“Het gaat niet om één of enkele goede maatregelen, het gaat om het geheel”

Gepubliceerd op 10 februari 2022 om 07:00

Hoe zet je een goed cybersecuritybeleid op? Sándor Incze, CISO bij CM.com, legt stap voor stap uit wat hij gedaan heeft om CM.com tegen cybercriminelen te beschermen. “Het gaat niet om één of enkele goede maatregelen”, zegt hij. “Het gaat om het geheel.”

Sándor vergelijkt cybersecurity met het computerspel bubble shooter dat in de jaren ’90 populair was. Dit spel bestaat uit een veld met gekleurde ballen. Als speler heb je de mogelijkheid om telkens een andere kleur ballen weg te schieten.

“Zo werkt het ook met cybersecurity”, legt Sándor uit. “Iedereen wordt continu op een andere manier aangevallen. Als je dat niet ziet, dan kijk je mogelijk niet goed genoeg. Ook bij CM.com zien we deze aanvallen voorbij komen. Daarom hebben we een heel pakket aan mitigerende maatregelen nodig om tegen al die bedreigingen beschermd te zijn.”

Kun je allereerst uitleggen wat CM.com voor bedrijf is? Wat doen jullie?

“CM.com biedt cloud software waarmee bedrijven hun klantervaring verbeteren. Met ons communicatie- en betalingsplatform kunnen zij het contact met klanten via mobiele kanalen automatiseren en personaliseren. Onze software wordt bijvoorbeeld gebruikt door evenementorganisaties voor de kaartverkoop en om in contact te zijn met fans of bezoekers, zoals bij voetbalwedstrijden en de Formula 1 Heineken Dutch Grand Prix. We verzorgen het hele traject: van de kaartverkoop tot aan de QR-code die bij de ingang wordt gescand en het contact tussendoor via een chatbot of WhatsApp. Ook het bestellen en betalen van drankjes op de locatie kan, met onze software, allemaal via de mobiele telefoon. CM.com is in 1999 opgericht in Breda. Inmiddels zitten we in ruim 20 landen en hebben we wereldwijd ruim 800 medewerkers.”

Waar begint voor jou een goed cybersecuritybeleid?

“Een cybersecuritybeleid heeft geen begin en einde. Alle maatregelen die we nemen zijn even belangrijk. Maar laten we voor het gemak beginnen bij de gebruikers, dus de medewerkers van ons bedrijf.  Het is belangrijk dat de medewerkers weten wat zij kunnen doen om cybercriminelen buiten de deur te houden. Niet alleen op het werk, maar ook thuis en bij familie en vrienden. Daarom krijgen alle medewerkers (van de receptionisten tot de directieleden) elke maand een verplichte e-learning over security awareness aangeboden. We behandelen daarin telkens een ander thema, zodat zij een goede basiskennis krijgen. De medewerkers worden zo onze eerste ‘human’firewall. Als softwarebedrijf hebben we natuurlijk ook veel ontwikkelaars in dienst. Voor hen worden aanvullende trainingen georganiseerd. Hierin wordt bijvoorbeeld uitgelegd hoe ze veilige software kunnen blijven ontwikkelen.”

Wat is stap 2?

“De computers waar de medewerkers mee werken. We doen er alles aan om dat zo veilig mogelijk te maken. Alle computers worden beschermd met endpoint protection, daar kun je eigenlijk niet meer omheen in deze tijd. Diverse leveranciers bieden dit aan. Bovendien worden alle computers, vanuit onze centrale ICT-afdeling, gepatcht (bijgewerkt, ge-update). De gebruikers hebben daar eigenlijk geen omkijken naar. Ze zien alleen op hun beeldscherm staan dat het systeem aan het updaten is. Dit patchen gaat in een hoog tempo. Zodra er een nieuwe kwetsbaarheid bekend wordt, worden de betrokken systemen gepatcht.”

En wat is stap 3?

