Hoe zet je een goed cybersecuritybeleid op? Sándor Incze, CISO bij CM.com, legt stap voor stap uit wat hij gedaan heeft om CM.com tegen cybercriminelen te beschermen. “Het gaat niet om één of enkele goede maatregelen”, zegt hij. “Het gaat om het geheel.”

Sándor vergelijkt cybersecurity met het computerspel bubble shooter dat in de jaren ’90 populair was. Dit spel bestaat uit een veld met gekleurde ballen. Als speler heb je de mogelijkheid om telkens een andere kleur ballen weg te schieten.

“Zo werkt het ook met cybersecurity”, legt Sándor uit. “Iedereen wordt continu op een andere manier aangevallen. Als je dat niet ziet, dan kijk je mogelijk niet goed genoeg. Ook bij CM.com zien we deze aanvallen voorbij komen. Daarom hebben we een heel pakket aan mitigerende maatregelen nodig om tegen al die bedreigingen beschermd te zijn.”

Kun je allereerst uitleggen wat CM.com voor bedrijf is? Wat doen jullie?

“CM.com biedt cloud software waarmee bedrijven hun klantervaring verbeteren. Met ons communicatie- en betalingsplatform kunnen zij het contact met klanten via mobiele kanalen automatiseren en personaliseren. Onze software wordt bijvoorbeeld gebruikt door evenementorganisaties voor de kaartverkoop en om in contact te zijn met fans of bezoekers, zoals bij voetbalwedstrijden en de Formula 1 Heineken Dutch Grand Prix. We verzorgen het hele traject: van de kaartverkoop tot aan de QR-code die bij de ingang wordt gescand en het contact tussendoor via een chatbot of WhatsApp. Ook het bestellen en betalen van drankjes op de locatie kan, met onze software, allemaal via de mobiele telefoon. CM.com is in 1999 opgericht in Breda. Inmiddels zitten we in ruim 20 landen en hebben we wereldwijd ruim 800 medewerkers.”

Waar begint voor jou een goed cybersecuritybeleid?

“Een cybersecuritybeleid heeft geen begin en einde. Alle maatregelen die we nemen zijn even belangrijk. Maar laten we voor het gemak beginnen bij de gebruikers, dus de medewerkers van ons bedrijf.  Het is belangrijk dat de medewerkers weten wat zij kunnen doen om cybercriminelen buiten de deur te houden. Niet alleen op het werk, maar ook thuis en bij familie en vrienden. Daarom krijgen alle medewerkers (van de receptionisten tot de directieleden) elke maand een verplichte e-learning over security awareness aangeboden. We behandelen daarin telkens een ander thema, zodat zij een goede basiskennis krijgen. De medewerkers worden zo onze eerste ‘human’firewall. Als softwarebedrijf hebben we natuurlijk ook veel ontwikkelaars in dienst. Voor hen worden aanvullende trainingen georganiseerd. Hierin wordt bijvoorbeeld uitgelegd hoe ze veilige software kunnen blijven ontwikkelen.”

Wat is stap 2?

“De computers waar de medewerkers mee werken. We doen er alles aan om dat zo veilig mogelijk te maken. Alle computers worden beschermd met endpoint protection, daar kun je eigenlijk niet meer omheen in deze tijd. Diverse leveranciers bieden dit aan. Bovendien worden alle computers, vanuit onze centrale ICT-afdeling, gepatcht (bijgewerkt, ge-update). De gebruikers hebben daar eigenlijk geen omkijken naar. Ze zien alleen op hun beeldscherm staan dat het systeem aan het updaten is. Dit patchen gaat in een hoog tempo. Zodra er een nieuwe kwetsbaarheid bekend wordt, worden de betrokken systemen gepatcht.”

En wat is stap 3?

“Het e-mailverkeer. E-mails kunnen gevaarlijke berichten bevatten, daarom worden deze gescand. Voor de diepgravers dien je ook na te denken over datalekken via het uitgaande e-mailverkeer en daar passende maatregelen voor te nemen, zoals het tonen van een bevestiging pop-up in specifieke situaties. E-mails kunnen ook Word- en Exceldocumenten met macro’s bevatten. Met zo’n macro download het programma automatisch gegevens van het internet. Mijn advies is om het gebruik van macro’s standaard niet toe te staan.”

