Security, het is een breed begrip en alleen al over de definitie er van kun je dagen discussiëren. Dat gaan we niet doen want daar is security te belangrijk voor, ook en zeker nu in een tijd van thuiswerken en ingrijpende veranderingen op ICT-gebied. Laten we wel een beetje inzoomen… om het behapbaar te houden. Sinds NDI gecertificeerd is in het kader van ISO 27001 zien we IT security in brede zin, waar bijvoorbeeld ook beschikbaarheid van gegevens en systemen onder valt. Het is natuurlijk wel zo dat ‘in de volksmond’ onder security vooral wordt verstaan het tegengaan van ongeautoriseerde en ongewenste toegang tot gegevens.
In dat kader is security een expertise op zich geworden, in ieder geval in de beeldvorming. Op zich is daar niets mis mee. Zeker op eredivisie-niveau is security echt een vak apart. Er zijn dan ook mensen die daar echt veel verstand van hebben en die we er graag bij roepen als het gaat om echt complexe zaken. Voor het uitvoeren van een penetratie-test heb je mensen nodig die net zo veel van hacken weten als cybercriminelen. Alleen zo kun je bij een nep-inbraakpoging de zwakke plekken vinden in de beveiliging. Ook voor het uitvoeren van forensische IT heb je echte experts nodig die een cybercrime kunnen herkennen en net als echte CSI’s sporenonderzoek kunnen uitvoeren.
Dagelijkse security
Zoals gezegd… een vak apart en als het zo specialistisch is, is het zeker niet de expertise van NDI. Wij halen in dat soort gevallen de specialisten van onze securitypartner NFIR er bij. Toch zijn er een veel aspecten aan security die veel minder sexy zijn dan nepinbraken en criminelen vangen. Een flink deel van security zit hem in hele saaie alledaagse zaken. Zaken waar wij als IT-beheerder dagelijks mee te maken krijgen en waar we wel heel veel verstand van hebben.
Voor de duidelijkheid: veel hacks worden niet uitgevoerd door geniale hackers die op superslimme wijze ijzersterke beveiliging weten te omzeilen…. Helaas, de meeste inbraken worden uitgevoerd door het misbruiken van relatief eenvoudige tekortkomingen in beveiliging en door misbruik te maken van mensen die onvoorzichtig zijn met hun klikgedrag of wachtwoorden. Dat betekent dat zoals in veel gevallen bij beveiliging de 80/20-regel geldt. Specialisten zijn nodig om de laatste 20% ‘veiligheid’ te bereiken. Maar de eerste 80% van ‘veilig’ kun je halen met 20% van de inspanning waarbij het gaat om eenvoudige en voor de hand liggende zaken. Zaken voor de IT-beheerder en vaak zelfs voor de gebruiker zelfs.
Om op het gevaar af belerend te klinken… een analogie:
Je kunt je woonhuis beveiligen met een alarminstallatie en een ‘Politiekeurmerk Veilig Wonen’ aanvragen. Daar is niets mis mee en het is een goed idee als je al je deuren wilt voorzien van 3-sterren SKG sloten. Maar: net als bij IT-security zijn dit soort maatregelen pas relevant op het moment dat je eerst de basis aanpakt. Een deur met een 3-sterren slot gaat nog steeds heel makkelijk open als je niet de moeite neemt de deur op slot te draaien. Daarnaast denk ik dat veel mensen niet precies weten waar alle sleutels van die dure sloten eigenlijk gebleven zijn. Uitgeleend aan de aannemer, hondenuitlaatservice of de loodgieter? En is die sleutel geretourneerd of niet? Ramen die bereikbaar zijn vanaf buiten sluit je natuurlijk af als je weg gaat en je laat een lampje aan als er niemand thuis is. Natuurlijk bedenkt een potentiële inbreker ook dat het waarschijnlijk een ‘waaklampje’ is. Toch kiest hij bij twijfel het huis waar het helemaal donker is. Dit soort zaken zijn ‘laaghangend fruit’ als het gaat om beveiligen van huis en haard. 80% van de veiligheid met 20% van de kosten en inspanning. Het doel is om het net iets minder aantrekkelijk te maken voor inbrekers, die altijd zullen kiezen voor de zwakste schakel. Zorg er voor dat de zwakste schakel dan maar het huis is van de buren drie straten verderop.
