We selecteerden 5 artikelen over gegevensbeveiliging van nieuwssites op internet en vatten onze kijk op deze situaties en de lessen die je hieruit kunt trekken samen.
1. Social Engineering | Bewustwording | Indirecte bedreigingen
Dit is een triest voorbeeld van social engineering waarbij een naïeve jonge vrouw in een persoonlijke tragedie belandde: https://www.theguardian.com/commentisfree/2019/jun/09/how-hackers-can-permanently-lock-you-out-of-your-accounts
Dit voorbeeld kan ook makkelijk naar een zakelijke setting vertaald worden. Ook kunnen cybercriminelen je sleutelpersoneel in een persoonlijke setting benaderen maar is het ze eigenlijk te doen om het stelen van uw bedrijfsgegevens.
Het enerzijds bewust houden van uw personeel en anderzijds ervoor zorgen dat u de mensen met de juiste kennis en vaardigheden aan boord heeft is moeilijk maar van vitaal belang. Experts in deze specifieke niche kunnen u daarbij helpen: DVGSearch
2. Versleuteling | Kennis | Indirecte chantage | Distributed Ledgers
Dit is een voorbeeld van wat er gebeurt als je encryptie niet goed genoeg is: https://www.theguardian.com/world/2020/oct/26/tens-of-thousands-psychotherapy-records-hacked-in-finland.
Naast lage encryptie (of een andere beveiligingsmaatregel) is het opslaan van alle data in één database en op één plek (cloud, datacenter) een groeiend risico. Een goed alternatief voor enkelvoudige cloudopslagsystemen zijn Distributed Ledger-systemen.
3. GDPR-| Privacy by Design | Privacy by Default | ISO27001- maatregelen
Dit is een voorbeeld wat er gebeurt als er aan de ene kant GDPR-principes zoals Privacy by Design en Privacy by Default niet worden gevolgd bij het opzetten van een systeem en aan de andere kant beveiligingsrisico’s wel in beleid worden geschreven maar in de realiteit niet worden uitgevoerd.
4. Cloud Hack | Indirecte bedreigingen | Distributed Ledgers
Vertrouw niet blindelings op ontwikkelbureaus en/of cloudserviceproviders en verwacht niet dat ze standaard alles volledig goed doen zonder dit te controleren. Dit is een voorbeeld van wat er kan gebeuren:
Met als gevolg een enorme kettingreactie wanneer een dienstverlener faalt.
"De echte slachtoffers van de blunder van Prestige zijn natuurlijk niet de klanten, maar de klanten van zijn klanten, mogelijk vele miljoenen consumenten die nu, buiten hun schuld om, een verhoogd risico lopen om te worden gecompromitteerd door cybercriminelen."
5. Bewustzijn met een laag risico | Gebrek aan controles | Standaardwachtwoorden | Kwaadaardige code door OTAP gemigreerd
Natuurlijk kan SolarWinds niet ontbreken aangezien het een schoolvoorbeeld is wat er misgaat al het bewustzijn van beveiligingsrisico’s te laag is het pragmatisme om een dienst te leveren te hoog.
Blijkbaar adviseerde SolarWinds klanten om de antivirusscans voor hun mappen uitgeschakeld en had zelfs een helppagina waarin dit stapsgewijs werd uitgelegd. Ook werd een hardcoded standaardwachtwoord gebruikt waardoor hackers makkelijk binnen konden komen.
Bovendien wordt aangenomen dat hackers in een eerder ontwikkelingsstadium al hun kwaadaardige code in de code van SolarWinds hadden geïnjecteerd waardoor deze in alle migraties en uiteindelijke productie werd meegenomen. Dit is een veelvoorkomende en gevaarlijke tactiek die door hackers met engelengeduld wordt gebruikt. Het kost tijd en moeite voordat de code in de productieomgeving terecht komt, maar als deze er eenmaal is heeft de hacker een jackpot.
Het is natuurlijk altijd makkelijk om kritiek te leveren. De mensen die bij SolarWinds werken zijn niet dom of ongeïnteresseerd maar door de werkdruk zal/kan de aandacht voor veiligheidsmaatregelen zijn verslapt met deze verwoestende gevolgen.