Cybersecurity-maand: Gehackt! Wat nu?

Allereerst is het verstandig om vast te stellen waar de hackers precies in zijn gekomen. Is bijvoorbeeld alleen je e-mail gehackt, een pc overgenomen of is het hele bedrijf slachtoffer geworden? Maar dat is niet altijd even gemakkelijk, vertelt Pieter Lacroix, managing director bij Sophos Nederland. 'Je komt er vaak niet achter. Het probleem met hacking en cybercriminaliteit in de brede zin is dat je het vaak niet ziet. In het verleden was er een grote worm die je scherm op at. Dat was dan een virus en dat zag je meteen. Nu is het allemaal onder de radar en heel erg getarget. Je merkt alleen dat je klanten opeens benaderd worden door allerlei andere partijen of dat je e-mailaccount gehackt is. Maar je weet vaak niet wat er precies mis is gegaan en hoe ze bijvoorbeeld binnen zijn gekomen. Als je er eenmaal achter komt, dan kun je er wel iets mee, maar vaak zul je het gewoon niet weten.'

Arend Karssies, countrymanager Benelux & Other Emerging Markets bij NETGEAR, heeft hier een iets andere kijk op. 'Hacken is een vrij breed begrip. Of je er überhaupt achterkomt heeft te maken met of die partij wil dat je het doorhebt. Als je bijvoorbeeld door Anonymous bent gehackt, ga je naar je website en dan blijkt dat je homepage veranderd is. Dat zie je meteen. Of je doet je computer aan en die blijkt vergrendeld te zijn tot je een bepaald bedrag over hebt gemaakt. Dan wil die hacker dus ook dat je erachter komt. Bedrijfshacks gaan veel verder. Er wordt ingebroken op de pc van één medewerker, vervolgens wordt er toegang verkregen tot het netwerk en daarmee tot de data. Het is dan niet in het belang van die organisatie om kenbaar te maken dat ze je aan het hacken zijn.'

Is er dan helemaal niets wat je kunt doen om achter een hack te komen? 'Er zijn heel veel software- en hardware-tools om vreemd gedrag op te sporen', vertelt Arend. 'Dat kan verhoogde activiteit op je netwerk zijn, terwijl je niet op kantoor was. Maar het kan ook een speciaal soort firewall zijn die elk pakketje bekijkt om te zien waar het heengaat. Daarnaast heb je tools die kijken of er vreemdsoortige software op de achtergrond actief is. Maar dit zijn allemaal de redelijk eenvoudig op te sporen hacks. Dat is bijna kleuterschool-hacken. Als je een beetje weet hoe een computer werkt, kun je dit soort dingen wel achterhalen. Maar een echte hack is heel lastig om achter te komen. Ik vertrouw al die tools dus maar tot een zekere hoogte.'

Wat te doen als je gehackt bent?

Bij sommige hacks kun je iets doen om de gevolgen te beperken, maar dit zijn voornamelijk 'thuishacks', zoals Arend ze noemt. Hij geeft een voorbeeld: 'Als je pc echt gelockt is – dan wordt hij helemaal dichtgezet, zodat je hem niet meer kunt gebruiken – dan 'moet' je toch echt het gevraagde bedrag overmaken naar een of andere rekening, zodat je een unlockcode krijgt. Dat kun je echt alleen op die manier ongedaan maken. Tenzij je je gehele pc opnieuw installeert, maar dan ben je al je data kwijt - zorg dus voor een geode backup van je data.' Maar zoals gezegd: bedrijfshacks gaan een stuk verder. Daar is de schade vaak niet te beperken. 'Ik geloof dat als je eenmaal gehackt bent en de informatie op straat ligt, dat het dan hetzelfde is als bij een inbraak: je kunt alleen zorgen dat het niet nog een keer gebeurt', legt Pieter uit. 'Je zorgt dus dat je een beter slot op je deur hebt en dat je nadenkt over het op slot doen van die deur. Maar hoe je dat doet, dat is de eeuwige tweedeling met enerzijds de software en aan de andere kant awareness creëren bij de gebruikers. Beide is nodig, altijd. Als je je maar op één van die twee berust, krijg je in de toekomst sowieso problemen.'

Voorkomen is beter dan genezen

De schade beperken nadat de hack heeft plaatsgevonden, lijkt dus onbegonnen werk. Voorkomen, daar ligt de sleutel volgens zowel Arend als Pieter. 'Awareness is extreem belangrijk', stelt Pieter. 'Dat gebruikers niet weten dat ze een wachtwoord hebben met een bepaald aantal tekens, dat ze niet zomaar op linkjes moeten klikken en geen bijlagen moeten openen van mensen die ze niet kennen. Dat is een groot probleem. Het zorgt ervoor dat je kwetsbaar bent en het is gemakkelijk te voorkomen als je gebruikers vertelt hoe ze veilig met het internet moeten omgaan en als je policies afdwingt.'

