Paniek achter de firewall. De grote bedrijven als Sony en Belgacom staan in de spotlights omdat hun online deuren blijkbaar niet goed op slot zitten. Hoe komt het toch dat organisaties die beter moeten weten zomaar gekraakt worden?


Hoe heeft technologie een impact op je business?
Ontvang elke week het zakelijk IT-nieuws rechtstreeks in je inbox!



Paniek achter de firewall. De grote bedrijven als Sony en Belgacom staan in de spotlights omdat hun online deuren blijkbaar niet goed op slot zitten. Hoe komt het toch dat organisaties die beter moeten weten zomaar gekraakt worden?

Sinds de onthullingen van Edward Snowden weten we dat niets onhackbaar is. Belgacom en met name dochteronderneming BICS zijn daar een goed voorbeeld van. Het bedrijf heeft vertakkingen ver buiten België dankzij de transcontinentale glasvezellijnen die een significant deel van het internationale telefoonverkeer voor hun rekening nemen.

“Interessant”, dachten de mensen van het Government Communications Headquarters (GCHQ) in Groot Brittannië waarna ze inbraken bij Belgacom en BICS om hun oor te luisteren te leggen. De Britten zaten er hoegenaamd niet met verveeld dat België en hun land officieel bondgenoten zijn.
Landsgrenzen stoppen waar het internet begint. Een georchestreerde door de overheid gesubsidieerde hacking dus, van een Belgisch staatsbedrijf, en we kijken er zelfs niet van op.

Vrede en interviews

Ook Sony Pictures kon de kracht van internetdiefstal vanop de eerste rij meemaken toen in december vorig jaar de zogenaamde Guardians of Peace het hele Amerikaanse bedrijfsnetwerk platlegden. Een extra dagje verlof voor de meeste Sony-medewerkers, een nachtje minder slaap voor het IT-departement en een zee aan informatie die het web op geslingerd werd was het eindresultaat.

Een groot en rijk bedrijf als Sony was in z’n blootje gezet door Noord Koreaanse sympathisanten. De dreigementen na de hacking zorgden voor de afgelasting  van de première van de komedie The Interview, waarin leider Kim Jong Un tot ontploffing moest worden gebracht.

Een derde interessant voorbeeld van wat er misliep op het hoogste niveau is de spearphishing-actie waar medewerkers van ICANN, beheerder van het wereldwijde Web, intrapten. Geen levensbelangrijke data werd gestolen, maar het succes van de actie toont aan dat iedereen vandaag kwetsbaar is.

Social engineering

De kraak bij ICANN illustreert eveneens mooi waar de eerste en mogelijk grootste zwakte van zowat ieder netwerk ligt: bij het personeel. In het geval van ICANN kregen werknemers een phishing-email die van een intern adres leek te komen. Resultaat: hun inloggegevens werden gestolen.

Social Engineering heet die praktijk, en zowat 90 procent van de cyberaanvallen maakt er gebruik van. “De hackers gaan opzoek naar belangrijke individuen binnen een organisatie”, verduidelijkt Eddy Willems, beveiligingsexpert bij G Data. “Moeilijk is dat niet: een vriendelijk telefoontje naar het bedrijf in kwestie volstaat meestal om een naam en een email-adres te weten te komen.” Bovendien staat de meeste info vandaag online. Bedrijven hebben websites met contactgegevens en iedereen zit op Facebook en LinkedIn.

Groene lettertjes

Het plan van de hackers is om hun doelwit ergens op te laten klikken: een zogenaamd vertrouwelijke mail  of door de nieuwsgierigheid te prikkelen. “De cybercriminelen willen inspelen op de naïviteit die de meeste onder ons eigen is, stelt hij. “Ik ben bijvoorbeeld geïnteresseerd in gadgets wat mij meer geneigd maakt om door te klikken op een website die over gadgets gaat.”

In fase twee van de cyberkraak gaat de hacker technischer te werk. “Zodra het doelwit naar een geïnfecteerde website surft schiet daar een zogenaamde Exploit Kit in actie. Die onderwerpt je computer aan een heus kruisverhoor waar gezocht wordt naar tientallen mogelijke kwetsbaarheden. Vindt de kit er eentje, dan ben je de sigaar, en helaas zijn er maar al te veel gaten te vinden in de netwerken van onze grote bedrijven.

Lanterfanten is dodelijk

Slecht en traag patchmanagement is verantwoordelijk voor het merendeel van de open deuren. Niet enkel het besturingssysteem maar ook veelgebruikte programma’s zoals Java en Flash zitten boordevol kwetsbaarheden. Die worden geregeld ontdekt en vervolgens gepatched met een update die bij je thuis automatisch wordt uitgevoerd, maar niet bij de multinational die misschien wel je loon betaalt. “In een bedrijfsomgeving moeten die updates eerst uitvoerig getest worden”, begrijpt Willems.

Een slechte update die een systeem lamlegt is rampzalig, maar hoe langer een IT-departement treuzelt met het implementeren van updates, hoe langer de spreekwoordelijke deur blijft open staan. Terwijl de hele wereld weet van de kwetsbaarheid. Zo hoeft u slechts een Sony-medewerker aan de haak te slaan, te scannen op een gaatje, en je bent vertrokken.

