“Het gaat niet om één of enkele goede maatregelen, het gaat om het geheel”

Gepubliceerd op 10 februari 2022 om 07:00

Hoe zet je een goed cybersecuritybeleid op? Sándor Incze, CISO bij CM.com, legt stap voor stap uit wat hij gedaan heeft om CM.com tegen cybercriminelen te beschermen. “Het gaat niet om één of enkele goede maatregelen”, zegt hij. “Het gaat om het geheel.”

Sándor vergelijkt cybersecurity met het computerspel bubble shooter dat in de jaren ’90 populair was. Dit spel bestaat uit een veld met gekleurde ballen. Als speler heb je de mogelijkheid om telkens een andere kleur ballen weg te schieten.

“Zo werkt het ook met cybersecurity”, legt Sándor uit. “Iedereen wordt continu op een andere manier aangevallen. Als je dat niet ziet, dan kijk je mogelijk niet goed genoeg. Ook bij CM.com zien we deze aanvallen voorbij komen. Daarom hebben we een heel pakket aan mitigerende maatregelen nodig om tegen al die bedreigingen beschermd te zijn.”

Kun je allereerst uitleggen wat CM.com voor bedrijf is? Wat doen jullie?

“CM.com biedt cloud software waarmee bedrijven hun klantervaring verbeteren. Met ons communicatie- en betalingsplatform kunnen zij het contact met klanten via mobiele kanalen automatiseren en personaliseren. Onze software wordt bijvoorbeeld gebruikt door evenementorganisaties voor de kaartverkoop en om in contact te zijn met fans of bezoekers, zoals bij voetbalwedstrijden en de Formula 1 Heineken Dutch Grand Prix. We verzorgen het hele traject: van de kaartverkoop tot aan de QR-code die bij de ingang wordt gescand en het contact tussendoor via een chatbot of WhatsApp. Ook het bestellen en betalen van drankjes op de locatie kan, met onze software, allemaal via de mobiele telefoon. CM.com is in 1999 opgericht in Breda. Inmiddels zitten we in ruim 20 landen en hebben we wereldwijd ruim 800 medewerkers.”

Waar begint voor jou een goed cybersecuritybeleid?

“Een cybersecuritybeleid heeft geen begin en einde. Alle maatregelen die we nemen zijn even belangrijk. Maar laten we voor het gemak beginnen bij de gebruikers, dus de medewerkers van ons bedrijf.  Het is belangrijk dat de medewerkers weten wat zij kunnen doen om cybercriminelen buiten de deur te houden. Niet alleen op het werk, maar ook thuis en bij familie en vrienden. Daarom krijgen alle medewerkers (van de receptionisten tot de directieleden) elke maand een verplichte e-learning over security awareness aangeboden. We behandelen daarin telkens een ander thema, zodat zij een goede basiskennis krijgen. De medewerkers worden zo onze eerste ‘human’firewall. Als softwarebedrijf hebben we natuurlijk ook veel ontwikkelaars in dienst. Voor hen worden aanvullende trainingen georganiseerd. Hierin wordt bijvoorbeeld uitgelegd hoe ze veilige software kunnen blijven ontwikkelen.”

Wat is stap 2?

“De computers waar de medewerkers mee werken. We doen er alles aan om dat zo veilig mogelijk te maken. Alle computers worden beschermd met endpoint protection, daar kun je eigenlijk niet meer omheen in deze tijd. Diverse leveranciers bieden dit aan. Bovendien worden alle computers, vanuit onze centrale ICT-afdeling, gepatcht (bijgewerkt, ge-update). De gebruikers hebben daar eigenlijk geen omkijken naar. Ze zien alleen op hun beeldscherm staan dat het systeem aan het updaten is. Dit patchen gaat in een hoog tempo. Zodra er een nieuwe kwetsbaarheid bekend wordt, worden de betrokken systemen gepatcht.”

En wat is stap 3?

“Het e-mailverkeer. E-mails kunnen gevaarlijke berichten bevatten, daarom worden deze gescand. Voor de diepgravers dien je ook na te denken over datalekken via het uitgaande e-mailverkeer en daar passende maatregelen voor te nemen, zoals het tonen van een bevestiging pop-up in specifieke situaties. E-mails kunnen ook Word- en Exceldocumenten met macro’s bevatten. Met zo’n macro download het programma automatisch gegevens van het internet. Mijn advies is om het gebruik van macro’s standaard niet toe te staan.”

