‘Dat overkomt ons niet. Hier valt niks bijzonders te halen.’ Veel organisaties denken geen interessant doelwit te zijn voor cybercriminelen. Helaas onterecht. Mathijs van der Pol is ethical hacker bij Hoffmann en verbaast zich hier iedere dag weer over. “Het is tegenwoordig niet meer de vraag óf je wordt gehackt, maar wanneer.”

Helaas worden organisaties in de praktijk pas wakker als het te laat is of als zij het zien misgaan bij vergelijkbare organisaties. De risico's op een cyberaanval worden nogal onderschat, vertelt Mathijs. "Wie denkt dat zijn organisatie geen interessant doelwit is omdat er niks waardevols te halen valt, heeft het mis. In principe loopt iedere organisatie risico die continuïteit nastreeft en niet wil dat de bedrijfsvoering stil komt te liggen. Ook als je denkt dat de IT-beveiliging nu aardig op orde is. Er worden namelijk dagelijks nieuwe kwetsbaarheden in hard- en software ontdekt."

Tailormade Attack

Bij een cyberaanval wordt er al snel gedacht aan zogenaamde Tailormade Attacks. Cybercriminelen gaan op zoek naar de achilleshiel van een organisatie en dringen diep door tot in het DNA, met zelfs het doel om een vitale infrastructuur te raken. Zo kijken ze hoe ze de beveiliging op het gebied van techniek, mens en organisatie kunnen ontwrichten zonder dat iemand het doorheeft. “Dit soort scenario’s beperken zich niet alleen tot de filmstudio’s in Hollywood. In Nederland zijn het bijvoorbeeld de grote corporate organisaties, vitale aanbieders die zich hier serieus tegen moeten weren. Maar dit is helaas niet de enige manier waarop hackers te werk gaan.”

Niks aanpak op maat. Deze hackers kijken naar zwakke plekken waarmee op korte termijn winst kan worden behaald. Door overal en nergens lijntjes uit te gooien, kunnen ze eenvoudig toeslaan waar de beveiliging zwakke plekken vertoont. Zij gaan op zoek naar laaghangend fruit.”

aldus Mathijs van der Pol, ethical hacker bij Hoffmann

Laaghangend fruit

Dat de middelgrote bedrijven zich hierin niet aangesproken voelen is logisch, constateert Mathijs. Toch zijn zij wel degelijk doelwit, alleen dan voor een ander type hacker. “Niks aanpak op maat. Deze hackers kijken naar zwakke plekken waarmee op korte termijn winst kan worden behaald. Door overal en nergens lijntjes uit te gooien, kunnen ze eenvoudig toeslaan waar de beveiliging zwakke plekken vertoont. Zij gaan op zoek naar laaghangend fruit.”

 

Het is niet de vraag of je organisatie gehackt wordt maar wanneer

De macht van de hacker

Een cyberaanval kan vrij eenvoudig worden uitgevoerd. Je kunt het je niet voorstellen, maar eenmaal binnengedrongen hebben de hackers vaak vrij spel. Denk aan toegang tot zoiets simpels als de kopieën van paspoorten van medewerkers of het klantenbestand met adressen, rekeningnummers en aankoopgegevens. Oftewel data of rekenkracht waar aanvallers graag gebruik van maken: de ‘kroonjuwelen van de organisatie’. “Het klinkt onschuldig, maar eenmaal binnen hebben hackers de macht om de volledige bedrijfsvoering stil te leggen. Er zijn genoeg voorbeelden te noemen waarbij organisaties failliet zijn gegaan door een ransomware aanval.”

Check regelmatig de IT-infrastructuur

Wil je je als organisatie weren tegen de steeds creatiever wordende hackers, dan is een periodieke pentest geen overbodige luxe. “Wijzigt er bijvoorbeeld iets in je interne of externe infrastructuur, lanceer je bijvoorbeeld een nieuwe website of zijn er wijzigingen in je serverpark? Zorg er dan voor dat je dit test voordat je iets in productie neemt. We zien maar al te vaak dat er updates niet worden uitgevoerd, uit angst dat systemen niet meer werken bijvoorbeeld.” Dat is vragen om problemen als je het Mathijs vraagt. “Zie het niet als een controle of de IT-er zijn werk wel goed uitvoert, maar als een preventieve check of de beveiliging van vandaag bestand is tegen de creativiteit van de cybercrimineel van morgen.”