Halve slotgracht

Een gezwind patch-management is dus cruciaal, maar niet voldoende om een groot netwerk veilig te houden. “Meerlaagsbeveiliging is essentieel”, vindt de G Data-expert. Daaronder verstaat hij onder andere een antivirussuite, een firewall en inbraakdetectie-software. “Grote bedrijven weten dat ze die combinatie nodig hebben, maar aankopen alleen is niet genoeg.”

In de praktijk knelt het schoentje bij de implementatie. Er moet finetuning gebeuren, maar daar gaan IT-specialisten of consultants al eens uit de bocht. Willems: “Ze installeren de software bijvoorbeeld niet op alle toestellen.” Denk maar aan een server die zonder de beveiligingssoftware al kreunt onder de zware last. De verleiding is groot om de nodige software daar niet de installeren, maar zo kort door de bocht te gaan is als een halve slotgracht graven rond je kasteel.”

Maar zelfs wanneer een beveiligingspakket wel goed geïnstalleerd is, stopt het werk nog niet. Bedrijven moeten de software gebruiken om logs te analyseren en eventuele alarmen te onderzoeken. Ze moeten dat bovendien met alle departementen samen doen. “Al te vaak worden servers en desktops door aparte teams gemanaged en bestaat er nauwelijks communicatie tussen de twee.” Een grondige analyse van de logs kan aan het licht brengen dat een bepaalde poort meer trafiek ziet dan zou horen, wat op malware kan wijzen. Om dat te ontdekken is betere communicatie erg belangrijk. Veel bedrijven schieten hier tekort.

Over schepen en netwerken

Ondanks al deze maatregelen, kan het nog fout lopen. Helaas is niets is onhackbaar. “Er is altijd een gat”, geeft Willems toe. “Zeker wanneer grote organisaties met veel geld of overheidsinstanties zoals de NSA en GCHQ hun zinnen ergens op zetten, wordt het heel moeilijk om gevrijwaard te blijven. Wanneer een organisatie over voldoende fondsen beschikt speelt de IT-technische factor een grotere rol. Zij maken dan gebruik van exploits waarvan experts nog geen weet hebben, en dan wordt het erg moeilijk.”

Als de NSA en de GCHQ hun zinnen zetten op het netwerk van BICS, dan kan u er helaas vanuit gaan dat ze vroeg of laat wel binnen geraken. Toch is ook hier tempering mogelijk. Een schip met een gat in de romp zal meestal niet (meteen) zinken.

Grote schotten verdelen een vaartuig in compartimenten, waardoor het verlies van één van de kamers niet noodzakelijk de ondergang van het schip betekenen. Die filosofie kan ook een netwerk redden. Veel te vaak heeft iedereen toegang tot het hele netwerk, zeker op de hogere niveaus.

Toch is er geen reden voor het hoofd van marketting om toegang te hebben tot de servers van het salesdepartement. Willems: “door toestemmingen beter te managen blijft de totaliteit van het netwerk gevrijwaard. Zo zien we dat de hackers van ICANN wel degelijk aan gevoelige informatie konden, maar ze raakten niet in het hele ICANN-netwerk. De schade beperken is een valabele strategie, er is geen reden om voor alles of  niets te spelen.

En wat met KMO’s?

Hoge bomen vangen veel wind, dus is het eenvoudig om als kleine onderneming het hoofd in het zand te steken en te wachten totdat de storm gaat liggen. Een fatale vergissing. “Alle data is geld waard, ook die in kleine bedrijven”, verzeker Eddy Willems ons. “Bovendien hebben kleine organisaties niet het budget van grote multinationals wat hen een stuk kwetsbaarder maakt.”

Misschien azen vreemde mogendheden niet op de inhoud van uw server, maar er liggen genoeg kapers op de kust. Denk maar aan Rex Mundi, de gesel van onze lokale middelgrote bedrijven. De hacker houdt zich bezig met internationale organisaties maar lijkt toch een speciale voorkeur voor België en Nederland te hebben. Hij houdt vooral van interim-bureaus en verzekeringskantoren.

De wereld zal niet gechoqueerd zijn als de verzekeringsaanvragen van uw lokale kantoor online verschijnen, maar mogelijk gaan de klanten nadien ten rade bij een bedrijf dat hun persoonlijke informatie wel privé houdt. Dat weet Rex Mundi goed genoeg, zodat hij zijn slachtoffers chanteert met een geldsom. Officieel betaalde nog niemand, officieus houdt de man al te lang vol om niet af en toe een succes te boeken.

Opendeurdag

Daar komt nog bij dat uw KMO misschien wel zaken doet met een groter bedrijf. “We zien dan ook hoe kleine organisaties gebruikt worden als aanvalsvector om grote organisaties binnen te raken”, getuigt onze beveiligingsexpert. 

Als KMO hoeft u geen fortuin uit te geven om uw beveiliging wat op te krikken. Een doordacht netwerk, een verstandig beheer van toestemmingen en vooral een bewustmaking van personeelsleden brengt je al een heel eind verder.

Dat laatste geldt trouwens overal, ongeacht het formaat van uw onderneming. De occasionele bewustmakingstraining zou de hele maatschappij al een stuk resistenter maken tegen cyberdreigingen. Te weinig mensen weten dat de eerste aanval bij een kraak via hen verloopt.