2006-10-24 - MediaPlaza - Mobile security in a "bring your own device" world
Zo Magazine.PDF
1. DOSSIER
IGT-BEVEII.IGING
De harde anaïyrse"". en praktiseï-re ttps van, 'hacï<ctr' ehrtstophe Fêtre
Hoe meer we digitaal en onïine ondern-ernen, troe hwetsLraarder we woreierï yroor lCï-aa-nvallen. En hoe
gÍoter de gevolgen van ,lo'n aanvai kunnen zijn. Het kornt er dus op aan voldoende voorzorgsrnaatre*
gelen te nemen en u rrraximaal te beveiligen, binnen bedrijfseconomisch verantwoorclc grenzen. In dit
dossier vertelt expert Christophe Fêtre ïroe u clat aanpakt. Maar eerste enkele frappante cijfeus orn het
belang van een degelijkr: trCT-beveiliging extra te onderstrepen"
TËKST: Filip Horemans FOTO'S: Studio Dann ILLUSTRATIE: Klaas Verplancl<e
2.
3. D OS SIER
IGT.BEVEITIGING
Ondanks aanhoudende waarschuwingen en sensibiliseringsacties, via diverse kanalen, blijft de
aandacht voor lCT-beveiliging in veel bedrijven ondermaats. Met alle gevolgen van dien. Tot die onthut-
sende vaststelling komt Ch:ristophe Pêtre, een íCertified Ethical Hacker, en ísecurity Analist,. Een wát?
"Ja, ik ben een 'hacker"j geeÍt Christop-
he Pêtre van Security Taskforce zonder
blozen toe, ttMaar wel van een .[egale,
oÍficieel erkende soort. Ik'kraak' com-
putersystemen van bedrijven, in hun
opdracht en binnen een strikl. con-
tractueel afgebakend speelveld, om
zo de gaten in hun lCT-beveiliging te
detecteren, BeteÍ dat ik ze ontdek dan
lieden met minder eerbare bedoeiin-
gen. Zo kunnen die bedrijven op tijd
de gevaarlijkste achteÍpoortjes sluiten.
'Hacken' heeft sinds de ICT-revolutie
een erg negatieve, criminele biiklank
gekregen, maar in essentie is er niets
mis mee. Ook uw TV-hersteller 'hackt'
bijvoorbeeld uw toestel om het weer in
orde te brengen."
ICT-beveiliging - als die er al is - van
heel wat KMO's te geraken. Kinder-
spel. Gewoon omdat die bedrijven,
zonder er bij stil te staan, de meest
elementaire ICT-beveiligingsregels
naast zich neerleggen. Uit onwetend-
heid. Maar ih ontwaar soms ook een
soort 'fatalisme' wanneer ik onder-
nemers hierover aanspreek. Door die
grote hackingverhalen in de pers ont-
staat het gevoel dat ICT-beveiliging
een'bij voorbaat verloren zaak' is,
Maar je denkt toch níet dat grote, vaak
internationaal opererende cybercrÍ-
minelen zich prioritair gaan focus-
sen op die ene, individuele Belgische
KMO?... Die 'markt' laten ze meestal
aan de 'amateuts'."
65 % aangevallen KMO's
na zes maanden failliet
"Ondernemers onderschatten trouwens
ook vaal< de mogelijke gevolgschade
bij een cyberaanval'j vervolgt Chris-
tophe Pêtre. "Neem het voorbeeld van
een webshopuitbater die de gegevens
van zijn klanten in de backoffice van
de shop bewaart: 'naam, adres, tele-
foonnummer... Op zich allemaal vrij
algemene, weinig delicate gegevens. Tot
die door, bijvoorbeeld, een hacker open
en bloot op het internet worden gezet.
Op zich zal zo'n elementair adressen-
bestand weinig schade aanrichten voor
de betrokken klanten. Toch zullen velen
allicht ontzet zijn wanneer ze merken
hoe de informatie die ze u bezorsden
zomaaÍ plots openbaar wordt gemaakt.
Want als u zo 'slordig' omgaat met hun
adresgegevens, hoe zit dat dan met hun
bankkaartinfo. Zeg eens eerlijk: Zou u
nog ooit iets bestellen via die webshop
na zo'n incident?... Het vertrouwen is
geschonden, het imago van de webshop
naar de haaien. Weg omzet. Wist u dat
vijfenzestig procept van de KMO-be-
drijven wiens ICT-inÍrastructuur werd
gehackt binnen de zes maanden failliet
gaan?... Dat blijkt uit een Amerikaanse
studie. En dan hebben we het híer nog
niet gehad over mogelijke schadeclaims
van, bijvoorbeeld, klanten die zich ge-
dupeerd voelen. De standaard be- >>
"Ondernemers onderschatten uaak de 'waarde'
uan de inÍoÍnratie die ze op hun computers bewarên."