Hacker vindt bijna altijd een weg

Ook als je als organisatie wel degelijk maatregelen treft om de IT-beveiliging te versterken, vindt de hacker vaak toch een weg met de minste weerstand. “Onlangs had ik bij een klant middels een voice-phishing actie het wachtwoord van een van de medewerkers ontfutseld. Toen ik hiermee op afstand probeerde in te loggen, lukte dat niet. Ze maakten namelijk gebruik van twee-factor authenticatie (een extra beveiligingslaag): een zeer effectieve maatregel. Vervolgens ben ik in de auto gestapt en naar het bedrijfspand van de betreffende klant gereden. Eenmaal daar voor de deur geparkeerd ontving ik vrij snel het Wifi-signaal en dus toegang tot het netwerk. Ik kon direct inloggen en had toegang tot het systeem en de e-mail via het account van de medewerker die ik eerder die dag aan de lijn had.”

Het klinkt onschuldig, maar eenmaal binnen hebben hackers de macht om de volledige bedrijfsvoering stil te leggen. Er zijn genoeg voorbeelden te noemen waarbij organisaties failliet zijn gegaan door een ransomware aanval.”

aldus Mathijs van der Pol, ethical hacker bij Hoffmann

Geslaagde werkdag

Mathijs en zijn collega pentesters noemen zichzelf ook wel ethical hackers en doen in feite hetzelfde als de echte hacker. “We gebruiken onze creativiteit om systemen en netwerken binnen te dringen. Zie het als een soort game. Het ultieme doel bij een pentest is om de hoogste privileges te behalen in een netwerk, om in vaktermen te blijven: toegang te krijgen tot de domain controller. Je zit dan als het ware op de troon van de organisatie. Vanuit hier kun je de toegangswachtwoorden resetten, gebruikersaccounts aanmaken, etcetera. Als je dat weet te bewerkstelligen is voor ons een werkdag geslaagd. Tegelijkertijd maken we ons soms serieuze zorgen, want de gatenkazen die wij aantreffen, zijn misschien al eens eerder aangegeten door kwaadwillenden. Uiteraard proberen we dit op meerdere manieren aan te tonen.”

Hun kennis houden ze up-to-date, door bijvoorbeeld de grootste hackersconferenties in Amerika te volgen, zoals Defcon en Blackhat. “En bovendien zijn er hele groepen op het Internet waarin gediscussieerd wordt over de nieuwste kwetsbaarheden. Die volgen wij op de voet. Verschil is dat wij geen kwaad in de zin hebben en ons talent inzetten om organisaties juist te helpen door hun kwetsbaarheden bloot te leggen en ze te adviseren hoe het beter kan.” Lees meer over de mogelijkheden van pentesten.

Meer informatie?

Onze specialisten staan altijd vrijblijvend voor u klaar.

088-2986600

info@hoffmann.nl

Cybersecurity & Security Risk Management

De crisis achter ransomware

Geschreven voor IT-executive
Het is inmiddels een bekend fenomeen, dat helaas niet meer is weg te denken uit het rijtje van mogelijke risico’s voor bedrijven: ransomware. Sterker nog; ‘ransomware is here to stay’. Mede dankzij de lage kosten en vooral de lage pakkans voor de criminelen is het een lucratief businessmodel geworden.

 

Cybersecurity & Security Risk Management

Ultimum en Hoffmann bundelen menselijke en technische krachten binnen Cybersecurity

Beide bedrijven zijn gespecialiseerd in Cybersecurity, maar met een andere focus. Waar Ultimum zich met de logistieke en technische aspecten van online veiligheid bezighoudt, richt Hoffmann zich op bewustwording en cyberveilig gedrag van medewerkers binnen een organisatie. Dat bood aanleiding om samen te werken en daarmee een bijzondere dienstverlening te kunnen aanbieden.  

Cybersecurity & Security Risk Management

Vrees voor ransomware neemt toe

De afgelopen weken waren cyberaanvallen weer veel in het nieuws. Zo werden de systemen van de gemeente Hof van Twente versleuteld en konden hackers informatie over het Pfizervaccin inzien bij het Europees Geneesmiddelenbureau (EMA) in Amsterdam. Bij Hoffmann merken we al een tijdje dat de vrees voor cyberaanvallen met gijzelsoftware toeneemt.


 

Wilt u op de hoogte blijven van onze diensten en werkzaamheden? Meld u hier aan voor de periodieke toezending van onze Hoffmann Tips.