Skip to Content

Blog Frank Diepmaat – Wanneer ben ik veilig?

Frank Diepmaat is werkzaam op de Servicedesk en lid van het LOKO Security-team.

Wanneer ben ik veilig?

Die vraag stelt ieder mens zich wel eens af. Zelf ben ik daar ook geen uitzondering in. Maar wanneer ben je nou (digitaal) veilig? En wat betekent dat eigenlijk? Om dit helder te krijgen, moeten we eerst bepalen wat er beveiligd dient te zijn. In de automatisering zijn er twee zaken die beveiligd kunnen worden: Assets (middelen) en data (gegevens). Enerzijds de fysieke middelen, denk hierbij aan server hardware, smartphones, laptops, etc. Anderzijds de gegevens waar uw organisatie van afhankelijk is: klantgegevens, artikeldata, historie, e-mails, uw website(s) en al het ander niet direct tastbare.

De beveiliging van middelen is voor velen wel duidelijk. Een gebouw moet op slot kunnen, een archief achter slot en grendel, geen vreemde mensen onbegeleid in het pand. Dat soort zaken is tastbaar en zijn al lange tijd gewoon in onze samenleving. Het beveiligen van data is veel abstracter en voor velen iets ongrijpbaars. Neem bijvoorbeeld de muziekindustrie. Rechtszaak na rechtszaak om gestolen data. Of nou ja gestolen, een kopie. Beeldt u in dat iemand uw auto zou kunnen stelen door er een foto van te maken en deze te printen in zijn of haar eigen garage. Gelijk zien we hier de uitdaging in het beveiligen van data. Deze hoeven niet verwijderd te worden om meegenomen te worden. Zolang de dief zijn sporen wist en niet opgemerkt wordt, weet niemand dat de data weg zijn totdat er misbruik van gemaakt wordt en men hinder ondervindt van dat misbruik.

Om uit te leggen hoe het komt dat UW data tegenwoordig zo belangrijk zijn, neem ik u mee terug in de tijd naar de jaren ‘80. De datalekken van die tijd hadden vooral te maken met de koude oorlog. Destijds waren het vooral door overheden gefinancierde hackers met de opdracht militaire informatie te stelen van ‘de andere kant’. Een overzicht van een aantal beroemde hacks/lekken uit de jaren ‘80, ‘90 en ‘00 vindt u hieronder.

https://www.csoonline.com/article/2131745/social-engineering/10-hacks-that-made-headlines.html

 

Tijdens de jaren ‘80 en ‘90 verschuift de aandacht van oorlog naar geld. De muur is gevallen en oorlog is ineens niets meer waard. Staten betalen geen cent voor informatie over Russische tanks, deze zijn na de val immers per dozijn te koop voor bijna niets en worden gewoon thuis afgeleverd. Gelukkig begint in deze periode de centrale opslag van data populair te worden. Dit is vooral te danken aan opslagruimte die beschikbaar kwam en steeds betaalbaarder werd. Een tweetal sectoren liepen vanaf het begin voorop in het gebruik van centrale opslag van data. Overheden, deze waren immers al betrokken met hun militaire technologieën en registratie van burgers. Daarnaast de financiële sector, met al die transacties, vertrouwensrelaties en gevoelige informatie.

Met het digitaliseren van financiële- en persoonlijke gegevens, zijn deze nu meer dan ooit het doelwit geworden van kwaadwillenden. De meest recente datalekken hebben te maken met data waarmee u geïdentificeerd kan worden, of financiële gegevens als creditcardinformatie. Vaak om identiteitsfraude te plegen en op die manier, u raadt het al, geld binnen te harken door bijvoorbeeld een lening op uw naam af te sluiten. Valuta werd digitaal, aangewakkerd door het digitaal opslaan van identificatie en persoonsgegevens. Een lokkertje voor de moderne crimineel.

Maar wanneer ben ik nou veilig? Om deze vraag te beantwoorden ga ik terug naar het begin van dit artikel. Middelen en gegevens zijn de zaken die we veilig willen houden. De beveiliging van uw middelen die data dragen of toegang verschaffen tot data moet in kaart gebracht worden. Vervolgens passen wij hier de juiste tools op toe. Bijvoorbeeld een virusscanner, anti-spam-filters of firewalls. Maar ook andere en toch belangrijke zaken als de workflow van fysieke datadragers of printers. Wie mag uw datasticks van de zaak mee naar huis? Spelen de kinderen een spelletje op de laptop van de zaak? Een goede analyse van alle kwetsbaarheden, in combinatie met een gericht plan van aanpak en nazorg in de vorm van monitoring bieden uitkomst.

Naast de tastbare zaken als laptops en servers, is het de beurt aan de data en het netwerk om beveiligd te worden. Klantgegevens die in veilige CRM software verwerkt worden. Het toepassen van toegangsrechten op centraal toegankelijke mappen op servers. Maar ook databeveiliging in de vorm van training, bijvoorbeeld in het herkennen van phishing mails.

Het implementeren van al dit soort tools en methoden wordt gedaan in lagen. Neem de beveiliging van een bank als voorbeeld. Er zullen camera’s hangen, vervolgens bewapende bewakers, grote kluisdeuren, alarmknoppen en vast nog veel meer. Elk bedoeld om een opvolgend en alles dekkend netwerk aan obstakels te vormen. Het is de eeuwige strijd tussen wat werkbaar is, wat wenselijk is en wat daar een reëel compromis in is.

Ik weet dat u nu graag een lijstje zou zien, zoals gebruikt in veel populaire media. 10 stappen om uw organisatie waterdicht te maken! Met dan een mooie standaard foto van een hacker met wat groene letterachtige substantie erachter. Maar zo werkt databeveiliging niet, daar is het te complex voor. Ik werk zelf op de servicedesk van LOKO en kom zoveel diverse situaties tegen dat er geen handleiding voor te schrijven valt.

Dus, wanneer ben ik veilig? Heeft u een professionele partner die uw digitale infrastructuur voorziet en beheerd? Roepen termen als virusscanner, anti-spam-filter en phishing training geen vraagtekens bij u op? Omdat u weet hoe dit ingezet wordt om uw data te beveiligen? Ja? Proficiat, u bent veilig.

Ik wil u namens LOKO, en in dit geval met name het LOKO Security Team bedanken voor uw interesse in onze eerste LOKO Security Blog. In mijn vervolgartikel wil ik graag inhaken op de recentelijk verscherpte consequenties van datalekken en vervolgstappen in geval van een datalek. Dit artikel zal ook wat meer praktische tips bevatten die u direct toe kunt passen.

Frank Diepmaat, Servicedesk LOKO.