10 deskundige tips om te voorkomen dat uw bedrijf wordt gehackt
Oktober is Europese Cybersecurity-maand. Dit jaar viert #cybersecmonth trouwens zijn tiende verjaardag. De ideale gelegenheid dus om u enkele tips van onze experte Joséphine Russello mee te geven. Doel: de basis leggen van een gezond beveiligingsbeleid voor uw bedrijf.
Wat is nu juist die CyberSecMonth?
De CyberSecMonth is een initiatief van het Agentschap van de Europese Unie voor cyberbeveiliging (ENISA), de Europese Commissie en de lidstaten. Het initiatief moet de cyberveiligheid promoten, niet alleen van de burgers, maar vooral van de bedrijven in de EU. Dit gebeurt via sensibiliseringscampagnes en het delen van goede praktijken.
De thema's van 2022 zijn phishing en ransomware.
Cyberbeveiliging van uw bedrijf: wat is dat precies?
"Cybersecurity is een volwaardige en complexe materie", vertelt Joséphine Russello, Service Delivery Manager (ROC) Cybersecurity bij Win.
Ze gaat verder: "Vandaag de dag worden bedrijven aan talloze cyberbedreigingen blootgesteld. Ze kunnen hier op twee manieren mee omgaan: ofwel reageren ze niet en laten ze alles aan het toeval over. Ofwel proberen ze de veranderende wereld te begrijpen en handelen ze proactief. Zo kunnen ze voorkomen dat ze geld, opdrachten, zaken, hun reputatie en zelfs banen verliezen." Volgens Joséphine Russello mogen we cyberdeskundigen niet verwarren met "de IT-experts van dienst". Wel vullen ze die laatsten aan. Ze geven hun de "nieuwste meet- en controle-instrumenten, coachen hen en helpen hen bij het dagelijkse IT-management."
Goede praktijken voor cyberveiligheid voor bedrijven
Joséphine Russello geeft tien tips voor de IT-beveiliging van Belgische bedrijven.
1. Een betrouwbaar en werkend informatiesysteem
Een informatiesysteem is een set van middelen en instrumenten om informatie te verzamelen, op te slaan en te verwerken. Dit systeem omvat drie domeinen:
- Techniek (architectuur, materiaal, computers, servers)
- Toepassingen (apps en software)
- Organisatie (beheer van de toegangsrechten, privileges, te respecteren regels, gebruikers)
Dit is een constante uitdaging. Door de technologische evoluties heeft u bekwaam personeel nodig. Dat zorgt ervoor dat het informatiesysteem goed werkt en voert nieuwe reglementeringen of innovatieve systemen in.
Wat kunt u doen om het informatiesysteem van uw bedrijf betrouwbaarder te maken?
Het sleutelwoord is inventaris. Dat is de basisvereiste voor een doeltreffende netwerkbeveiliging.
Wat doet u?
- Een inventaris opmaken van alle hardware.
- Een lijst maken van alle apps, toepassingen en software.
- Een lijst maken van de belangrijkste servers.
- Een lijst maken van alle gevoelige informatie over de hardware en/of de plaats waar die is opgeslagen.
- Een lijst maken van de beheerdersaccounts en/of accounts met privileges.
Probeer zo volledig mogelijk te zijn. Vermeld bijvoorbeeld de versies, merken, verdelers en contactpersonen. Dit alles maakt het mogelijk om proactief te handelen, uw informatiesysteem up-to-date te houden en tijd te winnen mocht zich een beveiligingsincident voordoen.
2. Een dubbel authenticatiesysteem
Wanneer we in het dagelijks leven onze identiteit moeten bewijzen, tonen we onze identiteitskaart of gebruiken we een app zoals itsme. Als het op informatica aankomt, authenticeren we ons op het informatiesysteem (netwerk) met een gebruikersnaam en een wachtwoord.
Uw wachtwoorden zijn gekoppeld aan uw identiteit. Het is dus belangrijk dat u ze goed beschermt. Zo moeten ze lang genoeg zijn (minimaal 13 tekens, met hoofdletters, kleine letters, cijfers en speciale tekens). Ook moet u ze regelmatig veranderen.