Bovendien is deze training volgens Arend niet alleen belangrijk voor kantoorsituaties, maar ook voor bij de mensen thuis. 'Mensen nemen hun apparaten steeds vaker mee naar huis en gaan er thuis ook allerlei dingen op doen. Het netwerk thuis is nog veel minder goed beschermd dan degene op je werk. Je kunt je medewerkers bijvoorbeeld vertellen wat ze thuis kunnen gebruiken aan beveiliging voor de randen van hun netwerk, en dit ook toepassen op kantoor. Maar je moet ook zeker zorgen dat je op de apparaten zelf, die in jouw netwerk komen, de juiste beveiliging hebt staan. Heel veel data wordt bijvoorbeeld nog steeds uitgewisseld met usb-sticks. Waar is die usb-stick allemaal in geweest, in welke pc's? Zit daar een virus op? Zit er iets op wat iets in werking zet op die laptop, en die laptop vervolgens weer in het netwerk? Dus je moet zorgen dat je op al die lagen fatsoenlijke bescherming hebt. En je primaire omgeving, dus waar je servers en je storage staan, daar wil je een beveiligingsschil omheen bouwen. Dat die besmette pc in het netwerk misschien nog wel een deel gaat besmetten, maar in ieder geval niet de essentiële delen in het netwerk.'

Dat de mens de zwakste schakel is op het gebied van beveiliging, daar zijn de heren het duidelijk over eens. Arend: 'Er is onlangs een artikel geweest over een categorie nas-apparaten die open zouden staan. Uiteindelijk zetten mensen zelf die deur open. Dat is waar de zwakste schakel zit: de mensen zelf. Als jij niet die rare bijlages opent of e-mails van iemand die je niet kent leest, dan is het risco al een aardig stuk lager. Het is een beetje de nieuwsgierige aard van de mens, dat ze op dingen klikken waar ze achteraf spijt van krijgen. Daar kom je vaak pas achter als het echt te laat is. Een hack is niet zoiets als: "Oh, ik ben gehackt. Maar ik ben er op tijd achter, dus ik kan het nu nog voorkomen." Het is al gebeurd.' Bovendien is die training voor meer belangrijk dan alleen de beveiliging van je eigen bedrijf, maar ook omdat er een nieuwe wetgeving over dit onderwerp aankomt. 'Vanaf 1 januari hebben we de meldplicht datalekken', legt Pieter uit. 'Dat betekent dat je een boete van 810 duizend euro kunt krijgen wanneer er klant- of werknemersinformatie op straat komt te liggen. Bij die wet wordt onder meer geëist dat je een policy hebt met betrekking tot security, waarin je werknemers actief informeert over hoe zij met security moeten omgaan. En dit is ook de belangrijkste manier om hacking te voorkomen. Het is niet per se een it-ding, maar het heeft vaak ook te maken met social engineering. Als je werknemers hebt die allemaal hun geboortedatum of het woord 'password' als wachtwoord gebruiken, dan heb je een probleem. Als je Facebook-achtige vragen kunt beantwoorden, omdat mensen er niet over na willen denken, hoef je geen goede hacker te zijn om binnen te komen.'

Tools

Toch is het trainen van je werknemers niet het enige wat je moet doen voor een goede beveiliging. 'Het tweede punt is tooling', stelt Pieter. 'Je kunt je werknemers wel vertellen dat ze op een hele complexe manier veilig kunnen werken, maar je hebt als organisatie ook de verantwoordelijkheid om te zorgen dat je tooling verschaft, waardoor ze op een hele eenvoudige manier veilig kunnen werken. Je kunt een gebruiker vertellen dat hij vijftig verschillende stappen moet nemen om een mailtje veilig te versturen. Maar gebruikers zijn mensen. Mensen zijn efficiënt of lui - noem het wat je wil - en zoeken de gemakkelijkste weg. Dan kun je je gebruikers wel gaan dwingen om een hele complexe manier te gebruiken, maar dat doen ze niet. Organisaties hebben de verantwoordelijkheid om tools in gebruik te nemen die de gemakkelijkste weg ook veilig maken. Bij Sophos hebben we een integrale oplossing. Wij geloven echt in de integrale gedachte, zodat je niet allerlei losse programma's hoeft te kopen om alles te beveiligen. Als je op een logische manier gaat nadenken over waar je gevoelige informatie staat en wie er toegang toe heeft of moet hebben, dan is de tooling relatief eenvoudig in te zetten. Het denkwerk daaromheen is eigenlijk het meest complex. De tool die je integreert is dan een intergraal iets. Als je bijvoorbeeld hebt besloten dat een hr-afdeling alleen bij hrinformatie mag komen en deze informatie intern verder niet gezien mag worden, dan is het logisch dat deze data versleuteld moet worden.'

'Als je niet gek wilt worden, moet je de stekkers uit je computer trekken', vindt Arend. 'Wij hebben verschillende medische klanten en klanten in de juridische sector. Die zeggen: "Alles waar kritische data op staat, proberen we zoveel mogelijk in een gesloten, intern netwerk te houden." Als je daar toegang toe wilt hebben, moet je naar een speciale pc die op een gesloten netwerk zit, waardoor je die data op geen enkele manier naar buiten kunt krijgen.' Dit is echter niet voor ieder bedrijf nodig. Arend: 'Houd het wel realistisch. Een mkb'er hoeft niet het beveiligingsniveau te hebben van een nucleaire kernfabriek in de woestijn. Er zijn allerlei lagen van beveiliging en ieder bedrijf heeft zijn eigen vorm van bescherming nodig.'