Hackers In elk bedrijf vind je computers waar gevoelige informatie op staat. Maar hoe veilig is die informatie daar?
Hackers maken er een sport van om de beveiliging van uw ICT-structuren te kraken. Dat doen ze niet alleen als ze uit zijn op specifieke informatie of als ze met de directie in de clinch liggen. In onze praktijk hebben we al vaak gezien dat 'onschuldige bedrijven', zoals de koekjesfabriek en de sportschool, slachtoffer worden van hackers.
Vervelend? Ja. Maar niemand is een slachtoffer: iedereen kan zelf de touwtjes in handen nemen.
Klein duwtje
Een hacker heeft maar een klein duwtje nodig om op zoek te gaan naar een nieuw object voor zijn hobby. Uiteraard zijn er ook professionals die in opdracht inbreken, maar laten we ons focussen op de kans dat zo'n koekjesfabriek – of úw organisatie – te maken krijgt met een hacker.
Zwakke plek
De hacker vangt ergens iets op over een zwakke plek in één van de meest gebruikte websitesystemen. Denk aan Joomla, WordPress en Drupal. Hij struint het web af, op zoek naar websites met een dergelijk systeem. Vervolgens probeert hij de beveiliging van zo'n website te omzeilen. Of u het nu gelooft of niet: het zou dan zomaar om uw website kunnen gaan, ook al heeft u met niemand ruzie en staan er geen staatsgeheimen op uw computers.
Stel dat een hacker de beveiliging van uw website kraakt. Hoe erg is dat dan? Ik heb veel gevallen gezien, waarin een hacker de computer van de directiesecretaresse wist te bereiken via een lek in de website. Mappen met strategische informatie of persoonsgegevens kwamen op straat te liggen. En ook de e-mails van en naar de directeur waren voor de hacker woord voor woord te lezen. Het bedrijfsimago had vervolgens behoorlijk te lijden, dat snapt u.
Ellende
Hackers zorgen voor ellende. Daarom vragen veel organisaties ons om hulp bij het opstellen van preventieve maatregelen. Die bedrijven helpen we dan door inzicht te verschaffen in de werking van hun informatiebeveiliging: we voeren een penetratietest (pentest)
uit.
Mystery guests
Tijdens een pentest bekijken we hoe ver we in de beveiliging kunnen doordringen. Dat doen we niet alleen digitaal, maar ook fysiek. We zetten bijvoorbeeld mystery guests in, die als doel hebben om het bedrijf
binnen te komen en daar een laptop aan te sluiten op het netwerk, in de buurt van de server te komen, of software te installeren op één van de computers.
E-mail
Hoe veilig uw informatie is, heeft niet alleen te maken met uw digitale beveiliging. Als een hacker uw medewerkers een e-mail stuurt over een actueel onderwerp met de vraag om op een link te klikken, komt hij ook in uw netwerk. Of hij belt één van uw medewerkers en ontfutselt belangrijke codes met een goed verhaal. Het is dus niet gek dat de combinatie van een digitale en fysieke (inloop)test zo succesvol is.
Als ieder bedrijf z'n eigen informatiebeveiliging eens goed onder de loep neemt, ligt er straks veel minder gevoelige informatie op straat. Dat scheelt een hoop ellende.
Richard B. Franken is directeur bij Hoffmann Bedrijfsrecherche.