Het beheer van die vele wachtwoorden – die bovendien regelmatig moeten worden gewijzigd – laat u het beste over aan een wachtwoordbeheerder. Dat maakt de zaken echt veel gemakkelijker. Voor heel wat wachtwoordbeheerders moet u betalen, maar er bestaan er ook die gratis zijn. Een daarvan is KEEPASS (dit is bovendien open source).
"Gebruik nooit een wachtwoordbeheerder in een public cloud", waarschuwt Joséphine Russello.
De gebruikersnaam en wachtwoorden zijn niet voldoende. Kies resoluut voor dubbele authenticatie (of tweestapsverificatie). Wanneer de eerste authenticatie geslaagd is, ontvangt u via e-mail, sms of een app een code. Dit dubbele proces moet de taak van een eventuele hacker moeilijker maken. Als hij uw identiteit wil stelen, heeft hij immers niet langer genoeg aan uw wachtwoord. Hij heeft ook toegang tot uw mailbox of mobiele telefoon nodig.
3. Beveiliging van de werkplek
Beveiligde IT-apparatuur vormt de basis van de cybersecurity van een bedrijf. Hierboven hebben we het al over de inventaris gehad. Daarmee kunt u voor het hele bedrijf het vereiste veiligheidsniveau bepalen. Er zullen acties volgen en misschien moeten er een aantal gewoontes veranderen.
Het is dan ook essentieel dat u uw medewerkers duidelijk uitlegt welke regels ze moeten volgen. Hiervoor kan bijvoorbeeld een document met de naam "veiligheidsbeleid" worden opgesteld.
Een minimaal beveiligingsniveau voor uw onderneming kan er als volgt uitzien:
- Op elk toestel een antivirus installeren
- De lokale firewall van de computers activeren
- Iedereen moet in gebruikersmodus op zijn toestel zijn aangelogd
- Het gebruik van verwijderbare opslagmedia deactiveren
- Een firewall op het netwerk installeren
- Beveiligde verbindingen gebruiken
- Gevoelig informatie coderen
Hoe doet u dat allemaal? Vraag uw informaticus of IT-dienstverlener om u te helpen bij het bepalen van het veiligheidsniveau en wat dat met zich meebrengt. Maak een lijst van de reeds bestaande maatregelen en een andere van de maatregelen die daar nog moeten bijkomen. Zorg ervoor dat uw verwerkingsregister (AVG) bijgewerkt is met de actuele beveiligingsmaatregelen van het bedrijf.
4. Beveiliging van het bedrijfsnetwerk
Ook hiervoor heeft u een schema nodig van uw informatica-infrastructuur. Daarnaast is het een goed idee om het bedrijfsnetwerk in subnetten onder te verdelen. Dit doet u op basis van hun doel en van de manier waarop ze binnen het bedrijf worden gebruikt.
Joséphine Russello legt uit: "De telefoons en de telefoonserver vormen dan bijvoorbeeld één subnet met als doel ‘telefonie’. Verder komt er een subnet voor de IP-camera's. Maar u kunt ook een subnet creëren voor de directie, een gebruikersnet dat op zijn beurt kan worden opgedeeld per dienst en een subnet voor de back-ups." Het is dus de bedoeling te vermijden dat uw netwerk volledig lineair is. Want dan kan een virus of een malware in een mum van tijd het hele bedrijf aansteken.
Denk aan een brand: die verspreidt zich letterlijk als een lopend vuurtje. Maar een branddeur of een andere hindernis kan het onvermijdelijke afremmen. Bovendien kunnen de hulpdiensten zo beter werken. "Door nu subnetten aan te maken, kunt u later tijd winnen mocht er zich een beveiligingsincident voordoen. Ook kunt u zo de verspreiding van virussen tegengaan."
Daarnaast is het belangrijk om de fysieke toegang tot uw bedrijfsnetwerk te beveiligen. Plaats uw hoofdservers bijvoorbeeld nooit in een kelder die kan onderlopen of op een plaats waar de poetsdienst zomaar bij kan. Controleer dus zeker de toegang tot zowel de serverruimte als tot uw apparatuur in het algemeen.