“Het e-mailverkeer. E-mails kunnen gevaarlijke berichten bevatten, daarom worden deze gescand. Voor de diepgravers dien je ook na te denken over datalekken via het uitgaande e-mailverkeer en daar passende maatregelen voor te nemen, zoals het tonen van een bevestiging pop-up in specifieke situaties. E-mails kunnen ook Word- en Exceldocumenten met macro’s bevatten. Met zo’n macro download het programma automatisch gegevens van het internet. Mijn advies is om het gebruik van macro’s standaard niet toe te staan.”

Ondanks deze maatregelen zullen cybercriminelen toch proberen om jullie systemen binnen te dringen. Hoe houden jullie hen zo goed mogelijk tegen?

“We hebben daarvoor een Security Operations Centre (SOC) ingericht. In het SOC zien we vanuit welke locatie een gebruiker probeert in te loggen en wat hij aan het doen is.”

Mochten cybercriminelen toch jullie systemen binnendringen, hoe zorgen jullie er dan voor dat zij zo weinig mogelijk schade aanrichten?

“Iedereen die al wat langer meeloopt in de wereld van netwerken en security, weet dat je je netwerk moet opdelen in kleinere stukken (segmenteren), zodat de schade bij een incident beperkt blijft tot dat segment. Wil je het nog een stap verder trekken, dan kun je gaan denken aan het toepassen van Zero Trust Access. Dit wil zeggen dat het hele netwerk in principe voor iedereen gesloten is. De gebruikers krijgen alleen nog maar toegang tot de tools die zij voor hun werk nodig hebben. Je krijgt dus toegang tot applicaties en niet tot een netwerk. Dit is wel een andere manier van denken, merk ik.”

Zijn er meer maatregelen waarmee je de schade bij een aanval kunt beperken?

“Zeker. Denk ook aan een goed beleid rondom het stapelen van autorisaties. Medewerkers die lang bij een bedrijf werken, krijgen vaak steeds meer autorisaties. Telkens als zij een andere functie krijgen, komen er weer autorisaties bij. Daardoor krijgen medewerkers vaak toegang tot een groot gedeelte van het netwerk. Iets wat je absoluut wilt voorkomen. Zero Trust Access gekoppeld aan je profiel in bijvoorbeeld de Active Directory kan daarbij helpen.”

Hoe test je of jullie cybersecurity op orde is?

“Dat doen we met pentesting. Zoals vele bedrijven hebben we een (publiek) bug bounty programma. Dit is een programma waarbij ethische hackers proberen om kwetsbaarheden (bugs) op te sporen in onze systemen. Zij krijgen betaald voor elke kwetsbaarheid die ze vinden. In het begin levert zo’n programma veel op. Na verloop van tijd wordt het steeds moeilijker om nog iets te vinden. Zij dragen nu dus minder kwetsbaarheden aan dan in het begin. Toch blijft het belangrijk dat zij dit werk doen, want elke kwetsbaarheid is er één teveel. Het geeft ook een morele boost aan de developers. De kwaliteit van hun werk is zichtbaar omhoog gegaan. Daarnaast werken we samen met externe bureaus waaronder digiweerbaar.nl. Zij voeren minimaal twee keer per jaar een onafhankelijke pentest voor ons uit. Het voordeel van een extern bureau is dat je hen in specifieke gevallen een aanvullende toegang kunt geven zodat ze dieper in het systeem kunnen doortesten. Bovendien hebben ethische hackers soms de neiging om zich te focussen op de applicaties waar zij de meeste kwetsbaarheden verwachten. Een extern bureau kunnen we vragen om de applicaties te testen waar de ethische hackers minder aandacht voor hebben.”

Heb je een tip voor bedrijven die met pentesting aan de slag gaan?

“Laat ook eens een pentester in-house plaatsnemen als een soort insider threat en hem uitzoeken wat hij kan vinden met een regulier medewerkers-account.”

Daarnaast maken jullie natuurlijk back-ups. Wat vind je daarin belangrijk?

“Dat de gegevens offline opgeslagen zijn. Daarmee voorkomen we dat cybercriminelen tijdens een aanval ook de back-ups aantasten. Daarnaast vind ik het belangrijk om regelmatig te testen of het lukt om de back-ups terug te zetten.”

