de media: Mandemakers, Kaseya en Microsoft Het heeft er alle schijn van dat hackers de druk op een slachtoffer verhogen door de impact die een ransomware aanval op de klanten van het slachtoffer heeft. Mandemakers weigerde losgeld te betalen en kwam zelf met een oplossing, maar de klanten kregen te maken met stevige vertragingen. De aanval op Kaseya was in feite een aanval op de supply chain. En de PrintNightmare bij Microsoft is zowel op servers als werkplekken gericht. De consument betaalt dus indirect de prijs. 10:15 ‘Heb ik het wel goed genoeg voor elkaar?' Salesmanager Jasper heeft veel opgestoken van de kennis van securityspecialist Martijn. Daardoor kan hij klanten nog beter antwoord geven op de vraag ‘Heb ik het wel goed genoeg voor elkaar?‘ “Het is sowieso goed om dat soort vragen als organisatie aan jezelf te stellen”, vindt Martijn. Het is natuurlijk nog beter om daar adequaat antwoord op te kunnen geven. Daarbij worden de te nemen maatregelen bij voorkeur afgestemd op het gemak voor de gebruikers. “Multifactor authenticatie maakt al een wereld van verschil!” 21:15 En als het toch gebeurt… Ga er voor de zekerheid maar van uit dat jouw organisatie echt een keer door cybercriminelen wordt aangevallen. Wie doet dan wat en is waarvoor verantwoordelijk? Het is verstandig om vooraf een crisisteam samen te stellen en met scenario's, inclusief verrassende wendingen op andere gebieden dan IT, te oefenen. Wanneer jouw organisatie ondanks alle maatregelen dan toch getroffen wordt, heb je er alles aan gedaan om onnodige schade te voorkomen. 30:30 ‘Weet je wel hoeveel jouw data waard is?' Vreemd genoeg weten organisaties vaak niet wat hun data waard is. Althans, ze vinden het lastig om dat in geld uit te drukken. Cybercriminelen hebben daar echter geen enkele moeite mee. Die weten heel goed welke waarde jouw cruciale bedrijfsgegevens hebben. Daarop baseren ze bij een ransomware aanval de vraagprijs om jouw systemen weer vrij te geven. Afgezien van het feit of je daarop ingaat, is het de moeite waard om een verzekering af te sluiten tegen de gevolgen van een digitale aanval. Het kan maar beter geregeld zijn.

01:13 In de media: bol.com en Colonial Pipeline Je zult maar twee keer dezelfde (forse) rekening moeten betalen. Het overkwam bol.com, dat de stellig meende dat alle facturen aan Brabantia waren betaald. Het geld was alleen naar oplichters overgemaakt. Kassa voor de cybercriminelen en een strop van 750.000 euro voor de webwinkel, die het geld nog een keer moest overmaken. En wat te denken van de hack bij een oliepijplijn in de USA? Maatschappelijke ontwrichting door brandstoftekort, hamstergedrag door consumenten en miljoenen dollars losgeld die Colonial Pipeline betaalde om de dienstverlening te kunnen hervatten. 04:54 ‘Er verandert veel in het aanvalslandschap…' Aanvallen met ransomware worden steeds problematischer voor organisaties. Maar e-mail hacks zijn ook nog steeds populair onder cybercriminelen. Bij een succesvolle hack kunnen ze heimelijk activiteiten in een netwerkomgeving ontplooien, inzicht krijgen in de gang van zaken in een organisatie en daardoor ‘slimmer' een daadwerkelijke aanval uitvoeren, bijvoorbeeld met ransomware die meer en meer wordt toegespitst op specifieke organisaties en soms zelfs op bepaalde medewerkers in een organisatie. Tip van het securitytrio: ‘Maak het ze niet te makkelijk om binnen te komen. Gebruik in elk geval multifactor authenticatie om de toegang tot jouw IT-omgeving moeilijker te maken.' 14:43 ‘De telefoon gaat. En dan?' De meldingen die Fox-IT wekelijks binnenkrijgt, zijn lastig te categoriseren. ‘Het verschilt van “we denken dat er iets niet goed zit” tot “help, de zaak ligt plat”', vertelt Willem Zeeman. In alle gevallen volgt een onafhankelijk onderzoek om de situatie objectief te kunnen beoordelen. In het gunstigste geval kan een cyberaanval mogelijk worden voorkomen door kwetsbaarheden te identificeren. ´Het is een kwestie van goed doorvragen en vooral weten hoe een organisatie werkt. Daaruit halen we informatie die voor ons belangrijk is. En het kan zo zijn dat we dan adviseren om de stekker er tijdelijk uit te trekken.' 