Wat doet u?
- Uw informaticus vragen om een schema van de IT-architectuur of -infrastructuur.
- Er samen met uw informaticus over nadenken hoe u uw infrastructuur kunt opdelen in afzonderlijke segmenten.
- De fysieke toegang tot uw onderneming beperken.
5. Beveiliging van het beheer
Het beheer van het informatiesysteem vormt eveneens een aandachtspunt. Net zoals u de sleutels van uw huis niet zomaar met iedereen meegeeft, moet u ook de mensen die uw informatiesysteem beheren, kunnen vertrouwen. De toegang tot het beheer van het informatiesysteem moet dus beperkt en beveiligd worden.
"Om te beginnen, moet u bepalen wie er toegang, welk profiel hij of zij moet hebben en welke privileges de beheerders krijgen. Is het wel verstandig als alle medewerkers beheerder zijn van hun eigen toestel?", vraagt onze experte zich af. Het antwoord is 'neen'. "Meestal zijn we louter gebruiker van ons toestel. Ga maar eens na hoeveel keer per maand u een nieuw programma of een nieuwe app installeert. Dat gebeurt vrij zelden. De tijd die we als beheerder actief zijn, is dus uitermate kort. Eigenlijk zijn we meestal gewoon een 'gebruiker' van ons toestel.
Maar als iedereen naast gebruiker ook beheerder is, heeft u op den duur geen idee wie – onbewust – een of ander besmet programma heeft geïnstalleerd. En dat kan zich natuurlijk door het hele bedrijf verspreiden. Om niet in de problemen te komen, is het dus essentieel dat er barrières, regels en controles worden opgesteld. Ook doet u er goed aan om een lijst te maken van die barrières en om de medewerkers erop te wijzen dat ze niet langer de beheerder van hun toestel zijn. Niet iedereen zal daar blij mee zijn. Sommigen zullen geen zin hebben om de IT-afdeling te moeten bellen telkens wanneer ze iets willen veranderen op hun toestel. Daarom is het belangrijk dat u een manier van werken vindt waarin iedereen zich kan vinden. Uiteraard moeten de werknemers die graag solo spelen, goed doordrongen zijn van de risico's die dit voor het bedrijf inhoudt. De communicatie tussen alle medewerkers is en blijft essentieel voor een beter beheer van het informatiesysteem.
Wat doet u?
- Een onderscheid maken tussen beheerders en gebruikers.
- Een lijst opstellen en bijhouden van wie een beheerderstoegang heeft en welke privileges die mensen krijgen.
6. Zwervende nomaden of veilig telewerken?
Wie op reis of van thuis werkt, moet dat doen met beveiligd materiaal (met een antivirus en een geactiveerde lokale firewall). Bovendien mag dat materiaal – in de mate van het mogelijke – alleen voor het werk worden gebruikt. Een laptop van het bedrijf om vanop afstand te werken, is alvast een goed begin.
De oplossing: werk en privé gescheiden houden. "Stel: u werkt op een persoonlijke computer waarmee uw tienerzoon of -dochter op bedenkelijke sites films heeft gestreamd. Dan bestaat het risico dat er malware op uw computer is gedownload. En die kan dan weer uw gegevens, uw verbinding op afstand en zelfs uw bedrijf schaden", waarschuwt Joséphine Russello.
In het buitenland of elders buiten het bedrijf is het risico op diefstal vaak vrij groot. Denk dus zeker aan de punten over de wachtwoorden en de beveiliging van de werkplek. Als er belangrijke informatie op de computer staat, is het bovendien verstandig om die te coderen.
Gebruik nooit het wifinetwerk van het hotel of de luchthaven. Kies voor een VPN (een beveiligde tunnel) of de 4G-verbinding van uw smartphone. Thuis configureert u de wifi met een WPA2- of een WPA3-sleutel. "Indien mogelijk, voegt u tussen de box van uw internetprovider en uw eigen materiaal nog een te programmeren router toe. Zo wordt uw verbinding nog meer afgeschermd en bent u nog beter beveiligd."