Welk advies zou je andere bedrijven geven als het gaat om het maken van back-ups?

“Bepaal per systeem wat de beste back-upstrategie is. Om een voorbeeld te geven: bij een computer zit een virus vaak in het besturingssysteem en niet direct in de data (denk aan een database). Dus als je een back-up maakt van het hele systeem, neem je ook het virus daarin mee. Bij een database kun je er ook voor kiezen om alleen de data uit de database te back-uppen en niet het hele systeem. Na een incident kun je dan het systeem vaak eenvoudiger herstellen.”

Kun je nog meer maatregelen noemen die jullie genomen hebben tegen cybercriminaliteit?

“Zeker. We hebben bijvoorbeeld maatregelen genomen om ons te weren tegen het grote, boze internet. Hiervoor hebben we een Network Operations Centre (NOC) ingericht. Zij grijpen in als ze zien dat we vanaf het internet worden aangevallen en er mogelijke operationele verstoringen dreigen. Ook werken we samen met partijen die ons kunnen beschermen tegen DDOS-aanvallen. Bij een DDOS-aanval krijgen we veel verzoeken op ons systeem binnen. Daar zit natuurlijk ook onschuldig internetverkeer bij. Een partij die helpt bij DDOS-aanvallen zal het verkeer eerst ‘schoon wassen’ waardoor je schoner verkeer terug krijgt en waardoor je eigen systemen niet onderuit gaan.”

Welke tips heb je nog meer als het om dit onderwerp gaat?

“Let ook op het gebruik en onderhoud van beveiligingscertificaten. Dat is het groene slotje dat gebruikers voor elk webadres zien. Als je dit proces op orde hebt, zorg je altijd voor een beveiligde en dus veiligere verbinding tussen jou en je klant. Veel bedrijven nemen bovendien allerlei clouddiensten af van andere bedrijven. Mijn advies is om te zorgen dat het gebruikersbeheer van die externe clouddiensten ook centraal wordt geregeld en wordt bijgehouden bijvoorbeeld met Single sign-on (SSO). Dit betekent dat wij als bedrijf een account voor een medewerker aanmaken. Dit account komt automatisch te vervallen als zij uit dienst gaan.”

Je hebt een groot pakket aan maatregelen genomen om CM.com te beschermen. In hoeverre is de directie betrokken bij de keuzes die je maakt?

“De directie is zeer betrokken. Ik heb elke 3 weken een gesprek met onze CEO. Het voordeel is dat hij technisch ook zeer onderlegd is. Ik vind zo’n gesprek belangrijk om ook uit te kunnen leggen welke nieuwe bedreigingen we zien en welke maatregelen we daartegen kunnen nemen. Bovendien heb ik het geluk dat onze directie cybersecurity erg belangrijk vindt. Daardoor krijgen ik en mijn team de ruimte en het budget om de maatregelen te nemen die nodig zijn om het bedrijf goed te beschermen.”

Er zijn natuurlijk ook bedrijven die minder budget vrijmaken voor cybersecurity. Welk advies zou je hen willen geven?

“Zorg in ieder geval dat je de basis op orde hebt, zoals endpoint protection, het maken van back-ups en het regelmatig patchen van je systemen. Begin ook met een gratis web application firewall van bijvoorbeeld Cloudflare. Het maakt cybercriminelen over het algemeen niets uit welke diensten je aanbiedt. Ze hacken de organisaties waar ze het gemakkelijkste binnen komen. Dus als je de basis op orde hebt (vergelijk het met een woning en het hang- en sluitwerk), dan is het vaak al lastiger om bij jou binnen te komen en gaan ze het mogelijk bij de buren proberen.”

Bron: decrisismanager.nl | Maaike Tindemans

Bekijk alle vormen en begrippen

Actuele aanvallen overzicht per dag

Ernstige kwetsbaarheden

Inschrijven voor wekelijkse nieuwsbrief

 

Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met de politie. Telefonisch via het nummer 0900-8844 of online via het meld formulier. Uiteraard kunt u daarnaast ook tips melden bij Cybercrimeinfo.