Ondanks deze maatregelen zullen cybercriminelen toch proberen om jullie systemen binnen te dringen. Hoe houden jullie hen zo goed mogelijk tegen?

“We hebben daarvoor een Security Operations Centre (SOC) ingericht. In het SOC zien we vanuit welke locatie een gebruiker probeert in te loggen en wat hij aan het doen is.”

Mochten cybercriminelen toch jullie systemen binnendringen, hoe zorgen jullie er dan voor dat zij zo weinig mogelijk schade aanrichten?

“Iedereen die al wat langer meeloopt in de wereld van netwerken en security, weet dat je je netwerk moet opdelen in kleinere stukken (segmenteren), zodat de schade bij een incident beperkt blijft tot dat segment. Wil je het nog een stap verder trekken, dan kun je gaan denken aan het toepassen van Zero Trust Access. Dit wil zeggen dat het hele netwerk in principe voor iedereen gesloten is. De gebruikers krijgen alleen nog maar toegang tot de tools die zij voor hun werk nodig hebben. Je krijgt dus toegang tot applicaties en niet tot een netwerk. Dit is wel een andere manier van denken, merk ik.”

Zijn er meer maatregelen waarmee je de schade bij een aanval kunt beperken?

“Zeker. Denk ook aan een goed beleid rondom het stapelen van autorisaties. Medewerkers die lang bij een bedrijf werken, krijgen vaak steeds meer autorisaties. Telkens als zij een andere functie krijgen, komen er weer autorisaties bij. Daardoor krijgen medewerkers vaak toegang tot een groot gedeelte van het netwerk. Iets wat je absoluut wilt voorkomen. Zero Trust Access gekoppeld aan je profiel in bijvoorbeeld de Active Directory kan daarbij helpen.”

Hoe test je of jullie cybersecurity op orde is?

“Dat doen we met pentesting. Zoals vele bedrijven hebben we een (publiek) bug bounty programma. Dit is een programma waarbij ethische hackers proberen om kwetsbaarheden (bugs) op te sporen in onze systemen. Zij krijgen betaald voor elke kwetsbaarheid die ze vinden. In het begin levert zo’n programma veel op. Na verloop van tijd wordt het steeds moeilijker om nog iets te vinden. Zij dragen nu dus minder kwetsbaarheden aan dan in het begin. Toch blijft het belangrijk dat zij dit werk doen, want elke kwetsbaarheid is er één teveel. Het geeft ook een morele boost aan de developers. De kwaliteit van hun werk is zichtbaar omhoog gegaan. Daarnaast werken we samen met externe bureaus waaronder digiweerbaar.nl. Zij voeren minimaal twee keer per jaar een onafhankelijke pentest voor ons uit. Het voordeel van een extern bureau is dat je hen in specifieke gevallen een aanvullende toegang kunt geven zodat ze dieper in het systeem kunnen doortesten. Bovendien hebben ethische hackers soms de neiging om zich te focussen op de applicaties waar zij de meeste kwetsbaarheden verwachten. Een extern bureau kunnen we vragen om de applicaties te testen waar de ethische hackers minder aandacht voor hebben.”

Heb je een tip voor bedrijven die met pentesting aan de slag gaan?

“Laat ook eens een pentester in-house plaatsnemen als een soort insider threat en hem uitzoeken wat hij kan vinden met een regulier medewerkers-account.”

Daarnaast maken jullie natuurlijk back-ups. Wat vind je daarin belangrijk?

“Dat de gegevens offline opgeslagen zijn. Daarmee voorkomen we dat cybercriminelen tijdens een aanval ook de back-ups aantasten. Daarnaast vind ik het belangrijk om regelmatig te testen of het lukt om de back-ups terug te zetten.”

Welk advies zou je andere bedrijven geven als het gaat om het maken van back-ups?