Ondanks deze maatregelen zullen cybercriminelen toch proberen om jullie systemen binnen te dringen. Hoe houden jullie hen zo goed mogelijk tegen?

“We hebben daarvoor een Security Operations Centre (SOC) ingericht. In het SOC zien we vanuit welke locatie een gebruiker probeert in te loggen en wat hij aan het doen is.”

Mochten cybercriminelen toch jullie systemen binnendringen, hoe zorgen jullie er dan voor dat zij zo weinig mogelijk schade aanrichten?

“Iedereen die al wat langer meeloopt in de wereld van netwerken en security, weet dat je je netwerk moet opdelen in kleinere stukken (segmenteren), zodat de schade bij een incident beperkt blijft tot dat segment. Wil je het nog een stap verder trekken, dan kun je gaan denken aan het toepassen van Zero Trust Access. Dit wil zeggen dat het hele netwerk in principe voor iedereen gesloten is. De gebruikers krijgen alleen nog maar toegang tot de tools die zij voor hun werk nodig hebben. Je krijgt dus toegang tot applicaties en niet tot een netwerk. Dit is wel een andere manier van denken, merk ik.”

Zijn er meer maatregelen waarmee je de schade bij een aanval kunt beperken?

“Zeker. Denk ook aan een goed beleid rondom het stapelen van autorisaties. Medewerkers die lang bij een bedrijf werken, krijgen vaak steeds meer autorisaties. Telkens als zij een andere functie krijgen, komen er weer autorisaties bij. Daardoor krijgen medewerkers vaak toegang tot een groot gedeelte van het netwerk. Iets wat je absoluut wilt voorkomen. Zero Trust Access gekoppeld aan je profiel in bijvoorbeeld de Active Directory kan daarbij helpen.”

Hoe test je of jullie cybersecurity op orde is?

“Dat doen we met pentesting. Zoals vele bedrijven hebben we een (publiek) bug bounty programma. Dit is een programma waarbij ethische hackers proberen om kwetsbaarheden (bugs) op te sporen in onze systemen. Zij krijgen betaald voor elke kwetsbaarheid die ze vinden. In het begin levert zo’n programma veel op. Na verloop van tijd wordt het steeds moeilijker om nog iets te vinden. Zij dragen nu dus minder kwetsbaarheden aan dan in het begin. Toch blijft het belangrijk dat zij dit werk doen, want elke kwetsbaarheid is er één teveel. Het geeft ook een morele boost aan de developers. De kwaliteit van hun werk is zichtbaar omhoog gegaan. Daarnaast werken we samen met externe bureaus waaronder digiweerbaar.nl. Zij voeren minimaal twee keer per jaar een onafhankelijke pentest voor ons uit. Het voordeel van een extern bureau is dat je hen in specifieke gevallen een aanvullende toegang kunt geven zodat ze dieper in het systeem kunnen doortesten. Bovendien hebben ethische hackers soms de neiging om zich te focussen op de applicaties waar zij de meeste kwetsbaarheden verwachten. Een extern bureau kunnen we vragen om de applicaties te testen waar de ethische hackers minder aandacht voor hebben.”

Heb je een tip voor bedrijven die met pentesting aan de slag gaan?

“Laat ook eens een pentester in-house plaatsnemen als een soort insider threat en hem uitzoeken wat hij kan vinden met een regulier medewerkers-account.”

Daarnaast maken jullie natuurlijk back-ups. Wat vind je daarin belangrijk?

“Dat de gegevens offline opgeslagen zijn. Daarmee voorkomen we dat cybercriminelen tijdens een aanval ook de back-ups aantasten. Daarnaast vind ik het belangrijk om regelmatig te testen of het lukt om de back-ups terug te zetten.”

Welk advies zou je andere bedrijven geven als het gaat om het maken van back-ups?

