“Het gaat niet om één of enkele goede maatregelen, het gaat om het geheel”

Gepubliceerd op 10 februari 2022 om 07:00

Hoe zet je een goed cybersecuritybeleid op? Sándor Incze, CISO bij CM.com, legt stap voor stap uit wat hij gedaan heeft om CM.com tegen cybercriminelen te beschermen. “Het gaat niet om één of enkele goede maatregelen”, zegt hij. “Het gaat om het geheel.”

Sándor vergelijkt cybersecurity met het computerspel bubble shooter dat in de jaren ’90 populair was. Dit spel bestaat uit een veld met gekleurde ballen. Als speler heb je de mogelijkheid om telkens een andere kleur ballen weg te schieten.

“Zo werkt het ook met cybersecurity”, legt Sándor uit. “Iedereen wordt continu op een andere manier aangevallen. Als je dat niet ziet, dan kijk je mogelijk niet goed genoeg. Ook bij CM.com zien we deze aanvallen voorbij komen. Daarom hebben we een heel pakket aan mitigerende maatregelen nodig om tegen al die bedreigingen beschermd te zijn.”

Kun je allereerst uitleggen wat CM.com voor bedrijf is? Wat doen jullie?

“CM.com biedt cloud software waarmee bedrijven hun klantervaring verbeteren. Met ons communicatie- en betalingsplatform kunnen zij het contact met klanten via mobiele kanalen automatiseren en personaliseren. Onze software wordt bijvoorbeeld gebruikt door evenementorganisaties voor de kaartverkoop en om in contact te zijn met fans of bezoekers, zoals bij voetbalwedstrijden en de Formula 1 Heineken Dutch Grand Prix. We verzorgen het hele traject: van de kaartverkoop tot aan de QR-code die bij de ingang wordt gescand en het contact tussendoor via een chatbot of WhatsApp. Ook het bestellen en betalen van drankjes op de locatie kan, met onze software, allemaal via de mobiele telefoon. CM.com is in 1999 opgericht in Breda. Inmiddels zitten we in ruim 20 landen en hebben we wereldwijd ruim 800 medewerkers.”

Waar begint voor jou een goed cybersecuritybeleid?

“Een cybersecuritybeleid heeft geen begin en einde. Alle maatregelen die we nemen zijn even belangrijk. Maar laten we voor het gemak beginnen bij de gebruikers, dus de medewerkers van ons bedrijf.  Het is belangrijk dat de medewerkers weten wat zij kunnen doen om cybercriminelen buiten de deur te houden. Niet alleen op het werk, maar ook thuis en bij familie en vrienden. Daarom krijgen alle medewerkers (van de receptionisten tot de directieleden) elke maand een verplichte e-learning over security awareness aangeboden. We behandelen daarin telkens een ander thema, zodat zij een goede basiskennis krijgen. De medewerkers worden zo onze eerste ‘human’firewall. Als softwarebedrijf hebben we natuurlijk ook veel ontwikkelaars in dienst. Voor hen worden aanvullende trainingen georganiseerd. Hierin wordt bijvoorbeeld uitgelegd hoe ze veilige software kunnen blijven ontwikkelen.”

Wat is stap 2?

“De computers waar de medewerkers mee werken. We doen er alles aan om dat zo veilig mogelijk te maken. Alle computers worden beschermd met endpoint protection, daar kun je eigenlijk niet meer omheen in deze tijd. Diverse leveranciers bieden dit aan. Bovendien worden alle computers, vanuit onze centrale ICT-afdeling, gepatcht (bijgewerkt, ge-update). De gebruikers hebben daar eigenlijk geen omkijken naar. Ze zien alleen op hun beeldscherm staan dat het systeem aan het updaten is. Dit patchen gaat in een hoog tempo. Zodra er een nieuwe kwetsbaarheid bekend wordt, worden de betrokken systemen gepatcht.”

En wat is stap 3?

“Het e-mailverkeer. E-mails kunnen gevaarlijke berichten bevatten, daarom worden deze gescand. Voor de diepgravers dien je ook na te denken over datalekken via het uitgaande e-mailverkeer en daar passende maatregelen voor te nemen, zoals het tonen van een bevestiging pop-up in specifieke situaties. E-mails kunnen ook Word- en Exceldocumenten met macro’s bevatten. Met zo’n macro download het programma automatisch gegevens van het internet. Mijn advies is om het gebruik van macro’s standaard niet toe te staan.”