26:42 Techniek vertalen naar besluitvorming Uit forensisch IT-onderzoek blijkt dat een organisatie nog niet getroffen is door een ransomware aanval, maar dat de kans levensgroot aanwezig is dat die op korte termijn wel gaat plaatsvinden. Dan draait niet alles meer om techniek, maar zijn meerdere factoren van belang. Daarom is het belangrijk om in zo'n situatie een multidisciplinair crisisteam samen te stellen, waarin de rollen duidelijk verdeeld zijn en zaken als interne en externe communicatie goed zijn geborgd. Het onderzoek levert feiten op; beslissingen over vervolgstappen worden door het team genomen. Jammer genoeg hebben getroffen organisaties vaak niet over zo'n structuur nagedacht. 36:02 ‘Een duivels dilemma…' Jouw organisatie is getroffen door een ransomware aanval; de systemen liggen plat. Moet je de cybercriminelen dan wel of niet betalen om weer aan het werk te kunnen gaan? ‘Wij adviseren om het niet te doen, maar hebben er begrip voor wanneer een organisatie besluit om het wel te doen', zegt Willem Zeeman. ‘Tegelijk heb je geen garantie dat alles dan weer werkt zoals het hoort; het blijven natuurlijk wel criminelen.' ‘Aan de andere kant hebben professionele cybercriminelen soms zelfs een servicedesk die je helpt om de zaak te herstellen', weet Martijn. ‘Het is een duivels dilemma', vat Jasper de discussie samen.

In aflevering 8 van ‘Hack van de dam'(onze podcast serie over cybersecurity) nemen onze collega's - salesmanager Jasper en securityspecialist Martijn - het gemiddelde niveau van cybersecurity bij MKB'ers onder de loep. Dat mondt uit in 10 praktische tips die organisaties helpen om hun digitale weerbaarheid te verhogen. 01:05 In de media: Microsoft Exchange en kaastekort Ondanks de nodige reparatiewerkzaamheden werden er toch weer kwetsbaarheden in Microsoft Exchange ontdekt. Daar deden zowel hackers als digitale beveiligers meer onderzoek naar. En hoe kwam het dat een grote supermarktketen ineens tekort aan kaas had? Door een hack bij een logistieke partner, die dus merkbare gevolgen had voor de consument. Het zal niet het laatste incident zijn waarbij digitale schade tot fysieke consequenties leidt. ‘Het is een groeiend probleem.' 06:29 ‘Overal valt wat te halen…' Een gestolen hard disk bij de Belastingdienst. Een datalek bij een gerenommeerd bouwbedrijf. Persoonsgegevens van 3,6 miljoen klanten van een webwinkel die op straat komen te liggen. Miljoenen openbare gegevens van social media die door cybercriminelen geanalyseerd worden. Wanneer al die gegevens worden gecombineerd en gecorreleerd, ontstaan organisatie- en persoonsprofielen die doelgerichte cyberaanvallen vereenvoudigen. De gevolgen zullen nog lang nadreunen. Want: ‘Overal valt wat te halen.' 13:08 ‘Waar moeten we nou beginnen?' Organisaties die hun digitale veiligheid willen verhogen, weten vaak niet waar ze moeten beginnen. De allereerste tip die Martijn geeft, is: ‘Multifactor authenticatie! Naast de combinatie van een gebruikersnaam en een wachtwoord is dat een extra beveiliging om toegang tot een IT-omgeving of applicaties te krijgen.' Ook de veiligheid van de thuiswerkplek komt aan bod, net als het belang van updates en tijdige signalering van kwetsbaarheden. 26:23 ‘Het gaat om draagvlak en budget…' Dat antivirussoftware geen ultieme oplossing tegen cybercriminaliteit is, mag intussen duidelijk zijn. Je hebt echt aanvullende voorzieningen nodig om de digitale veiligheid van jouw organisatie te verhogen. Daarnaast vraagt het veiligheidsbewustzijn van medewerkers om structurele aandacht en moet je weten wat je moet doen als jouw organisatie ondanks alle maateregelen toch door een cyberaanval wordt getroffen. Wat daarvoor nodig is? ‘Draagvlak en budget. Cybersecurity hoort op de directieagenda te staan.'