Zoals het verhaal gaat: ‘Twee mannen worden achtervolgd door een woeste beer. Zegt de een tegen de ander ‘dit heeft geen zin, we kunnen nooit harder rennen dan de beer’. Zegt de ander ‘ik hoef niet harder te rennend dan de beer, ik hoef alleen maar harder te rennen dan jij….’. Bij IT-beveiliging is het in feite net zo als bij huisbeveiliging. Idealiter is de beveiliging volledig sluitend en 100%. Het belangrijkste is dat het begint met zorgen dat het aantrekkelijker is voor inbrekers om het te proberen bij de ‘buren’.
Security in de basis
Het IT-equivalent van ‘je deuren op slot doen en je ramen dicht doen als je weg gaat’ is het op de juiste wijze beheren van systemen, zowel van de serveromgeving als van werkplekken. Gewoon gedegen beheer betekent anno 2020 minstens het volgende:
- Zorg dat alle systemen up to date zijn. Een week achter lopen op updates van Microsoft Server 2019 software of Windows 10 hoeft geen probleem te zijn maar iedere machine die maanden achter loopt is een onacceptabel risico.
- Een virusscanner die up to date is en wordt gehouden: goede beheerders gebruiken managementsoftware om updates en virusscanner te beheren, als een machine achter gaat lopen wordt dat automatisch gesignaleerd.
- Disks worden versleuteld met sterke encryptie waardoor gegevens onleesbaar zijn, zelfs als een pc of server fysiek in verkeerde handen valt.
- Gebruikers gebruiken sterke wachtwoorden die niet eenvoudig te raden zijn. Bij voorkeur zijn dit passphrases (dus zinnen) van minimaal 16 tekens. Dit maakt het bijna onmogelijk om het wachtwoord met ‘brute force’-aanvallen te raden. Wachtwoorden dienen regelmatig gewijzigd te worden, overigens niet te vaak omdat dat juist aanmoedigt de wachtwoorden op te schrijven.
- Multi-Factor Authenticatie (MFA of 2FA) is geen luxe meer maar een must. Waar ‘vroeger’ het gebruik van een ‘token’ (als je na 1999 geboren bent: een klein apparaatje dat iedere minuut een uniek getal laat zien dat je moet intikken bij het inloggen) duur en omslachtig was, kun je nu eenvoudig met een app op een telefoon de beveiliging sterk verbeteren.
- Goede backups maken, dagelijkse backups die regelmatig getest worden zijn absoluut noodzakelijk. Hiermee zijn gegevens altijd nog terug te krijgen als ze verloren gaan, bijvoorbeeld door gijzelsoftware.
- Gebruik maken van security tools die vaak zonder meerkosten beschikbaar zijn in bijvoorbeeld Microsoft 365.
En als laatste, maar misschien nog wel meest belangrijke punt: net als bij het beveiligen van huizen is techniek vaak niet de zwakste schakel, helaas is dat vaak toch de gebruiker. Wat altijd van belang is en blijft: gezond verstand blijven gebruiken! Voorzichtig zijn met ‘klikken op links’, wachtwoorden nooit delen met anderen, een PC ‘locken’ bij het weglopen…. Security is de verantwoordelijkheid van ons allemaal, niet alleen van de IT-beheerder en zeker niet alleen van de security specialist!
Het is zaak eerst de bovenstaande zaken op orde te hebben, pas daarna is het tijd voor de ‘champions league’ van security met pentests en white hackers. Security is eigenlijk helemaal niet zo sexy maar eigenlijk heel heel saai.