Ondanks deze maatregelen zullen cybercriminelen toch proberen om jullie systemen binnen te dringen. Hoe houden jullie hen zo goed mogelijk tegen?

“We hebben daarvoor een Security Operations Centre (SOC) ingericht. In het SOC zien we vanuit welke locatie een gebruiker probeert in te loggen en wat hij aan het doen is.”

Mochten cybercriminelen toch jullie systemen binnendringen, hoe zorgen jullie er dan voor dat zij zo weinig mogelijk schade aanrichten?

“Iedereen die al wat langer meeloopt in de wereld van netwerken en security, weet dat je je netwerk moet opdelen in kleinere stukken (segmenteren), zodat de schade bij een incident beperkt blijft tot dat segment. Wil je het nog een stap verder trekken, dan kun je gaan denken aan het toepassen van Zero Trust Access. Dit wil zeggen dat het hele netwerk in principe voor iedereen gesloten is. De gebruikers krijgen alleen nog maar toegang tot de tools die zij voor hun werk nodig hebben. Je krijgt dus toegang tot applicaties en niet tot een netwerk. Dit is wel een andere manier van denken, merk ik.”

Zijn er meer maatregelen waarmee je de schade bij een aanval kunt beperken?

“Zeker. Denk ook aan een goed beleid rondom het stapelen van autorisaties. Medewerkers die lang bij een bedrijf werken, krijgen vaak steeds meer autorisaties. Telkens als zij een andere functie krijgen, komen er weer autorisaties bij. Daardoor krijgen medewerkers vaak toegang tot een groot gedeelte van het netwerk. Iets wat je absoluut wilt voorkomen. Zero Trust Access gekoppeld aan je profiel in bijvoorbeeld de Active Directory kan daarbij helpen.”

Hoe test je of jullie cybersecurity op orde is?

“Dat doen we met pentesting. Zoals vele bedrijven hebben we een (publiek) bug bounty programma. Dit is een programma waarbij ethische hackers proberen om kwetsbaarheden (bugs) op te sporen in onze systemen. Zij krijgen betaald voor elke kwetsbaarheid die ze vinden. In het begin levert zo’n programma veel op. Na verloop van tijd wordt het steeds moeilijker om nog iets te vinden. Zij dragen nu dus minder kwetsbaarheden aan dan in het begin. Toch blijft het belangrijk dat zij dit werk doen, want elke kwetsbaarheid is er één teveel. Het geeft ook een morele boost aan de developers. De kwaliteit van hun werk is zichtbaar omhoog gegaan. Daarnaast werken we samen met externe bureaus waaronder digiweerbaar.nl. Zij voeren minimaal twee keer per jaar een onafhankelijke pentest voor ons uit. Het voordeel van een extern bureau is dat je hen in specifieke gevallen een aanvullende toegang kunt geven zodat ze dieper in het systeem kunnen doortesten. Bovendien hebben ethische hackers soms de neiging om zich te focussen op de applicaties waar zij de meeste kwetsbaarheden verwachten. Een extern bureau kunnen we vragen om de applicaties te testen waar de ethische hackers minder aandacht voor hebben.”

Heb je een tip voor bedrijven die met pentesting aan de slag gaan?

“Laat ook eens een pentester in-house plaatsnemen als een soort insider threat en hem uitzoeken wat hij kan vinden met een regulier medewerkers-account.”

Daarnaast maken jullie natuurlijk back-ups. Wat vind je daarin belangrijk?

“Dat de gegevens offline opgeslagen zijn. Daarmee voorkomen we dat cybercriminelen tijdens een aanval ook de back-ups aantasten. Daarnaast vind ik het belangrijk om regelmatig te testen of het lukt om de back-ups terug te zetten.”

Welk advies zou je andere bedrijven geven als het gaat om het maken van back-ups?

“Bepaal per systeem wat de beste back-upstrategie is. Om een voorbeeld te geven: bij een computer zit een virus vaak in het besturingssysteem en niet direct in de data (denk aan een database). Dus als je een back-up maakt van het hele systeem, neem je ook het virus daarin mee. Bij een database kun je er ook voor kiezen om alleen de data uit de database te back-uppen en niet het hele systeem. Na een incident kun je dan het systeem vaak eenvoudiger herstellen.”