01:42 In de media: ‘Autoriteit Persoonsgegevens luidt de noodklok.' Volgens een recent rapport van de Autoriteit Persoonsgegevens is het aantal hacks en gevallen van datadiefstal in 2020 30% gestegen in vergelijking met het jaar daarvoor. Een datalek bij Ticketcounter leverde meer dan 100.000 slachtoffers op. Sinds 2017 zijn in Nederland ruim 1,5 miljoen e-mailadressen gelekt, die eenvoudig misbruikt kunnen worden. Het zijn getallen die er niet om liegen. En dat terwijl multifactor authenticatie veel problemen kan voorkomen. 05:05 ‘Alleen antivirussoftware is echt niet genoeg…' Door enkele zwakke plekken in Microsoft Exchange konden hackers door achterdeurtjes listig binnendringen in IT-omgevingen van organisaties. Die plooien werden snel met patches gladgestreken en leidden bij onze klanten (gelukkig) niet tot vervolgschade. Dat kwam vooral door de aanvullende bescherming die wij onze klanten bieden, waarmee we ongewone activiteiten op werkplekken en netwerken monitoren. Eén ding is intussen wel duidelijk geworden: alleen antivirussoftware is niet voldoende om jouw organisatie afdoende tegen hackers te beschermen. 20:43 ‘Je moet echt uitkijken met wat je deelt!' Hackers maken steeds vaker gebruik van OSINT: Open Source INTelligence. Daarmee wordt bedoeld dat ze openbare bronnen zoals websites en social media raadplegen om een organisatie in kaart te brengen. Vervolgens kunnen ze relatief eenvoudig bepalen welke aanvalsroute de meeste kans op succes oplevert en welke doelen simpel bereikt kunnen worden. Daarbij gaat het onder meer om het buitmaken van privacygevoelige data die in een later stadium misbruikt kan worden. 30:48 ‘Het draait om bewustwording en beleid...' OSINT kan ook defensief worden gebruikt. Dan maak je het hackers zo moeilijk mogelijk om relevante data van jouw organisatie in openbare bronnen te vinden. Je moet dus goed nadenken over de informatie die je in het openbaar (namens jouw organisatie) deelt. Dat vraagt niet alleen om bewustwording van je medewerkers. Het vraagt ook om beleid waarmee je jouw medewerkers duidelijk maakt waar de scheidslijn tussen privacy en veiligheid ligt.