Tachtig procent ICT-
beveiligingsproblernen
makkelijk te voorkomen
"In de medía hoor je geregeld hoe
criminelen alsmaar gesofisticeerder
tewerk gaan bij hun cyberaanvallen,
met potentÍeel alsmaar zwaarde:re ge-
volgen, Denk maar aan aanvallen op
de ICT-inÍrastructuur van kerninstal-
Iaties, van telecomoperatoren... Toch
vormen dit soort mediagenieke 51eval-
len slechts een Íractie van alle ICT-be-
veiligingsincidentenï weet Christophe
Pêtre. '(De overgrote meerderheid ís
veel banaler. Je hoeft - helaas - geen
computernerd te z4n om voorbij de
"De perfecte ICT-beveiliging bestaat
niet, ook niet vooÍ de grootste bedrij-
ven en overheden ter wereld. Maar dat
belet niet dat je voor een maximaal
beschermingsníveau moet gaan) op
maat van het eigen bedrijf, en binnen
bedríjfseconomisch - financieel - ver-
antwoorde grenzen. Naar schatting
tachtig pÍocent van alle lCT-beveili-
gingsincidenten had kunnen worden
voorkomen met een aantal eenvoudige
voorzorgsmaatregelen, gecombineerd
met standaard beveiligingssoftwa-
re. Een beetje meer aandacht voor het
probleem, op welke schaal ook, loont
dus beslist de moeite."
27
4. Dit zijn de basisregels
Het geheim van een
tachtig Íocent uan alle
aantal eenuoudi e
roepsaansprakelijkheidsverzekering dekt geen imagoschade en
evenmin de schade die wordt aangericht aan anderen door uw
geïnfecteerde pc,s. Een extra verzekeríng tegen schadeclaims na
informatie die ze op hun computers bewaren, aI was het maar
voor die rancuneuze ontslagen medewerker die zijn ex_baas in
verlegenheid wil brengen, of wil chanteren. Kortom, hoog tijd
voor een doordacht ICT-beveiligingsbeleid, In elk bedriif.,,
veilige(re) ICT-omgeving
. Zet op élk toestel antivirussoftware: laptops,
tablets, pc's, mobiele apparaten), zowel op toestellen
met Mac- als Windows-besturingssysteem.
. Installeer altijd de nieuwste updates; Ouoere
versies van besturingssystemen bevatten vaak al
Iang gekende lekken, waar crimínelen graag gebruik
van maken.
. Gebruik een e-mail antivirusprogramma en een
antispam-filter: E-mails met attachments van
onbekende afzenders opent u beter niet. Wees extra
waakzaam voor mogelijke phishing-mails, die e,r
heel echt en geloofwaardig kunnen uitzien.
. Beveiligal uwpcts met eenfirewall: Dit geldtzowel
voor apparatuur met Mac- als Windows_besturinss_
systeem.
. Let op met onbeveiligde gratis hotspots: Surf
altijd via een VpN-verbinding (Virtuele particu_
Iiere Netwerkverbinding) of bezoek enkel beveiligde
HTTPS-websites.
. Encrypteer (versleutel) uw data: Dit is zeker belang_
rijkvoor laptops en andere mobiele apparatuur (ook
uw USB-sticksl) die makkelijk kan gestolen worden,
of die u kan verliezen. Ook uw data in de cloud, de
communicatie ernaar toe moet via een versleutelde
(SSL) verbinding verlopen.
. Maak altijd backups: ook van uw data in de cloud.
. Opgelet voor phising: Geef nooit gevoelige infor_
matie dooÍ aan de telefoon (ook niet over de gebruíkte
interne software oÍ andere informaticasystemen)
. Beantwoord nooit SpAM-mails: Laat ze iinks Iiggen
en verwijder ze.
