Cybersecurity softwarePremium

Sorry, U bent de zwakste schakel...
maar u kan er iets aan doen

Cyberdreigingen in de maakindustrie

cs1
De evolutie naar meer thuiswerk door COVID-19 brengt nieuwe zwakheden met zich mee

 

De gevaren van de convergentie tussen OT en IT, er is de afgelopen jaren al veel over geschreven. Toch zien we met de regelmaat van de klok horrorverhalen naar boven komen over getroffen bedrijven. En die zijn nog maar het topje van de ijsberg. Het dreigingsniveau loopt op en de COVID-19-pandemie legt nog een extra zwakheid bloot.

Iedereen wordt slachtoffer

Picanol, Aveve, Pilz, Crelan, MAN, ISS, Wereldwinkel, Ranson, Gemeente Willebroek, Universiteit Antwerpen, Asco: we hebben de voorbije jaren en maanden regelrechte gruwelscenario’s zien voorbijkomen op het vlak van cybercriminaliteit. Wie de lijst bekijkt, ziet meteen dat geen enkel bedrijfstype ontsnapt: in zowat elke sector komt het veelvuldig voor, maar ook elke bedrijfsgrootte ligt onder vuur. Niemand is dus veilig of oninteressant voor hackers, zoals wel eens onterecht geopperd wordt. Sterker nog: vroeg of laat wordt u sowieso het voorwerp van een aanval, de vraag is enkel wanneer het uw beurt is. Het is dus zaak om uw bedrijf voldoende te wapenen en het gezegde ‘een ketting is maar zo sterk als zijn zwakste schakel’ is hier helaas van toepassing.

cs2
Cyberdreigingen worden niet alleen frequenter, het aantal aanvaltypes diversifieert ook voortdurend

 

De gevolgen van een cyberaanval zijn vaak even ingrijpend als divers: verlies van data, productiestilstand- en verlies, potentiële klanten verdwijnen, overnames kunnen op de helling staan er is de imagoschade. Tot slot kunnen er zelfs boetes opgelegd worden als blijkt dat u niet genoeg deed om gegevensverlies te voorkomen en als gevoelige data zoals persoonsgegevens buitgemaakt werden.

Meerdere gevarentypes

We zouden hieronder een opsomming kunnen geven over alle mogelijke gevarentypes die er rondsluipen, maar dat belichtten we al eerder uitvoerig. We zullen ons hier beperken tot het grootste, overkoepelende gevaar: een passieve houding. Die passieve houding kan zich manifesteren op meerdere vlakken: zowel op organisatorisch vlak of bij de werknemers. Op organisatorisch vlak denken we dan bijvoorbeeld aan het verkeerdelijk inschatten van de risico’s. Al te vaak zien we nog een goed uitgekiend IT beleid, maar ontbreekt de wil en de ‘sense of urgency’ om ook het cybersecuritybeleid daarin een prominente plaats te geven. We willen in elk geval de IT-verantwoordelijken niet te eten geven die het wat cyberveiligheid betreft gewoon met hun standaard IT budget moeten zien te rooien, want ‘het is toch ook met computers’.

cs5
Het budget voor cyberdreigingen is vaak niet toegespitst op de effectieve dreiging

 

Te grote fixatie op de bekende gevaren is een volgende vorm van passiviteit. Investeren in een gloednieuwe firewall, maar geen e-mailpolicy voor werknemers of toegangsprocedure voor externen is een goed voorbeeld hiervan. Om het met een voetbalvoorbeeld te duiden: Lukaku en Messi kopen om je aanval te bevolken is nutteloos als je eigen doelman schot na schot door zijn vingers laat glippen.

Ook op de lauweren rusten is niet aan te raden want cybergevaren evolueren zeer snel. Om bij de voetbaltermen te blijven: Vandaag Messi kopen is wellicht nog een goed idee, maar binnen 6-7 jaar is dat een heel ander verhaal.