Onder meer over het datalek bij de GGD, het succes van de Bug Bounty en de gevolgen van het installeren van SolarWinds software. Maar vooral over de voordelen van het ecosysteem van Microsoft in relatie tot cybersecurity. 03:23 ‘In de media: GGD, Bug Bounty en SolarWinds Na het datalek bij de GGD dacht de organisatie de problemen op te lossen door de printfunctie uit te zetten. Alleen kunnen persoonsgegevens dan nog steeds worden doorgespeeld. Het draait allemaal om veiligheidsbewustzijn en integriteit. Daarmee kun je trouwens goed beloond worden wanneer je kwetsbaarheden bij leveranciers van IT-oplossingen aan het licht brengt. Voor SolarWinds is dat al te laat, maar gelukkig is de Nederlandse overheid (nog) niet geraakt. 12:48 ‘Eenvoud in het licht van complexiteit…' Microsoft ontwikkelt steeds meer producten en diensten op het gebied van cybersecurity. Daarbij gaat het niet alleen om eigen (cloud)oplossingen, maar worden ook oplossingen van andere partijen in het ecosysteem geïntegreerd. Dat maakt het beheer een stuk simpeler. Tegelijk speelt Zero Trust in op de complexiteit van cybersecurity. Een inlogcombinatie en MFA is een goed begin om problemen te voorkomen, maar Identity & Access Management krijgt een steeds voornamere rol. 22:27 ‘Je moet echt uitkijken met schaduw-IT!' Apparaten, software en diensten die niet door de IT-afdeling worden gefaciliteerd, maar op eigen initiatief door medewerkers worden gebruikt. Whatsapp, Dropbox, WeTransfer; onbeheerde platformen die de IT-afdeling grijze haren bezorgen. Met Microsoft Cloud App Security is het mogelijk om dergelijke applicaties binnen de IT-omgeving te blokkeren. Het wordt toch al steeds belangrijker hoe je met data omgaat. Labelen op basis van gevoeligheid kan uitkomst bieden. 36:48 ‘Centraliseren van meldingen, daar liggen kansen...' Het fijne van Microsoft-oplossingen is dat ze allemaal deel uitmaken van het ecosysteem en eenvoudig met elkaar kunnen communiceren. De ‘intelligentie' in de oplossingen kan in meerdere Microsoft-applicaties worden gebruikt. Je kunt zelfs geautomatiseerd meldingen krijgen wanneer activiteiten op de werkplek plaatsvinden die de cybersecurity in gevaar brengen. Alleen zou het wel prettig zijn om de meldingen van verschillende applicaties op één centrale plek te kunnen zien.

In de vijfde aflevering van onze podcastserie ‘Hack van de dam' - ‘Drie praktische voorbeelden van een cyberaanval en wat je ertegen kunt doen' - praat onze salesmanager Jasper Glaser met collega en securityspecialist Martijn Scheffel aan de hand van praktische voorbeelden over afwijkend werkplekgedrag, factuurfraude, phishing en oplossingen om de cybersecurity te optimaliseren. 00.00 ‘In de media: Trump, pakketphishing en de supply chain attack' Donald Trump werd van social media verdreven, maar is dat ethisch verantwoord? En voor de feestdagen nam pakketphishing drastisch toe. Hoe kun je je daar afdoende tegen wapenen? Daarnaast richten hackers zich steeds meer op indirecte aanvallen via de leveranciersketen. Softwareleverancier SolarWinds en securitybedrijf FireEye kregen er stevig van langs. Met voortdurende monitoring kun je echter veel problemen voorkomen. 11.22 ‘Je moet afwijkend werkplekgedrag in de gaten houden…' Antivirus software acteert op bekende dreigingen. Alleen zijn die door het gebruik van Windows-componenten soms lastig herkenbaar. Daardoor kun je via een omweg toch terechtkomen in de hoek waar de klappen vallen. Je hebt dus aanvullende middelen nodig om je werkplek beter te beschermen en verlies van wachtwoorden of privacygevoelige informatie te voorkomen. ‘Endpoint Detection Response is essentieel!' 21.39 ‘Factuurfraude: wie trapt daar nou in?' Jammer genoeg komt het nog te vaak voor dat bedrijven facturen betalen aan hackers in plaats van leveranciers. De cybercriminelen maken dan gebruik van ‘conversation hijacking' om zich langdurig in te graven in een organisatie en misbruik te maken van de vertrouwensband tussen zakelijke partners. Helaas kan IT-technologie niet alles ondervangen. De factor mens moet dus worden versterkt. 33.58 ‘De schaamte voorbij: leren van elkaar...' Een phishingaanval is niet altijd op zakelijke mailadressen gericht. Via privé accounts kan ook zakelijke schade worden veroorzaakt. Denk aan een gehackt LinkedIn-account dat gebruik wordt om collega's naar een valse loginpagina te leiden om daar kwetsbare gegevens achter te laten. MultiFactor Authenticatie is daartegen een probaat hulpmiddel. ‘Maar leg dan ook uit waarom MFA cruciaal is. Begrip leidt tot medewerking.'