. Controleer altijd de identiteit van de bezoekers die
zich aanmelden in uw bedrijf, Is de man die zich
aanmeldt wel degelijk de onderhoudstechnicus van
uw ICT-apparatuur?,.,
. Stel een duidelijke lCT-policy op voor uw bedrijf:
Wat mag wel en niet? Denk bijvoorbeeld aan het
verbod voor medewerkers om zomaar ,fteeware,
te
installeren. Niemand mag beheerder zijn van zijn
pc. Zorg ervoor dat enkel u of uw ICT-verantwooi_
delijke (intern of extern) software kan installeren.
www.security-taskforce.be
28
5. DOSSIER
ICT.BEVEITIGING -#.
echnieken
Drie sprekende voorbeelden (utt een bredere waaier)
De truc met de USB-stick
USB-sticks zijn erg gegeerd als han-
dig middel om op een uiterÍ;t compacte
manier heel wat data op te r;laan, die je
in je broekzak overal mee naartoe kan
nemen, Bovendien werden ze de af_
gelopen jaren alsmaar goedkoper, in
verhouding tot hun geheugencapaci-
teit. Dat maakt van zo,n USB-stick een
gedroomd 'cadeautje, om aan zaken-
relaties mee te geven. Helaas hebben
ook oneerlijke lieden de mogelijkheden
van de USB-stick ontdekt, Stel, u Iooot
rond op een vakbeurs, *ua, u uun uur-
schillende stands ,goody
bags, mee-
krijgt. Allicht zal er links of rechts in
zo'n zak ook wei een gratis USB-stick
zitten, Maar van welk bedrijf komt die
USB-stick?.,. Heeft u twijfets over de
herkomst, stop zo'n USB-stick dan niet
zomaaÍ in één van uw computeÍs. Want
de kans bestaat dat er malware op ge-
ïnstalleerd is. Keyloggers, bijvoorbeeld,
waardoor (de
gulle gever, van die US-
B-stick roegang krijgt tot al uw gege-
vens, inclusief uw paswoorden. Die ene
besmette computer zal vervolgens ook
al uw andere lCT-apparatuur in uw net-
werk aantasten. Wat niet wil zteggen dat
u alle gekregen USB-sticks per defini-
tie moet weggooien. Maar zelfs al is de
schenker gekend en betrouwbaar, on-
derwerp die USB-stick dan nog bij het
eerste gebruik aan een virusscan.
Phishing
HeeI wat vertrouwelijke gegevens, zo_
als paswoorden van computeÍs, worden
op grote schaal ontfrutseld via de zo_
genaamde'phishing,-techniek (,vis-
sen'in het Nederlands). Daarbij worden
de slachtoÍfers, zowel ondernemers als
partÍculieren, telefonisch of via mail
verieid om bijvoorbeeld de toegangscode
tot hun online bankingapplicatie door te
geven, Waarna de criminelen hun slas
kunnen slaan. ,,Dit
lijkr een heel banalà
en doorzichtige techniek voor wle er nos
niet mee in aanraking kwam]'weet ICT:
beveiligingsspecialist Christophe pêtre,
"Maar besef dat de betrokken criminelen
vaak op een heel gewiekste, op het eerste
gezicht erg geloofwaardige manier over-
komen, Ze stellen zich aan de telefoon,
bijvoorbeeld voor als een medewerker
van uw bank. Of ze sturen u een mail met
daarin een link naar een valse webpagi-
na die als twee druppels water liikt op
díe van uw écht online bankapplicatÍe.
Terwijl u op die namaakpagina inlogt,
kijken de crimlnelen mee. En het kwaad
is geschied. Het credo in deze luidt dan
ook: geef NOOIT gevoelige informatie
als paswoorden en toegangscodes door
via mail of telefoon, aan wie dan ook.
Van een heel andere orde zijn uitgraard
online betalingen, die plaatsvinden bin-
nen een strikt beveiligde omgeving met
geëncrypteerde gegevens,,,
Gratis wifi
In heel wat eetgelegenheden, op vak_
beurzen en diverse andere events be_
hoort het aanbieden van gÍatis wifi, tot
het standaard service pakket. í(Op
zich
heel aantrekkelijk, maar vaak worden
daarbij compleet open en onbeschermde
hotspots opgezet, waarvoor je niet eens
een WEP-sleutel of andere toegangscode
nodig hebt'i waarschuwt Christophe pê-
tre, "Resultaat; iedereen die een beetje
handig is op ICT-vlak kan vlot en onge-
stoord meekijken naar ai het dataver_
keer dat over die hotspot gaat. Dus ook
wanneer er via maíl confidentiële zake_
lijke informatie wordt verstuurd. Mijn
advies: Maakt u gebruik van hotsDots.
doe dat dan altijd via een geëncrypteerdá
VPN-verbinding. VpN staat voor Virtuele
Particuliere NetwerkverbÍndine.
29