Spoedig ontdekte ik andere, aanzienlijk grotere veiligheidsproblemen binnen dat bedrijf. De firewalls waren zo lek als een mandje, de anti-malwaresoftware was lang over de datum, net als de patches, en er waren honderden domeinbeheerder-accounts in omloop. Ernstiger was dat alle eindgebruikers beheerderrechten hadden op hun computers. Geen wonder dat de client-omgeving grotendeels in handen was gekomen van hackers en hun programma’s.

Ik vertelde mijn opdrachtgever dat ik dan wel was aangenomen om het veiligheidsprobleem met het wachtwoord op te lossen, maar dat die andere zaken een hogere prioriteit hadden. Daar dacht het bedrijf anders over, dus ik vroeg hoe het kwam dat hun systemen zo dikwijls het slachtoffer waren van aanvallen. Volgens hen waren die geslaagde aanvallen mogelijk geweest doordat eindgebruikers Trojaanse paarden hadden binnengehaald via e-mails.

Besmet PDF-bestand

Het bedrijf stelde de aanpak van de grotere problemen uit, omdat dat een ingewikkelde, langdurige en kostbare klus zou zijn. Eerst moest het wachtwoordprobleem uit de wereld worden geholpen. De besluitvormers waren daarvan zodanig overtuigd, dat zij door de bomen het bos niet meer zagen. Jammer genoeg is zo’n tunnelvisie geen zeldzaamheid in het bedrijfsleven.

Voor een efficiënte aanpak van de computerveiligheid van je organisatie moet je eerst inventariseren waar de lekken zitten. Onderzoek op welke manieren je systemen met succes zijn aangevallen en bereken de percentages van de verschillende soorten hacks. Je threat modeling-gegevens zullen zijn onderverdeeld in primaire en secundaire aanvallen: eerst de manier waarop de hacker of malware is binnengedrongen in je systeem en ten tweede de wijze waarop die zich verdere toegang heeft verschaft. Zo kan een besmet PDF-bestand een eerste besmetting geven, gevolgd door het kraken van het wachtwoord van NetBIOS shares en het installeren van Trojaanse paarden.

Falend veiligheidsbeleid

Beveiliging tegen die primaire aanvallen heeft de hoogste prioriteit, hoewel ook de overige aanvallen voorkomen moeten worden. Pas je beveiligingsplan hierop aan, zodat het risico op een eerste aanval sterk wordt verminderd. Die eerste maatregelen zijn meestal niet de eenvoudigste, technologisch noch beleidsmatig. Zo zouden veel bedrijven de toegangsrechten van niet-beheerders moeten intrekken, zodat eindgebruikers niet meer per ongeluk Trojaanse paarden kunnen binnenhalen.

Van veel organisaties krijg ik te horen dat deze veranderingen politiek te moeilijk liggen om door te voeren. Dus willen ze liever eenvoudigere aanpassingen, ook al hebben die minder resultaat. Zulke klanten vraag ik of hun senior management ervan op de hoogte is dat zij het bedrijf blootstellen aan een onredelijk hoog veiligheidsrisico. Het is immers veel erger voor henzelf, hun carrière en hun bedrijf als alle bedrijfsgegevens op straat liggen en het falende veiligheidsbeleid de krantenkoppen haalt, mogelijk gevolgd door rechtszaken. Dat is geen fabeltje. Ieder jaar overkomt het enkele bedrijven.

Juiste koers

Mocht je voor de rechter worden gesleept, dan zal de aanklager vragen of je alles gedaan hebt om een veiligheidsaanval te voorkomen of dat je je hebt geconcentreerd op bijzaken. Als je als verantwoordelijke de zorgvuldigheidseisen hebt genegeerd, dan moet je dat verantwoorden en excuses maken.

In de praktijk is het niet altijd mogelijk om de beste aanpassingen eerst te doen. Het bedrijfsbeleid laat dat niet altijd toe. Zorg in ieder geval dat je aanbevelingen aan het management de juiste koers aangeven en plaats de grootste risico’s bovenaan de lijst. Het management kan ervoor kiezen je aanbevelingen in de wind te slaan, maar jij hebt je verantwoordelijkheid dan tenminste genomen. Let er altijd op dat bijzaken je niet afleiden van het uitvoeren van je belangrijkste taak.

Bron: Techworld