Skip to navigation Menu

November 2018 / Hack attack! Waren alle deuren wel dicht?

Er is iets merkwaardigs aan de hand als het gaat om digitale veiligheid en eerlijkheidshalve ben ik er nogal door geschrokken. Veel organisaties geven hackers en andere onwenselijke personen eenvoudig de mogelijkheid om digitaal in te breken, omdat er namelijk iets vergeten wordt. Nieuwsgierig wat dat is

We doen niet alle deuren op slot!

Lang niet iedereen is zich daarvan bewust, maar laten we eerst beginnen met het goede nieuws: Werkplekken worden op allerlei manieren beveiligd met wachtwoorden. Steeds sterkere wachtwoorden met speciale karakters zijn nodig en worden periodiek ververst. We zorgen ervoor dat collega’s die thuis aan het werk zijn veilig kunnen inloggen op het bedrijfsnetwerk doordat ze via MFA, Multi Factor Authentication, door een gestuurd SMS bericht, duidelijk maken dat ze echt zijn wie ze zijn. Het werken in vaak Microsoft 365-achtige cloud omgevingen gebeurt gelukkig steeds veiliger. Mooi zou je zeggen, maar niets is minder waar.

Het verhaal van de vergeten deuren

Er zijn vergeten deuren, waardoor de hacker eenvoudig binnenkomt, die zal ik duidelijk maken met de volgende vraag: Hoe zit het met jouw wachtwoordbeleid voor applicaties en databases? Het is niet ondenkbaar dat beheerders voor de kantooromgeving alles goed geregeld hebben, maar dat eigenaren van applicaties verouderde applicaties hebben draaien waarop simpele wachtwoorden gebruikt worden die misschien wel nooit ververst zijn. De gebruikers zijn zich hier vaak niet van bewust. Er zijn zelfs situaties waarbij 4- of 6-cijferige inlogcodes gewoon op een geel memoblaadje worden opgeschreven en waar andere collega’s plotseling toegang kunnen krijgen tot gegevens die voor hen geheim moeten blijven. Het komt helaas echt voor.

Wachtwoord management verschillen

Best vreemd toch? Op de laptop of computer wordt wachtwoordmanagement afgedwongen, geldt een bepaalde geldigheidsduur en moeten wachtwoorden voldoen aan specifieke eisen. Maar daar staat tegenover dat veel applicaties geen wachtwoordmanagement kennen en er geen of hele oude, nooit vervangen wachtwoorden gebruikt worden. Hetzelfde geldt voor het kunnen inloggen op databases. De voordeur is compleet dichtgetimmerd, maar de garagedeur staat symbolisch wagenwijd open.

En nu?

De materie is best complex. Uit ervaring blijkt dat lang niet alle applicaties goed te beveiligen zijn. Maar dat neemt niet weg dat het raadzaam is om dit eens uitgebreid te onderzoeken. Hackers worden nu eenmaal slimmer en het aantal manieren om binnen te dringen wordt groter als er meer deuren open staan. We leven nu eenmaal in een tijd waar hackers ook via smartphone apps kunnen inbreken of via IoT achtige applicaties plotseling toegang kunnen krijgen tot onze zogenaamd goed beveiligde netwerken. De noodzaak wordt groter, juist nu de digitalisering toeneemt.

Sluit deuren, voer beleid

Wat vooral nodig is, is een totaalbeleid op wachtwoorden, dus ook voor applicaties en databases. Het is naar mijn mening een totaal vergeten terrein van digitale veiligheid, waar echt maatregelen op genomen moeten worden. Hoe dan? Doe tests, onderzoek je applicaties, kijk naar simpele wachtwoorden die al jarenlang niet veranderd zijn en zorg er vooral voor dat eventuele database- of applicatielekken altijd traceerbaar zijn. Ik weet zeker dat er overal wel een vergeten deur te vinden is.

Reageren?

Reacties stel ik enorm op prijs en graag help ik om samen te onderzoeken of we digitale veiligheid van databases en applicaties kunnen optimaliseren. Het is echt nodig!

René Schrier, database-, middleware- en cloudarchitect @SorsIT. Telefoonnummer: 070 – 2181864 of rené@sorsit.nl