Nu we toch bij de spelers op het terrein gekomen zijn, kunnen we moeiteloos overschakelen naar de achilleshiel van de cybersecurity: de mens. Zelfs al is het beschermingssysteem zeer goed uitgekiend en robuust, dan nog blijft de mens over als zwakste schakel. Dat is geen toeval, want de technologie die onze systemen beschermt, wordt steeds performanter. Het wordt m.a.w. moeilijker voor hackers om de systemen binnen te raken zonder hulp of het uitbuiten van menselijk falen.

cs6
De opvolging van fysieke toegangsrechten is één van de mogelijke achterpoortjes

 

Een eerste voorbeeld: pakweg dertig jaar geleden waren communicatieprotocollen als Profibus en Modbus helemaal niet ontworpen om informatie buiten de bedrijfsmuren te delen. Vandaag is dat wel het geval, omdat de ondertussen grotendeels ethernetgebaseerde protocollen nu gebruik maken van - o.a. - authenticatie.

Een tweede voorbeeld: de firewalls. Vroeger werkten die volgens het ja/nee principe: ofwel raakte communicatie erdoor, ofwel helemaal niet. Later zou die beslissing meer toegespitst worden op de gebruiker op dat moment. Vandaag bevatten firewalls een hele rits aan subbeschermingen zoals

  • intrusion prevention (ongewenste toegang door derden),
  • anti-virus,
  • SSL-controle (op certificaten van websites)
  • sandboxing (binnenkomende data eerst in quarantaine plaatsen en simuleren wat hun impact is op het systeem).
cs7
Een SSL-controle zal de certificaten van websites controleren

 

cs8
Bij sandboxing worden inkomende datapakketten eerst virtueel gesimuleerd voor ze effectief ingezet worden

 

De systemen om onze installaties te beschermen zijn dus wel geëvolueerd, maar de vraag rest hoe we de mensen op de werkvloer het best kunnen sensibiliseren om het bedrijf te wapenen tegen aanvallen.

De aanvallen waarin werknemers betrokken worden kunnen zeer divers zijn en ‘social engineering’ is hierbij een groot gevaar. Via deze weg probeert de aanvaller zich voor te doen als iemand anders. De ‘baas’ die via een perfect nagemaakte nepmail aan de boekhouding vraagt om een som over te schrijven is een bekend voorbeeld. Helaas worden deze technieken steeds geavanceerder en is de tijd van de gekunstelde nepberichten van Nigeriaanse prinsen verleden tijd. Hackers spitten echt het doen en laten na van hun targets, ze imiteren de e-mailstijl, -opmaak en tijdstip van versturen van de echte baas, voegen er desnoods een wat dreigende ondertoon aan toe (‘ik moet dit dringend hebben anders verlies ik deze klant’) en kiezen bewust de zwakste schakels uit de ketting er uit (nieuwe medewerkers, oudere medewerkers die minder IT-kennis hebben). Social engineering is een techniek met veel tentakels. Het bekende phishing - via e-mail gegevens proberen buit te maken - is slechts één van die tentakels. Andere vormen zijn o.a. telefoontjes, sms’en, sociale media of nepnieuws.

cs3
De persoonlijke laptops, netwerken en software beschikken meestal niet over hetzelfde beveiligingsniveau als de toestellen in het bedrijf

 

Ook COVID-19 blijkt goudmijn voor hackers

Het thuiswerken opent helaas verder de spreekwoordelijke deuren voor aanvallen. Daar zijn meerdere redenen voor te vinden. De meest voor de hand liggende is de infrastructuur: De persoonlijke laptops, netwerken en software beschikken meestal niet over hetzelfde beveiligingsniveau als de toestellen in het bedrijf. Maar ook de grotere druk op de werknemers valt niet te onderschatten. Er heerst nervositeit bij het management door de onzekerheid over de toekomst en die druk sijpelt ongewild door naar de gelederen daaronder. Bovendien doet het alleen werken ook de sociale interactie met collega’s voor een groot deel wegvallen. Een vlugge ‘fysieke’ navraag bij een collega (‘heb jij ook die mail gekregen?’) is er niet meer bij. Bovendien leidt thuiswerk ook tot minder interactie tussen de verschillende afdelingen. Het werk wordt binnen de schotten van de afdelingen wel goed geregeld, maar taken die de afdelingen overschrijden worden veel minder goed opgevolgd en uitgevoerd. Daar komt nog bij dat mensen die thuiswerken veel minder gebonden zijn aan het 9-to-5-stramien. Als iemand in een bedrijf tijdens de werkdag om 9 uur een fout maakt, is er een grote kans dat deze snel opgemerkt wordt. Als een thuiswerkende medewerker op zaterdagmorgen diezelfde fout maakt, kan het kwaad zich veel langer manifesteren voor actie kan ondernomen worden.