Kun je nog meer maatregelen noemen die jullie genomen hebben tegen cybercriminaliteit?

“Zeker. We hebben bijvoorbeeld maatregelen genomen om ons te weren tegen het grote, boze internet. Hiervoor hebben we een Network Operations Centre (NOC) ingericht. Zij grijpen in als ze zien dat we vanaf het internet worden aangevallen en er mogelijke operationele verstoringen dreigen. Ook werken we samen met partijen die ons kunnen beschermen tegen DDOS-aanvallen. Bij een DDOS-aanval krijgen we veel verzoeken op ons systeem binnen. Daar zit natuurlijk ook onschuldig internetverkeer bij. Een partij die helpt bij DDOS-aanvallen zal het verkeer eerst ‘schoon wassen’ waardoor je schoner verkeer terug krijgt en waardoor je eigen systemen niet onderuit gaan.”

Welke tips heb je nog meer als het om dit onderwerp gaat?

“Let ook op het gebruik en onderhoud van beveiligingscertificaten. Dat is het groene slotje dat gebruikers voor elk webadres zien. Als je dit proces op orde hebt, zorg je altijd voor een beveiligde en dus veiligere verbinding tussen jou en je klant. Veel bedrijven nemen bovendien allerlei clouddiensten af van andere bedrijven. Mijn advies is om te zorgen dat het gebruikersbeheer van die externe clouddiensten ook centraal wordt geregeld en wordt bijgehouden bijvoorbeeld met Single sign-on (SSO). Dit betekent dat wij als bedrijf een account voor een medewerker aanmaken. Dit account komt automatisch te vervallen als zij uit dienst gaan.”

Je hebt een groot pakket aan maatregelen genomen om CM.com te beschermen. In hoeverre is de directie betrokken bij de keuzes die je maakt?

“De directie is zeer betrokken. Ik heb elke 3 weken een gesprek met onze CEO. Het voordeel is dat hij technisch ook zeer onderlegd is. Ik vind zo’n gesprek belangrijk om ook uit te kunnen leggen welke nieuwe bedreigingen we zien en welke maatregelen we daartegen kunnen nemen. Bovendien heb ik het geluk dat onze directie cybersecurity erg belangrijk vindt. Daardoor krijgen ik en mijn team de ruimte en het budget om de maatregelen te nemen die nodig zijn om het bedrijf goed te beschermen.”

Er zijn natuurlijk ook bedrijven die minder budget vrijmaken voor cybersecurity. Welk advies zou je hen willen geven?

“Zorg in ieder geval dat je de basis op orde hebt, zoals endpoint protection, het maken van back-ups en het regelmatig patchen van je systemen. Begin ook met een gratis web application firewall van bijvoorbeeld Cloudflare. Het maakt cybercriminelen over het algemeen niets uit welke diensten je aanbiedt. Ze hacken de organisaties waar ze het gemakkelijkste binnen komen. Dus als je de basis op orde hebt (vergelijk het met een woning en het hang- en sluitwerk), dan is het vaak al lastiger om bij jou binnen te komen en gaan ze het mogelijk bij de buren proberen.”

Bron: decrisismanager.nl | Maaike Tindemans

Bekijk alle vormen en begrippen

Actuele aanvallen overzicht per dag

Ernstige kwetsbaarheden

Inschrijven voor wekelijkse nieuwsbrief

 

Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met de politie. Telefonisch via het nummer 0900-8844 of online via het meld formulier. Uiteraard kunt u daarnaast ook tips melden bij Cybercrimeinfo.

Meer actueel cybercrime nieuws

Het darkweb "De verborgen kant van het internet"

Het internet heeft alles veranderd, van de manier hoe we werken en de manier hoe we gamen tot de manier hoe we leven. Het lijkt erop dat er een plekje is op internet voor iedereen ondanks welke interesses je hebt, ondanks wat je overtuigingen zijn, is er iemand of iets daarbuiten dat op dezelfde manier denkt als jij. Het internet heeft ons verbonden op manieren die we nooit eerder hadden gedacht, het is een plek waar iedereen van waar dan ook ter wereld kan samenkomen, er zijn zoveel dingen op internet waarvan de meeste niet eens weten dat ze bestaan. Er is van alles of het nu een dienst of product is, legaal of illegaal immoreel of onethisch het internet heeft het. U kunt kiezen of u het gebruikt voor voor goede dingen of in slechte dingen, net zoals het internet dat we allemaal gebruiken  elke dag.

