Bescherming tegen cybercrime – stap 3
Elke voetbalcoach weet dat goede spelers niet voldoende zijn: een team gaat pas winnen als de organisatie klopt. Dat geldt ook voor de strijd tegen cybercriminelen!
In deze blog kijken we dus hoe u cybercriminelen het lastig maakt om binnen te dringen met een goede organisatie van uw IT. Daarbij staat één vraag centraal: wie mag waarbij?
Toegangscontrole
Stelt u zich eens voor dat u een hacker bent. Via phishing heeft u het wachtwoord van een medewerker bemachtigd. Nu logt u in om te kijken wat er in het bedrijf te halen valt.
Dat valt vies tegen! Want de medewerker blijkt zeer beperkte rechten te hebben. De meest ‘interessante’ delen van het bedrijfsnetwerk zijn voor hem – en dus voor u – ontoegankelijk. Denk bijvoorbeeld aan de IT- of de financiële afdeling.
Deze goede afloop is mogelijk als er in het bedrijf duidelijke en strakke regels worden gehanteerd voor toegang. Hieronder gaan we kijken hoe u dat kunt regelen.
Netwerksegmentatie
De meest algemene vorm van toegangsbeheersing is netwerksegmentatie. U deelt het bedrijfsnetwerk op in logische eenheden. Die worden van elkaar gescheiden, bijvoorbeeld met een firewall. Verkeer tussen segmenten is mogelijk, maar alleen wanneer dat noodzakelijk is. De firewall heeft daar regels voor.
Die regels gelden niet alleen voor PC’s en laptops, maar ook voor apparaten zoals printers en camera’s, om te voorkomen dat hackers langs die weg binnendringen.
Autorisatie
Ook op het niveau van individuele medewerkers kunt u de toegang controleren. Dat heet autorisatie. Het basisprincipe is dat iedereen alleen datgene mag zien en doen op het netwerk, wat nodig is voor zijn werk.
Om een voorbeeld te geven: het is niet de bedoeling dat een gewone medewerker zelf software kan installeren op bedrijfshardware. Zodoende voorkom je dat een hacker met een gestolen wachtwoord ransomware installeert. En trouwens ook dat de medewerker dat zelf onbewust doet …
Evenmin hoeft een verkoopmedewerker toegang te hebben tot het netwerksegment van de financiële afdeling. Of dat van de IT-afdeling.
Het is van essentieel belang dat deze rechten goed worden bewaakt! Het gebeurt maar al te vaak dat iemand tijdelijk toegang krijgt tot een bepaalde server. Dan blijkt ‘tijdelijk’ al gauw permanent te worden, zonder dat daar nog reden voor is.
Het beste kunt u de rechten koppelen aan profielen. Dan bepaalt u dus wat iemand met een bepaald functieprofiel nodig heeft. Stapt de medewerker over naar een andere afdeling, dan vervallen de oude rechten en krijgt hij nieuwe.
Authenticatie
Autorisatie werkt alleen met een goede authenticatie. Ofwel: is dit inderdaad deze persoon? Van oudsher gaat dat met de combinatie gebruikersnaam/wachtwoord. Maar tegenwoordig zijn er zoveel verschillende systemen en applicaties die beveiligd moeten worden, dat gewone stervelingen al die wachtwoorden niet meer kunnen onthouden. Dan verschijnen dus de post-its op de beeldschermen. Of medewerkers gebruiken voor alles hetzelfde wachtwoord. Fijn voor een hacker die dat weet te achterhalen, maar niet voor uw bedrijf.
Hoe kunt u deze toestand voorkomen? Dat doet u met een centrale toegangscontrole, ofwel single sign-on (SSO). De medewerker logt ’s ochtends in en de rest van zijn werksessie zorgt het systeem dat hij automatisch toegang krijgt tot alle diensten waar hij rechten voor heeft.
Extra voordeel: die ene log-in kunt u dan meteen zo veilig mogelijk maken. Een manier om dit te faciliteren is met MFA, ofwel multifactor-authenticatie. Dit betekent dat je om in te loggen iets moet weten én iets moet hebben. Bijvoorbeeld de eigen smartphone van de medewerker, met een app erop waar hij een wachtwoord moet invoeren. Zo wordt het hackers heel veel moeilijker gemaakt.
Bijkomend voordeel: mensen zullen hun telefoon niet zo snel uitlenen aan een collega. Want elk account mag natuurlijk alleen gebruikt worden door één persoon.
Toegangscontrole
Uiteraard zijn er altijd complicaties. Bedrijfsnetwerken worden namelijk steeds losser en gevarieerder. Denk bijvoorbeeld aan BYOD (Bring Your Own Device): daarbij gaat het niet alleen meer over smartphones, maar ook over laptops met verschillende besturingssystemen. Verder moeten netwerken steeds vaker toegang bieden aan gasten en leveranciers.
Dit vraagt om een goede toegangscontrole, of Network Access Control (NAC). Enkele basisregels:
- Alleen geautoriseerde apparaten hebben toegang tot het netwerk.
- U kunt gasten toegang verstrekken, maar dat gebeurt niet zonder uw medeweten.
- Netwerktoegang volgt het apparaat (ook als men het op een andere locatie gebruikt).
Ook hier bestaan er juridische verplichtingen voor een effectieve controle. Onder meer in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni) voor digitale dienstverleners en in de ISO-norm 27001.
Cyberdreigingen zijn helaas niets nieuws meer. Maar een echt sluitende cyberaanpak is dat wel.
Tesorion gebruikt uw gegevens voor het versturen van de gevraagde informatie en mogelijk telefonisch contact. U kunt zich op elk gewenst moment afmelden. Lees voor meer informatie ons privacybeleid.
Zero Trust
Met het segmenteren van netwerken, het beperken van rechten, het controleren van identiteiten en het voeren van toegangscontrole benaderen we een Zero Trust-omgeving. Zero Trust netwerktoegang is een aanpak die is gebaseerd op ‘never trust, always verify’. Het is het cybersecurity-equivalent van ‘doe geen aannames’.
‘Zero Trust’ klinkt niet sympathiek, maar het is de beste manier om mensen tegen zichzelf te beschermen. Want niemand wil de oorzaak zijn van een ransomware-aanval.
De laatste bouwsteen
In deze blog en de twee voorafgaande hebben we belangrijke veiligheidsmaatregelen onder de loep genomen. Als u ze combineert, kunnen die maatregelen een behoorlijke mate van veiligheid realiseren.
Maar er blijft toch een beperking. Want ze zijn allemaal in de grond passief. En in sommige omgevingen kunnen strenge regels ten koste gaan van een goede bedrijfsvoering.
Daarom kijken we in de vierde en laatste blog hoe u actief kunt patrouilleren op uw netwerk. Om de cybercriminelen zo vroeg mogelijk op te sporen. En uit te schakelen.