cs4
Als een thuiswerkende werknemer op zaterdagmorgen een cyberfout veroorzaakt, duurt het vaak tot maandagmorgen voor het ontdekt wordt

 

Hoe aanpakken?

Opleiding/awareness

Zwakke wachtwoorden blijven focus nummer 1. Zelfs bij bedrijven die een inlogpolicy hebben waarbij geregeld verplicht moet veranderd worden van wachtwoord, blijkt zich een soort van ‘wachtwoordluiheid’ te manifesteren. Sommige wachtwoorden keren terug in een loop en als ook daar perk en paal gesteld wordt, schakelt men over op een eenvoudig te kraken nummering (Barcelona0 wordt Barcelona1, dan Barcelona2 en zo verder). Wachtwoordgebruik moet ontmoedigd worden ten voordele van wachtwoordzinnen en multifactorauthenticatie. Naast wachtwoordhygiëne is het ook absoluut nodig om het personeel voortdurend op te leiden en bewust te maken van alle mogelijke gevaren.

Online bruggen bouwen

We haalden al aan dat de schotten tussen afdelingen tijdens thuiswerkperiodes te groot zijn. Er moet absoluut overleg gepland worden tussen alle afdelingen om dit te voorkomen. Denk er ook aan om een online hotline op te richten die meteen vragen van medewerkers kan beantwoorden.

Zelfde beschermingsmiddelen geven als op bedrijf

Weet u met welke toestellen uw medewerkers inloggen op het bedrijfsnetwerk? Weet u hoe die toestellen beschermd worden? Dit is een moeilijke evenwichtsoefening, omdat vaak onduidelijk is wat u als bedrijf kan en mag eisen van uw medewerkers. De regel is eenvoudig: wil u zeker zijn, geef ze dan een bedrijfstoestel mee. Dan kan u zelf bepalen hoe zaken als backups, firewall, antivirus en antispam geregeld worden. Is dat onmogelijk, dan zal u vooral de toegang tot het eigen netwerk moeten versterken. U kan tenslotte nooit 100% zeker weten met welk toestel er exact verbinding gemaakt wordt met het netwerk en wat dat toestel aan boord heeft van beveiliging.

Zelfde strenge voorwaarden als op bedrijf

Belangrijk is dat de technologie die uw personeel gebruikt de nodige updates krijgt die in een normale bedrijfssetting ook zouden gebeuren, zoals de recentste versie van besturingssystemen, software en apps. Als werknemers persoonlijke apparaten gebruiken kan dit betekenen dat ze automatisch updaten moeten inschakelen. Ook aan het aansluiten van externe apparatuur op hun toestel legt u best de beperkingen uit, we denken dan voornamelijk aan USB-gebruik.

cs9
De structuur van een DDoS aanval. Bemerk dat de menselijke factor hier sterk aanwezig is als potentieel doorgeefluik via e-mail, USB en bezoek van onveilige websites

 

Brengt verzekering soelaas?

Omdat een 100% beveiliging tegen cyberaanvallen onmogelijk is, zien we dat verzekeringen tegen deze vorm van criminaliteit in de lift zitten. Er kan afhankelijk van de polis een tegemoetkoming bekomen worden voor volgende zaken:

  • Bedrijfsschade te wijten aan de (gedeeltelijke) ontoegankelijkheid van het netwerk van het bedrijf
  • De kosten gemaakt voor het onderzoek door derden
  • De kosten voor de crisiscommunicatie
  • Eventuele schadevergoedingen aan derden en overheden voor inbreuken op persoonsgegevens en/of aan klanten voor aantasting van hun data
  • Herstelkosten

Maar let wel: er zijn altijd voorwaarden verbonden aan de uitbetaling, net zoals dat het geval is bij een brand- of autoverzekering. Zo kan het dat de maatschappij de aanstelling van een eigen consulent eist. Bovendien is het soms niet helemaal duidelijk of ook betaalde afpersingsbedragen terugbetaald worden en onder welke omstandigheden dat gebeurt. Ook voor diefstal van geld -bijvoorbeeld omdat de hackers toegang verschaften tot de bankrekening- worden er veelal limieten vooropgesteld. 