Over de Cyber Kill Chain, de 7 verschillende stadia in een cyberaanval, de 4 stappen om de risico's te verkleinen, de rol van IT in dat proces en het belang van digitaal veiligheidsbewustzijn. Daarover praten onze collega's, salesmanager Jasper Glaser en securityspecialist Martijn Scheffel, met studiogast Bert de Houwer-van Wijk van het gerenommeerde cyberveiligheidsbedrijf F-Secure. 02.11 ‘In één kwartaal 67 miljoen aanvallen met Ryuk ransomware!' In de categorie ‘nieuws om in de gaten te houden', heeft Martijn het onder meer over Ryuk ransomware; een type gijzelsoftware dat bekend staat om aanvallen op grote cybersystemen waarmee data op een geïnfecteerd systeem wordt versleuteld, waardoor die ontoegankelijk wordt tot het losgeld is betaald. ‘Gemiddeld 750.000 dollar losgeld per aanval. De impact wordt steeds groter.' 08.44 ‘Het is bijna niet van echt te onderscheiden…' Reconnaissance, Weaponization, Delivery, Exploitation, Installation, Command & Control, Actions on Objective. Zwakke plekken opsporen, effectief bewapenen, malware afleveren, misbruik maken van de kwetsbaarheden, toegang houden, opdrachten geven en het doel bereiken. Dat zijn de 7 fases in de Cyber Kill Chain. ‘De zwakste plek is nog altijd de mens', weet Bert. ‘En cybercriminelen laten mensen er steeds slimmer intrappen.' 26.42 ‘Prediction, prevention, detection, response.' ‘Een thuiswerknetwerk is een verlengstuk van het bedrijfsnetwerk. Het wordt alleen niet door het bedrijf beheerd.' Daarmee raakt Bert een gevoelige snaar. Want hoe zorg je er nou voor dat thuiswerkers thuis net zo veilig kunnen werken als op kantoor? Onder meer door securityprocessen te automatiseren; van voorspellen en voorkomen van ‘security breaches' (ook in intelligente huishoudelijke apparaten) tot en met het detecteren van verstoringen in de IT-omgeving en de inzet van afdoende oplossingen. 34.05 ‘Inzicht krijgen, tijdig updaten en multifactor authenticatie.' Door een IT-omgeving voortdurend (met geautomatiseerde vulnerability scanning) op kwetsbaarheden te monitoren, heb je direct in de gaten of er iets misgaat. Door updates op tijd uit te voeren, verklein je de securityrisico's. ‘Het komt nooit gelegen, maar je moet het eigenlijk meteen doen', vindt Bert. En waar hij samen met Martijn en Jasper op hamert, is het gebruik van ‘MultiFactor Authenticatie'. ‘Patchen en MFA zijn de meest effectieve methodes om hackers buiten de deur te houden.'