Meer actueel cybercrime nieuws

Telegram een soort laagdrempelig alternatief voor het darkweb? Is het veilig?

Telegram staat bekend als een veilig alternatief voor WhatsApp. De snelle en cloud-gebaseerde chat-app heeft inmiddels meer dan 500 miljoen gebruikers. Voor veel gebruikers is veiligheid een reden om over te stappen naar Telegram, maar hoe veilig is Telegram eigenlijk? De standaard chats in Telegram zijn niet versleuteld met end-to-end-encryptie. Om dit te activeren moet je een ‘geheime chat’ starten. Ook verzamelt het bedrijf gedragsgegevens van gebruikers die kunnen aantonen met wie je chat en wanneer je chat. Je moet een telefoonnummer opgeven om de dienst te gebruiken. Hierdoor is Telegram niet volledig anoniem.

Lees meer »

Cybercriminelen blijven langer in een bedrijfsnetwerk voor ze toeslaan

Cybercriminelen brengen 36 procent meer tijd door in het netwerk van een organisatie dan een jaar geleden. Deze toename is te wijten aan het misbruik van ProxyLogon- en ProxyShell-kwetsbaarheden, evenals van Initial Access Brokers. Ondanks een verminderd gebruik van Remote Desktop Protocol voor externe toegang, gebruiken aanvallers deze tool vaker voor zogeheten interne laterale verplaatsing. Dat blijkt uit het ‘Active Adversary Playbook 2022’ van security-aanbieder Sophos.

Lees meer »

Tien soorten phishing aanvallen

Cybercriminaliteit is een onderdeel van ons dagelijks leven geworden en cybercriminelen grijpen elke kans om misbruik te maken van onwetende slachtoffers, met als doel: toegang krijgen tot persoonlijke informatie voor financieel gewin. Opleiding en training in cybersecurity kunnen het verschil maken tussen een geslaagde of een mislukte poging van een cybercrimineel.

Lees meer »

Spyware op computer of smartphone? Hoe verwijderen?

Stel je voor dat al je data en activiteiten 24/7 via je computer of smartphone in de gaten worden gehouden zonder dat je het doorhebt. Vreselijk, toch? Het klinkt misschien als een plot uit een spionagefilm, maar helaas is 'spyware' vandaag de dag een groot probleem waar veel mensen mee te maken hebben. Lees hier wat spyware precies is en hoe je het kunt herkennen, verwijderen en voorkomen.

Lees meer »

Het Wachtwoorden als ‘beveiliging’

Een op de vijf Nederlanders gebruikt de naam van hun huisdier, kind of favoriete voetbalclub in hun wachtwoorden. Dit blijkt uit een onderzoek van Beyond Identity. Voor dit onderzoek werden duizend Nederlanders ondervraagd naar de manier waarop ze wachtwoorden inzetten. Hun antwoorden brengen veel voorkomende valkuilen rond het gebruik van wachtwoorden aan het licht.

Lees meer »

‘Het harde uitgangspunt om nooit te betalen is gevaarlijk. Als de situatie erom vraagt kun je dat soms beter wel doen’

Ransomware, kwaadaardig software waarmee criminelen digitale gegevens gijzelen, is een explosief probleem. Uit principe weigert de overheid afpersers losgeld te betalen. Dat klinkt stoer, maar blijkt een gevaarlijke strategie. Sinds een recente aanval op de gemeente Buren liggen van inwoners financiële gegevens, en informatie over drugs- en psychische problemen, op straat.

Lees meer »

Veranderingen dreigingslandschap na Russische invasie in Oekraïne

Vorige week verscheen het 'Eset Threat Report' over het eerste trimester van 2022. Het Threat Report omvat belangrijke statistieken en trends over het huidige dreigingslandschap op basis van detectiesystemen en digital securityonderzoek. De nieuwste uitgave van het Threat Report geeft een overzicht van de verschillende cyberaanvallen in verband met de aanhoudende oorlog in Oekraïne die onderzoekers analyseerden of hielpen te beperken, waaronder de wederopstanding van de beruchte Industroyer malware, die probeerde hoogspanningsstations aan te vallen.

Lees meer »