Wat doet u?
- Werk van privéleven scheiden.
- De werkplek beveiligen.
- De authenticatie controleren.
- Een lijst maken van de belangrijke informatie en die coderen om diefstal te voorkomen.
- Buiten het bedrijf een beveiligde internetverbinding gebruiken.
- De internetverbinding thuis beter beveiligen.
7. Updatebeleid
Telkens wanneer een update niet wordt uitgevoerd, ontstaat er een nieuw beveiligingsprobleem. En iemand met slechte bedoelingen kan daar misbruik van maken. Dit geldt voor alle terminals: PC, Mac, smartphone, tablet, verbonden voorwerpen, iOT.
De vuistregels:
- Stel waar mogelijk automatische updateprocessen op.
- Kijk vooruit en analyseer de situatie. Zorg dat de update van een programma of app de goede werking van het bedrijf en bijgevolg de continuïteit van uw zaken niet verstoort.
- Vóór elke update wordt een back-up uitgevoerd.
- Mocht de update niet verlopen zoals gepland, dan kan de klok worden teruggedraaid.
- Na een update moeten ook de inventarissen worden bijgewerkt.
"Bekijk elke update als een project dat op een precieze dag en tijdstip moet worden uitgevoerd om de gang van zaken binnen het bedrijf zo weinig mogelijk te beïnvloeden. Soms kan een update niet worden doorgevoerd omdat het bedrijf met één enkele software werkt die gekoppeld is aan een oude machine die de kern vormt van alle activiteiten. U moet koste wat kost voorkomen in zo'n situatie van afhankelijkheid terecht te komen. Is er echt geen andere mogelijkheid? Dan kunt u de risico's beperken door het materiaal te isoleren dat niet kan worden geüpdatet. Doe hiervoor beroep op een professional in IT-beveiliging. Hij of zij zal uitzoeken wat de beste beveiligingsoplossing is voor uw bedrijf."
Wat doet u?
- Automatische updates uitvoeren.
- Vooruitziend zijn, back-ups maken en indien nodig terugkeren in de tijd.
- De inventarissen bijwerken.
- De risico's beperken met de hulp van een expert.
8. Back-upbeleid
Stel: u krijgt te maken met een beveiligingsincident, ransomware of andere. Met back-ups hoeft u geen losgeld te betalen en kunt u uw activiteiten zo snel mogelijk hernemen. Uiteraard heeft u hiervoor een doeltreffend beveiligingsbeleid en -processen nodig. De aanbevolen oplossing: een 3-2-1-back-upstrategie.
Zo gaat het in zijn werk: u heeft minstens drie kopieën van uw gegevens, u slaat die op minstens twee verschillende gegevensdragers op en u bewaart één kopie van de back-up buiten het bedrijf (volledig losgekoppeld van de rest van de infrastructuur). U kunt bijvoorbeeld één back-up hebben op een lokale NAS, één in de (beveiligde) Cloud en een derde op een harde schijf die u in een brandkast bewaart.
Denk eraan om uw back-ups te coderen. Mochten uw gegevens worden gestolen of mocht u een vraag om losgeld krijgen, dan kunnen de hackers toch niets met uw gegevens aanvangen. Op voorwaarde dat die vooraf gecodeerd zijn natuurlijk.
Test uw back-ups. "Net zoals een bedrijf eens per jaar een brandoefening moet houden, raden we aan om ook een crashtest te doen. Hierbij voert u een simulatie uit van gegevensverlies door een beveiligingsincident. Zo kunt u zien welk effect dit heeft op het bedrijf: op het vlak van tijd, van het aantal mensen die niet kunnen werken, van de klanten en van de bedrijfsactiviteit in het algemeen. Zo kunt u inschatten welke impact een beveiligingsincident heeft en wat er beter kan om de activiteiten snel weer op te nemen en het verlies te beperken."
Wat doet u?
- Een 3-2-1-back-upstrategie opstellen.
- De back-ups coderen.
- Tests uitvoeren om het gegevensherstel in te schatten.