Over veilig inloggen, onveilige apps, fraude via social media, het belang van veiligheidsbewuste medewerkers, security awareness trajecten en het meten van resultaten. Daarover praat onze salesmanager Jasper Glaser met collega en securityspecialist Martijn Scheffel én speciale studiogast Erik Lameijer van Schouten Zekerheid. 01.42 ‘Hoe veilig is dat nieuwe normaal nou eigenlijk?' Thuiswerken in de cloud is veilig als je een paar eenvoudige voorzorgsmaatregelen in acht neemt. Extra beveiliging met multifactor authenticatie of een authenticator app bij het vanuit huis inloggen op de zakelijke IT-omgeving is in elk geval aan te raden. En volgens Martijn is het ook handig om in de gaten te houden aan welke apps medewerkers toestemming geven om gebruik te maken van gegevens uit andere toepassingen. 07.58 ‘Security awareness is een optelsom van mens, beleid en techniek.' De politiecampagne tegen Whatsappfraude benadrukt het gevaar van cybercriminaliteit via social media. Maar ook e-mailberichten waarin mensen verleid worden om op een valse link te klikken, doen het (in de ogen van cybercriminelen) nog steeds goed. ‘Met alleen techniek ben je er niet', weet Erik Lameijer. En dat klopt. Meer dan 70% van de datalekken wordt veroorzaakt door de mens. En 1 op de 5 MKB-bedrijven is slachtoffer van een cyberaanval. 14.15 ‘Is veiligheidsbewustzijn een project of een bedrijfsproces?' Het verhogen van het digitale veiligheidsbewustzijn is geen kwestie van een eenmalige inspanning. ‘Security awareness' moet verankerd zijn in de bedrijfsprocessen die zich binnen een organisatie afspelen. Daarbij kan de IT-afdeling in eerste instantie het voortouw nemen, maar het is aan HR om het veiligheidsbewustzijn te blijven voeden. ‘Het gaat tenslotte om opleiding en ontwikkeling', vindt Erik. Martijn en Jasper zijn het daar volledig mee eens. 34.36 ‘Je moet een plan hebben als je toch slachtoffer wordt…' Hoeveel maatregelen je ook neemt; met de mens als zwakste schakel kun je als organisatie toch slachtoffer van cybercriminaliteit worden. In dat geval ben je verplicht om een aantal stappen te zetten, zoals het binnen 72 uur melden van het veiligheidsincident bij de Autoriteit Persoonsgegevens. Met een communicatieplan als leidraad voorkom je dat je overvallen wordt door de nasleep van het incident. ‘Je kunt er alles aan doen om het te voorkomen, maar je moet wel voorbereid zijn als het tóch gebeurt.'

Over een gehackte Trump, DDoS-aanvallen, de corona app, valse facturen, inventarisatie van risico's met behulp van CIS20, quick scans, periodieke toetsing van de digitale weerbaarheid en verhogen van het securitybewustzijn. Daarover praat onze salesmanager Jasper Glaser met collega en securityspecialist Martijn Scheffel. 01.10 ‘Het hack is écht van de dam. Werk aan de winkel.' Cybersecurity staat slechts bij één op de acht MKB-bedrijven op de directie-agenda. Tegelijk is bijna de helft van de cyberaanvallen op MKB-bedrijven gericht. En toch maakt twee derde van het MKB zich niet of nauwelijks zorgen over de digitale veiligheid. Ook al bedraagt de gemiddelde schade bij een cyberaanval haast 80.000 euro per incident. Raar? Tja... Volgens Martijn mag daar wel iets aan gebeuren. 09.00 ‘Ad hoc oplossingen helpen niet. Zonder plan geen resultaat.' In eerste instantie is het belangrijk om te weten wat de ‘digitale kroonjuwelen' in jouw organisatie zijn. Welke data moeten optimaal worden beschermd? Welke bedrijfsprocessen zijn cruciaal? De antwoorden op dergelijke vragen zijn essentieel om een gedegen fundament voor een digitale beveiligingsstructuur te leggen. Door een assessment met behulp van de CIS20-methodiek uit te voeren krijg je een duidelijk beeld van de knelpunten en verbetermogelijkheden. Daardoor creëer je hoe dan ook meer bewustzijn van de digitale gevaren. 