Gelekte informatie zorgt voor veel onrust. Neem als voorbeeld de recent gepubliceerde stukken voor Prinsjesdag, die ook vorige jaren vroegtijdig werden gelekt. En vorige nog week was er ophef over foto’s die uit de iCloud werden gestolen. Door zwakheden in de ICT-beveiliging én onvoldoende risicobewustzijn van mensen kan gevoelige informatie op straat komen te liggen. Met als gevolg grote schade voor het imago en financiële verliezen.
Hoffmann Bedrijfsrecherche: “Bij drie van de vier uitgevoerde ICT-beveiligingstests kunnen wij via het internet de ICT-infrastructuur van de opdrachtgever binnendringen, doordat de beveiliging niet op orde is.” De vijf meest voorkomende beveiligingszwakheden van de ICT zijn:
1 Voorspelbare wachtwoorden gebruiken.
Binnen bedrijven worden vaak de fabrieksinstellingen gebruikt. Het wachtwoord staat dan gewoon in de handleiding! Als er wel een wachtwoordbeleid is, kiezen medewerkers vaak voor ‘Wachtwoord1!’ of een variant daarop, hetgeen voor de hand liggend is. Cybercriminelen hebben een lijst met veelgebruikte wachtwoorden.
2 Ongebruikte servers met het internet verbonden laten.
Afgeschreven servers of testservers zijn vaak nog aan het internet verbonden. Naar de beveiliging ervan kijkt niemand meer om. Via deze servers kunnen cybercriminelen de ICT-infrastructuur van het bedrijf binnendringen.
3 Gegevens onvoldoende afschermen.
Veel websites hebben zwakke plekken. Cybercriminelen kunnen dan zonder in te loggen via de website op de achterliggende ICT-infrastructuur komen. Ook hebben medewerkers binnen de ICT soms functionaliteiten waarvan ze helemaal geen gebruik mogen maken. Denk aan een gewone gebruiker die van andere gebruikers het wachtwoord mag veranderen.
4 Oude bestanden niet opruimen.
Back-upbestanden van databases, broncodes en andere waardevolle informatie kunnen soms eenvoudigweg gedownload worden van een server. Dat komt doordat op het eerste gezicht onschuldige zaken, zoals een oude inlogpagina, niet worden ‘opgeruimd’.
5 Geen protocollen gebruiken.
Medewerkers verspreiden soms zonder het te weten belangrijke informatie. Bijvoorbeeld via social media. Protocollen voor het gebruik van zaken als social media zijn belangrijk voor de beveiliging van de ICT.
Organisaties hebben vaak niet genoeg inzicht in de eigen IT-infrastructuur en ze hebben te weinig weet van de risico’s die ze lopen. Veel organisaties hebben het daarbij helemaal niet door als ze gehackt zijn. Hebben ze dat wel, dan zijn ze meestal niet voorbereid op zo’n situatie en gaat er veel mis in de opvolging van het incident. Hoffmann verricht jaarlijks veel ICT-beveiligingstests, waarmee bedrijven inzicht krijgen in hun ICT-beveiliging.