9. Audit en follow-up
Informatica is complex en evolueert voortdurend. "Zonder goede instrumenten die betrouwbare en onafhankelijke informatie verschaffen, is het moeilijk om uw informatiesysteem doeltreffend te beveiligen", waarschuwt Joséphine Russello. U kunt beginnen met een onafhankelijke audit om een stand van zaken op te maken. Zo komt u te weten hoe uw bedrijf ervoor staat. Meer dan negen van de tien keer zijn de managers vol ongeloof wanneer ze de resultaten zien. En dat terwijl die toch een perfecte weergave zijn van de werkelijkheid, de algemene trend en de punten die voor verbetering vatbaar zijn.
Een regelmatige audit blijft de beste manier om objectief na te gaan hoe goed de beveiliging van uw informatiesysteem werkelijk is. Bij elke audit hoort ook een reeks acties en aanbevelingen om de beveiliging te verbeteren. Daarmee beperkt u de risico's voor uw bedrijf. Wanneer u uw bedrijf regelmatig laat auditen, wordt de beveiliging dus voortdurend beter.
Een continue controlestrategie om beveiligingsproblemen op te sporen kan daarom heel nuttig zijn. Uw informatiesysteem is dan up-to-date en het risico op aanvallen is erg klein. "Als u hackers te slim af wil zijn, raad ik u deze strategie ten stelligste aan. Bovendien is het relatief goedkoop, zeker gezien de risico's die u loopt."
Wat doet u?
- Regelmatig audits laten uitvoeren door een cybersecurity-expert.
- Zijn/haar aanbevelingen volgen en de acties uitvoeren die na de audit zijn voorgesteld.
- Uw systeem doorlopend laten controleren op beveiligingsproblemen en telkens zo snel mogelijk de aanbevelingen toepassen.
10. Sensibilisering en incompany-opleiding
Uw bedrijf kan het beste of meest beveiligde materiaal ter wereld hebben. Maar als dat slecht wordt gebruikt, is het volledig nutteloos. Uw beste soldaten, zij die uw bedrijf door dik en dun verdedigen, dat zijn uw werknemers. "Het is essentieel dat u met al uw medewerkers communiceert. U moet ook bruggen bouwen tussen HR, de IT-directie, het management van het bedrijf, de marketingafdeling... En er moeten procedures worden opgesteld."
Stel: een personeelslid verlaat het bedrijf. Dan moet de IT-afdeling hier zo snel mogelijk van op de hoogte worden gebracht. Die voorkomt immers dat de ex-werknemer er met informatie vandoor gaat en zorgt dat hij/zij het gebruikte of geleende materiaal terugbrengt, dat hij/zij de toegangskaart tot het gebouw inlevert, dat elke computertoegang wordt ingetrokken... Een ander voorbeeld: wanneer de manager een elektricien vraagt om IP-camera's te installeren, doet hij er goed aan om de IT-afdeling te verwittigen. Die kan dan een subnet voor de bewaking aanmaken. Het zijn eenvoudige voorbeelden van het reilen en zeilen van een bedrijf. Maar het zijn ook telkens momenten waarop er een bres in de beveiliging wordt geslagen, waardoor zich in de toekomst incidenten kunnen voordoen.
Daarom is het zo belangrijk om alle medewerkers – van de receptionist(e) tot de bedrijfsleid(st)er – er bewust van te maken dat ze allemaal medeverantwoordelijk zijn voor de beveiliging van het bedrijf.
"Neem de tijd om uw medewerkers een opleiding te geven over de goede praktijken. Vraag hen om stil te staan bij hun eigen verantwoordelijkheden. Laat hun zien welke impact en positieve effecten ze zelf kunnen hebben op het bedrijf. U kunt bijvoorbeeld ook een verantwoordelijke (van een kleine groep) aanstellen tot 'hoofd beveiliging'. Die wordt dan de contactpersoon voor de IT-afdeling.
Wat doet u?
- Sensibiliseren via opleidingen
- Communiceren en uw medewerkers laten weten wat de beveiligingsregels zijn en welke verantwoordelijkheden ze zelf hebben.
- Communciatiebruggen creëren tussen de verschillende diensten en de IT-afdeling.