“Bepaal per systeem wat de beste back-upstrategie is. Om een voorbeeld te geven: bij een computer zit een virus vaak in het besturingssysteem en niet direct in de data (denk aan een database). Dus als je een back-up maakt van het hele systeem, neem je ook het virus daarin mee. Bij een database kun je er ook voor kiezen om alleen de data uit de database te back-uppen en niet het hele systeem. Na een incident kun je dan het systeem vaak eenvoudiger herstellen.”

Kun je nog meer maatregelen noemen die jullie genomen hebben tegen cybercriminaliteit?

“Zeker. We hebben bijvoorbeeld maatregelen genomen om ons te weren tegen het grote, boze internet. Hiervoor hebben we een Network Operations Centre (NOC) ingericht. Zij grijpen in als ze zien dat we vanaf het internet worden aangevallen en er mogelijke operationele verstoringen dreigen. Ook werken we samen met partijen die ons kunnen beschermen tegen DDOS-aanvallen. Bij een DDOS-aanval krijgen we veel verzoeken op ons systeem binnen. Daar zit natuurlijk ook onschuldig internetverkeer bij. Een partij die helpt bij DDOS-aanvallen zal het verkeer eerst ‘schoon wassen’ waardoor je schoner verkeer terug krijgt en waardoor je eigen systemen niet onderuit gaan.”

Welke tips heb je nog meer als het om dit onderwerp gaat?

“Let ook op het gebruik en onderhoud van beveiligingscertificaten. Dat is het groene slotje dat gebruikers voor elk webadres zien. Als je dit proces op orde hebt, zorg je altijd voor een beveiligde en dus veiligere verbinding tussen jou en je klant. Veel bedrijven nemen bovendien allerlei clouddiensten af van andere bedrijven. Mijn advies is om te zorgen dat het gebruikersbeheer van die externe clouddiensten ook centraal wordt geregeld en wordt bijgehouden bijvoorbeeld met Single sign-on (SSO). Dit betekent dat wij als bedrijf een account voor een medewerker aanmaken. Dit account komt automatisch te vervallen als zij uit dienst gaan.”

Je hebt een groot pakket aan maatregelen genomen om CM.com te beschermen. In hoeverre is de directie betrokken bij de keuzes die je maakt?

“De directie is zeer betrokken. Ik heb elke 3 weken een gesprek met onze CEO. Het voordeel is dat hij technisch ook zeer onderlegd is. Ik vind zo’n gesprek belangrijk om ook uit te kunnen leggen welke nieuwe bedreigingen we zien en welke maatregelen we daartegen kunnen nemen. Bovendien heb ik het geluk dat onze directie cybersecurity erg belangrijk vindt. Daardoor krijgen ik en mijn team de ruimte en het budget om de maatregelen te nemen die nodig zijn om het bedrijf goed te beschermen.”

Er zijn natuurlijk ook bedrijven die minder budget vrijmaken voor cybersecurity. Welk advies zou je hen willen geven?

“Zorg in ieder geval dat je de basis op orde hebt, zoals endpoint protection, het maken van back-ups en het regelmatig patchen van je systemen. Begin ook met een gratis web application firewall van bijvoorbeeld Cloudflare. Het maakt cybercriminelen over het algemeen niets uit welke diensten je aanbiedt. Ze hacken de organisaties waar ze het gemakkelijkste binnen komen. Dus als je de basis op orde hebt (vergelijk het met een woning en het hang- en sluitwerk), dan is het vaak al lastiger om bij jou binnen te komen en gaan ze het mogelijk bij de buren proberen.”

Bron: decrisismanager.nl | Maaike Tindemans

Bekijk alle vormen en begrippen

Actuele aanvallen overzicht per dag

Ernstige kwetsbaarheden

Inschrijven voor wekelijkse nieuwsbrief

Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met de politie. Telefonisch via het nummer 0900-8844 of online via het meld formulier. Uiteraard kunt u daarnaast ook tips melden bij Cybercrimeinfo.

Meer actueel cybercrime nieuws