“Bepaal per systeem wat de beste back-upstrategie is. Om een voorbeeld te geven: bij een computer zit een virus vaak in het besturingssysteem en niet direct in de data (denk aan een database). Dus als je een back-up maakt van het hele systeem, neem je ook het virus daarin mee. Bij een database kun je er ook voor kiezen om alleen de data uit de database te back-uppen en niet het hele systeem. Na een incident kun je dan het systeem vaak eenvoudiger herstellen.”

Kun je nog meer maatregelen noemen die jullie genomen hebben tegen cybercriminaliteit?

“Zeker. We hebben bijvoorbeeld maatregelen genomen om ons te weren tegen het grote, boze internet. Hiervoor hebben we een Network Operations Centre (NOC) ingericht. Zij grijpen in als ze zien dat we vanaf het internet worden aangevallen en er mogelijke operationele verstoringen dreigen. Ook werken we samen met partijen die ons kunnen beschermen tegen DDOS-aanvallen. Bij een DDOS-aanval krijgen we veel verzoeken op ons systeem binnen. Daar zit natuurlijk ook onschuldig internetverkeer bij. Een partij die helpt bij DDOS-aanvallen zal het verkeer eerst ‘schoon wassen’ waardoor je schoner verkeer terug krijgt en waardoor je eigen systemen niet onderuit gaan.”

Welke tips heb je nog meer als het om dit onderwerp gaat?

“Let ook op het gebruik en onderhoud van beveiligingscertificaten. Dat is het groene slotje dat gebruikers voor elk webadres zien. Als je dit proces op orde hebt, zorg je altijd voor een beveiligde en dus veiligere verbinding tussen jou en je klant. Veel bedrijven nemen bovendien allerlei clouddiensten af van andere bedrijven. Mijn advies is om te zorgen dat het gebruikersbeheer van die externe clouddiensten ook centraal wordt geregeld en wordt bijgehouden bijvoorbeeld met Single sign-on (SSO). Dit betekent dat wij als bedrijf een account voor een medewerker aanmaken. Dit account komt automatisch te vervallen als zij uit dienst gaan.”

Je hebt een groot pakket aan maatregelen genomen om CM.com te beschermen. In hoeverre is de directie betrokken bij de keuzes die je maakt?

“De directie is zeer betrokken. Ik heb elke 3 weken een gesprek met onze CEO. Het voordeel is dat hij technisch ook zeer onderlegd is. Ik vind zo’n gesprek belangrijk om ook uit te kunnen leggen welke nieuwe bedreigingen we zien en welke maatregelen we daartegen kunnen nemen. Bovendien heb ik het geluk dat onze directie cybersecurity erg belangrijk vindt. Daardoor krijgen ik en mijn team de ruimte en het budget om de maatregelen te nemen die nodig zijn om het bedrijf goed te beschermen.”

Er zijn natuurlijk ook bedrijven die minder budget vrijmaken voor cybersecurity. Welk advies zou je hen willen geven?

“Zorg in ieder geval dat je de basis op orde hebt, zoals endpoint protection, het maken van back-ups en het regelmatig patchen van je systemen. Begin ook met een gratis web application firewall van bijvoorbeeld Cloudflare. Het maakt cybercriminelen over het algemeen niets uit welke diensten je aanbiedt. Ze hacken de organisaties waar ze het gemakkelijkste binnen komen. Dus als je de basis op orde hebt (vergelijk het met een woning en het hang- en sluitwerk), dan is het vaak al lastiger om bij jou binnen te komen en gaan ze het mogelijk bij de buren proberen.”

Bron: decrisismanager.nl | Maaike Tindemans

Bekijk alle vormen en begrippen

Actuele aanvallen overzicht per dag

Ernstige kwetsbaarheden

Inschrijven voor wekelijkse nieuwsbrief

 

Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met de politie. Telefonisch via het nummer 0900-8844 of online via het meld formulier. Uiteraard kunt u daarnaast ook tips melden bij Cybercrimeinfo.

Meer actueel cybercrime nieuws

Cyberaanvallen op farmaceutische bedrijven

Noord-Korea heeft geprobeerd om de vaccin technologie van 'Pfizer' te stelen. Medewerkers van de Zuid-Koreaanse inlichtingen- en veiligheidsdienst NIS hebben dat in besloten kring verteld aan de leden van de veiligheidscommissie van het parlement. Het communistische land onder leiding van Kim Jong-un wilde meer te weten komen over de inhoud en productie van het corona vaccin.