18.50 ‘Security awareness is meer een kwestie van organisatie dan van techniek.' Het is tamelijk eenvoudig om te meten wat de positieve gevolgen van digitale beveiligingsmaatregelen zijn. Met multifactor authenticatie en patchmanagement verminder je de risico's. Maar je hebt ook de hulp van je eigen medewerkers nodig om de dreiging het hoofd te bieden en de effecten van die inspanningen laten zich minder makkelijk meten. Daarnaast kunnen derde partijen, zoals toeleveranciers van digitale pakketten, een rol spelen. Je moet samen de impact van inbreuk op de digitale veiligheid vaststellen en ook de normen waaraan het digitale veiligheidsbeleid moet voldoen. 27.50 ‘Een security assessment is niet altijd DE oplossing'. Als je alleen een (hopelijk actuele) virusscanner op de achtergrond hebt draaien, weet je van tevoren wel dat je nog een lange weg te gaan hebt. Bovendien is het maar de vraag of jouw organisatie zich wel leent voor zo'n uitgebreide onderzoeksmethode. Minder complexe organisaties kunnen al veel baat hebben bij een ‘quick technical scan', waarbij vooral gekeken wordt naar de kwaliteit van de digitale beveiligingsmaatregelen die op basis van IT-technologie zijn genomen. Maar de factor ‘mens' is en blijft de grootste bedreiging. Zoals Martijn zegt (33.10): ‘Al heb je een firewall van een ton, er hoeft maar één iemand op een foute link te klikken.'

Over de verschillende soorten hackers, hun beweegredenen, hackvoorbeelden uit de praktijk en maatregelen die organisaties kunnen nemen om hackers buiten de deur te houden. Onze salesmanager Jasper Glaser is in gesprek met collega, securityspecialist en ethisch hacker Martijn Scheffel. 01.55: ‘Het zijn niet allemaal mannen met hoodies op een zolder' Wie zijn die hackers nu eigenlijk? Wat zijn de redenen waarom ze hacken? Hoe en wanneer? De een doet het voor de lol; de ander voor grof geld en de volgende heeft ethische motieven. Er zijn ook hackers die door de overheid worden betaald; ideologische hackers en heuse cyberterroristen. Martijn vertelt er alles over. En meer. 11.29: ‘Je wist niet dat je zoveel bankpasjes had' Hacktrends zijn onderhevig aan veranderingen. In de afgelopen jaren is het accent verschoven van digitaal schieten met hagel naar scherpschuttersgedrag. Toch is een aanval via e-mail onverminderd populair onder hackers en is phishing een graag gehanteerde methode. Daarnaast legt Martijn aan de hand van cases als de Universiteit Maastricht en Maersk uit dat een ongeluk echt in een klein hoekje zit. Maar de schade kan intussen lelijk oplopen. 21.08: ‘Het is maar twee ton' Een hacker die in een netwerk is binnengedrongen, heeft de IT-macht in handen. En de meest kwetsbare factor in de digitale beveiliging is en blijft de mens. Nu werken hackers tegenwoordig steeds doelgerichter en dat maakt het extra lastig om je te tegen hen te wapenen, hoewel technologie zeker een handje kan helpen. Maar als je toch getroffen wordt, kan je voor een lastige keuze komen te staan: slikken of stikken. En weet je eigenlijk wel van alles in je netwerk waarom het daar zit? 37.34: ‘Niet lullen, maar patchen' Bewustwording van de risico's is elementair om de digitale veiligheid in een organisatie te verhogen. Maar met een paar simpele IT-instrumenten kom je ook een heel eind. Antivirus en multifactor authenticatie zijn eenvoudig te realiseren en met een sterk wachtwoord ben je goed op weg. En natuurlijk is het belangrijk om systeemupdates tijdig te installeren om beveiligingslekken te dichten. Regelmatig scannen op kwetsbaarheden van de IT-omgeving is ook een goed idee, maar 100 procent zekerheid is een utopie. Ons beste advies? Dat zie je op 43.42