Lees meer »

Hacker Snapchat-accounts aangehouden

Woensdag 27 mei hebben rechercheurs van het Cybercrimeteam in Noord-Holland onder leiding van de officier van justitie een 18-jarige inwoner van Vlaardingen aangehouden op verdenking van phishing, het hacken van Snapchat-accounts en sextortion, een vorm van afpersing. De verdachte is woensdag ingesloten voor verder onderzoek en wordt vrijdag voorgeleid voor de rechter-commissaris.

Lees meer »

Land- en tuinbouwwinkels AVEVE slachtoffer van cyberaanval

In Belgie is AVEVE het slachtoffer geworden van een grote cyberaanval. Met kwaadaardige software werd het netwerk van de land- en tuinbouwwinkels onder vuur genomen. Een klein aantal van de 250 winkels in ons land moet daarom tijdelijk de deuren sluiten omdat betalen met VISA of bancontact er niet mogelijk is. “De overgrote meerderheid van de winkels is wel gewoon open”, benadrukt woordvoerder Stéphanie Deleul.

Lees meer »

Beveiligingslek Android: negen op de tien toestellen kwetsbaar

Uit onderzoek van Promon en Google blijkt dat alleen apparaten met Android 10 beschermd zijn tegen het StrandHogg 2.0-lek. Versie Android 9.0 (Pie) en ouder zijn wel kwetsbaar. Meer dan negentig procent van de Android-toestellen draait versie 9.0 of ouder, aldus Google. Negen op de tien toestellen is dus kwetsbaar voor dit lek.

Lees meer »

"Iedereen was betrokken, maar niemand verantwoordelijk"

In zelden aangedurfde openheid deelt Lochem haar ervaringen met een indringer die vorig jaar maandenlang het computernetwerk onveilig maakte, en vooral de daaruit getrokken lering. Want, vindt Sebastiaan van ‘t Erve, de burgemeester van de Achterhoekse gemeente, aan beveiligingsbewustzijn bestaat bij bestuurders een gevaarlijk tekort. “Iedereen was betrokken, maar niemand verantwoordelijk.”

Lees meer »

Cyberaanval op grafische processor 

De chip op je grafische kaart verwerkt extreem snel heel veel informatie. Speel een moderne game, kijk een actiefilm en de reden voor die snelheid zal duidelijk zijn. De GPU of grafische processor maakt hierbij gebruik van honderden zo niet duizenden kernen (cores). Een kern is dan weer een locatie op een chip die zelfstandig code verwerkt.

Lees meer »

OM eist 6 jaar tegen drugskoerier én vendor op het Darkweb

Een ‘drugsdealer 2.0’. Zo bestempelde de officier van justitie van het Landelijk Parket vandaag in de rechtbank Rotterdam een 23-jarige verdachte uit Bodegraven tegen wie zij 6 jaar gevangenisstraf eiste met aftrek van het voorarrest. ‘Hij bood niet alleen het grootste deel van onderschepte met drugs gevulde postpakketten aan bij inleverpunten van een post- en pakketbedrijf, meneer handelde ook als vendor 611 bestellingen van verdovende middelen af via het darkweb. Bovendien is een flinke bedrijfsvoorraad in zijn woning aangetroffen’, zo motiveerde de officier haar strafeis. 

Lees meer »

Grooming ligt op de loer "Kinderen leren alert zijn"

AMBER Alert lanceert naar aanleiding van de 'Dag van het Vermiste Kind' een internationale preventiecampagne tegen digitaal kinderlokken oftewel online grooming. Dit doen ze in samenwerking met de Nederlandse politie en de Europese politiegroep voor vermiste personen (PEN-MP). Het doel van de campagne, die in meer dan twintig landen wordt verspreid, is om tieners ervan bewust te maken dat online interacties, hoe onschuldig ze ook lijken, soms nare gevolgen kunnen hebben. Hoewel online grooming zelden tot een vermissing leidt, werd er afgelopen juni nog een AMBER Alert uitgestuurd voor een twaalfjarig meisje dat slachtoffer werd van digitaal kinderlokken.

Lees meer »