Lees meer »

Ransomware weekoverzicht 06-2021

De stad Seraing in België en een Frans ziekenhuis getroffen door ransomware, HelloKitty cybercriminelen achter aanval op game ontwikkelaar van o.a. The Witcher, en Avaddon ransomware lost een fout op waardoor gratis decodering mogelijk is. Hier het overzicht van de nieuwste ransomware vormen en het nieuws van dag tot dag.

Lees meer »

Cybercrime nieuwsbrief 145 (week 06-2021)

QR-code scanner App wordt na update Malware, hacker verhoogde deeltjes 'Natronloog' van 100 naar 11.000 per miljoen waterdeeltjes en cybercriminelen verkopen broncode van o.a. 'The Witcher 3' op darkweb. Dit en meer lees je in nieuwsbrief 145. Nog niet ingeschreven voor deze gratis nieuwsbrief over cybercrime en darkweb? Schrijf je dan hier in.

Lees meer »

Digitale fraude, oplichting meldingen week 06-2021

Het melden van 'digitale oplichting' pogingen is belangrijk, door het melden kunnen we andere potentiële slachtoffers behoeden voor het te laat is. Heb je een phishing mail, smishing bericht of werd je gebeld en vertrouw je het niet? Laat het ons, of onze collega's van Opgelicht?!, Radar, Kassa, of Fraudehelpdesk dan weten, want Samen bestrijden we cybercrime / digitale fraude. Liever anoniem? Klik dan hier.

Lees meer »

Cybercriminelen verkopen broncode van o.a. 'The Witcher 3' op darkweb

Het zit de Poolse ontwikkelaar 'CD Projekt RED' niet mee. 'Cyberpunk 2077' kent veel problemen, de Poolse autoriteiten kijken mee met hoe de ontwikkelaar zaken aanpakt, Sony heeft hun recente game van het PlayStation Network afgehaald en zo zijn er nog meer dingen aan de hand. Tot overmaat van ramp zijn ze nu ook nog slachtoffer geworden van hackers, die een ultimatum hebben gesteld.

Lees meer »

“Ze willen het, ze kunnen het en ze doen het”

Digitale spionage vanuit China en Rusland vormt een ‘onmiddellijke dreiging’ voor de Nederlandse economie. De Algemene en Militaire Inlichtingen- en Veiligheidsdienst (AIVD en MIVD) betrappen dagelijks hackers uit deze landen die proberen in te breken op de netwerken van bedrijven en universiteiten. Ook organisaties uit de ‘vitale infrastructuur’, zoals banken, telecom- en nutsvoorzieningsbedrijven, zijn regelmatig het doelwit van hackers. Om die reden willen de veiligheidsdiensten een hoger budget voor om meer hackers aan te trekken en het aantal ICT-systemen te vergroten.

Lees meer »

Identiteitsfraude: Als bedrijf draag je een grote verantwoordelijkheid

Identiteitsfraude komt vaker voor dan u denkt. Ook bent u er misschien niet altijd bewust van wanneer er misbruik kan worden gemaakt van uw identiteitsgegevens of van die van uw klanten. Wees daarom altijd bedacht op eventuele risico’s, zeker als u een kopie van uw identiteitsbewijs verstrekt aan (betrouwbare) organisaties of als u dit van uw klanten vraagt.

Lees meer »

Tien verdachten aangehouden voor 'Sim-swapping'

Criminelen hebben vorig jaar door middel van 'sim-swapping' meer dan 100 miljoen dollar (83 miljoen Euro) gestolen, zo laat Europol gisteren weten. In totaal zijn er in deze zaak inmiddels tien verdachten aangehouden. Acht verdachten werden eergisteren door de Britse politie opgepakt. De overige twee verdachten konden eerder al in België en Malta worden aangehouden.

Lees meer »

Phishing in een ander jasje

De laatste tijd krijg ik steeds meer vragen op Cybercrimeinfo.nl hoe het kan dat er in de agenda een afspraak is toegevoegd terwijl dit niet door de eigenaar zelf is geplaatst?! Ook bij Opgelicht is hier onlangs aandacht aan besteed. Hoe werkt dit en hoe kan dit?

Lees meer »