QUASI ONMOGELIJK OM TEGEN TE BESCHERMEN: DE 'INSIDER ATTACK'
Er is nog een extra aandachtspunt dat recent meer aandacht kreeg: de ‘insider attack’, waarbij malafide organisaties toegang krijgen via het omkopen van personeel. Iets uit een slechte spionagefilm? Helaas niet. Er is het verhaal van een personeelslid van Tesla, die een aanbod van 1 miljoen dollar afwees om malware te installeren in het bedrijf. Helaas blijkt deze manier van werken aan een zeer steile opgang bezig - vooral in hoogtechnologische bedrijven - omdat quasi geen enkele van de opgenoemde beschermingen hier tegen opgewassen zijn. Enkel een grondige doorlichting bij de aanwerving en een goed uitgekiend beleid rond toegangsrechten kan hier enig verweer bieden.

 

Proef ons gratis!Word één maand gratis premium partner en ontdek alle unieke voordelen die wij u te bieden hebben.
  • checkwekelijkse newsletter met nieuws uit uw vakbranche
  • checkdigitale toegang tot 35 vakbladen en financiële sectoroverzichten
  • checkuw bedrijfsnieuws op een selectie van vakwebsites
  • checkmaximale zichtbaarheid voor uw bedrijf
Heeft u al een abonnement? Klik hier om aan te melden
Registreer je gratis

Al geregistreerd of abonnee?Klik hier om aan te melden

Registreer voor onze nieuwsbrief en behoud de mogelijkheid om op elk moment af te melden. Wij garanderen privacy en gebruiken uw gegevens uitsluitend voor nieuwsbriefdoeleinden.
Geschreven door Sammy Soetaert

Meer weten over

cybersecurity software
ALUMINIUM 2024Save the date en koop een ticket voor ALUMINIUM – het platform voor de industrie!Meer infochevron_right

Gerelateerde artikels

Cybersecurity op de helling door internet of things

Cybersecurity is meer dan ooit een belangrijk issue, nu onze toestellen steeds vaker met elkaar verbonden worden. maar daar loopt het vaak verkeerd. de grootste fout? denken dat het u niet kan overkomen. hackers zitten overal, hun beweegredenen zijn zeer divers en de schade die ze kunnen aanrichten, is enorm. beschermen is dus de boodschap, maar dat moet veel verder gaan dan een virusscanner en een firewall.

8 gouden antihackingtips

Cybersecurity is meer dan ooit een belangrijk issue, nu onze toestellen steeds vaker met elkaar verbonden worden. beschermen is de boodschap, en daarbij kunnen deze antihackingtips alvast helpen.

Inbraakwerendheid pvc

Om te weten of een pvc-raamprofiel inbraakwerend is, kijkt u naar het veiligheidscertificaat dat de producent meelevert. welke certificaten kunnen dat zijn, en wat houden ze in? en hoe worden ze getest?

Bescherm uw bedrijf tegen cyberaanvallen en doe het nu!

In een eerdere editie van ons magazine wezen we in deze rubriek al op de dringende nood aan meer bewustwording en -making rond cybercrime. enkele recente voorvallen bewijzen dat het geen holle woorden waren. miljoenenverliezen dreigen voor degenen die zich laten vangen!

Print Magazine

Recente Editie

Nu lezen

Ontdek de nieuwste editie van ons magazine, boordevol inspirerende artikelen, diepgaande inzichten en prachtige visuals. Laat je meenemen op een reis door de meest actuele onderwerpen en verhalen die je niet wilt missen.

In dit magazine