Beveiligingsbedrijf Verizon begon vorig jaar met haar zogenaamde Data Breach Digest, waarvan gisteren de nieuwe versie verscheen. In dit rapport worden zestien scenario’s uit de echte wereld omschreven, waarbij er data verloren ging of naar buiten kwam. Een deel hiervan laat duidelijk zien dat menselijk handelen een groot probleem kan zijn voor de beveiliging van bedrijven.
Mensen met een wrok
Zo bleek dat bij één organisatie iemand boos was dat hij ontslagen werd, waarop hij besloot zijn account te gebruiken om vertrouwelijke documenten te downloaden. Die documenten wilde hij aan een potentiële volgende opdrachtgever te tonen, zodat ze hem misschien sneller aan zouden nemen. Maar hij had meer gedaan dan alleen dat. Hij had zich bijvoorbeeld ook toegang verschaft tot diverse e-mailaccounts om data te verzamelen en om afspraken te veranderen, om het werk van anderen te verstoren.
Ergste van alles is misschien wel dat de man documenten had gestolen met technische details van bepaalde werkzaamheden er in, wat simpelweg neerkomt op bedrijfsspionage. Daarnaast had hij een schema opgezet om bepaalde documenten en data te verwijderen op belangrijke momenten in het jaar, bijvoorbeeld als de belastingaangifte gedaan moet worden. Genoeg om het bedrijf in flink wat paniek achter te laten dus.
Tot slot had de man ook een keylogger op een apparaat gezet, waardoor deze verbinding kon maken met het netwerk en anderen kon bespioneren. Met een keylogger wordt in de gaten gehouden welke toetsen er op een toetsenbord worden aangeslagen. Handig om bijvoorbeeld wachtwoorden te ontfrutselen. Al die informatie ging naar een server in Roemenië, waar kwaadwillenden er mee aan de slag konden. Gelukkig werd dit alles ontdekt, maar het is een typisch voorbeeld van hoe gevoelige data naar buiten kan komen. En dat allemaal omdat iemand boos was op een bedrijf.
De schoonmaker
Je mensen goed behandelen en er rekening mee houden dat ze zich tegen je kunnen keren blijkt dus een goed startpunt. Maar iemand hoeft niet bij jouw bedrijf te werken om schade te kunnen aanrichten. Dat bewijst een scenario waarbij een schoonmaker, die voor een ander bedrijf het pand in kwestie reinigde, voor flink wat problemen zorgde.
In dit geval had het bedrijf waar de schoonmaker voor werkte aangekondigd de salarissen te verlagen. En dat werd slechts een paar weken voor de feestdagen bekend gemaakt. Maar niemand bij het bedrijf in kwestie had gedacht dat een van deze mensen aangesproken zou worden door een crimineel, die hem wel wat extra geld kon aanbieden. Daar tegenover stond een eenvoudige opdracht: neem iedere dag een USB-stick mee naar binnen en je krijgt betaald voor ieder systeem waar de USB-stick in ingeplugd is geweest. Voor iemand met weinig geld en een wrok is dit natuurlijk een verleidelijk aanbod.
Zijn acties werden echter ontdekt. Er bleek malware geïnstalleerd te zijn op de systemen waar de USB-stick in had gezeten. Deze malware probeerde data afhandig te maken via systemen en zijn voetsporen uit te wissen. Dat laatste is echter niet gelukt. De kwaadaardige software werd gevonden en verwijderd.
De schoonmaker werd gevonden, doordat er werd bekeken wat er wanneer in de computer werd gestopt en wanneer er dingen geïnstalleerd werden. De tijden waarop dit gebeurden lieten namelijk zien dat dit de momenten waren waarop de schoonmakers hun rondes deden. De schoonmaker gaf zijn acties toe, zei zich schuldig te voelen en werd ontslagen.
Phishing
Menselijk handelen kan echter ook voor datalekken zorgen, zonder dat de werknemer in kwestie hier iets van af weet. Phishing is daar een bekende vorm van. Hierbij wordt er kwaadaardige software verwerkt in e-mails. Soms in de vorm van een link, soms in de vorm van een bijlage. En ook deze variant komt terug in het rapport van Verizon.
Bij de financiële afdeling van een organisatie werd er dankzij deze techniek fraude gepleegd. Voor iedere keer dat er geld werd overgemaakt, moest er een formulier aangemaakt worden. Daarnaast wordt iedere aanvraag voor het overmaken van geld goedgekeurd door een ander. Er bleek echter een formulier te ontbreken en de accountant wist niet om welke zaak het ging. En ook de verantwoordelijke voor het goedkeuren van de aanvraag had geen idee waar het om ging.
De aanvraag was inderdaad goedgekeurd en alle benodigde stappen waren netjes gevolgd, ook al herinnerde niemand zich dit. Het gehele proces ging via de e-mail, en dus werden deze onderzocht. Wat bleek? Het e-mailadres in de e-mail bleek vrijwel hetzelfde te zijn als die van de verantwoordelijke, op één karakter na. En zeg nu zelf, dat zou jij waarschijnlijk ook gemist hebben. De e-mail kwam van een externe service, met een vergelijkbare domeinnaam als die van het bedrijf.
Dan is het natuurlijk de vraag hoe het kan dat de aanvraag naar een malafide e-mailadres wordt gestuurd. De werknemer die de aanvraag indiende bleek een paar weken eerder een bijlage met malware in een bericht geopend, waardoor deze op zijn computer werd geïnstalleerd. Dit werd door het bedrijfsnetwerk niet opgepikt, omdat het bij de man thuis was gebeurd en hij dus op zijn persoonlijke internetverbinding zat. Dankzij de malware kon de hacker zo de e-mail en computer van de werknemer inkomen en zien hoe het proces van geld overmaken in zijn werk ging. Toen hij dacht dat hij genoeg wist, sloeg hij zijn slag, zonder dat iemand dit door had.
De organisatie weet nog steeds niet waar het geld heen is gegaan.
Komt vaker voor dan je denkt
Opvallend van deze scenario’s is dat hoewel ze natuurlijk vrij specifiek zijn, ze toch best vaak voorkomen. Werknemers hebben met enige regelmaat een wrok, of ze nu bij je werken of niet. Bovendien zijn diverse mensen gevoelige voor grote sommen geld, en hebben ze daar best veel voor over. Deze scenario’s als een uitzondering zien is dus niet verstandig. Het is eerder de regel dan de uitzondering.
In het geval van phishing, dus het derde scenario, is dit helemaal zo. Laurence Dine, medeauteur van het rapport, vertelt: “Phishing is het grootste beveiligingsprobleem dat we tegenkomen. Het is vaak het beginpunt van een aanval.” Toch is er een positieve noot, want phishing is misschien moeilijk om te voorkomen, maar het is niet onmogelijk. “Veel komt neer op awareness. Dat mensen weten wat het is en hoe ze het kunnen voorkomen. Je moet mensen dus blijven trainen. En als werknemer en als persoon moet je blijven denken: wat ga ik nu openen? Verwacht ik dit e-mailtje wel?”
Ook tegen de andere scenario’s kun je je beschermen. “Er is altijd een stap meer die je kunt nemen”, aldus Dine. “Maar het komt allemaal neer op de kosten. Hoe meer je wilt doen, hoe duurder het is. Dus je moet altijd de afweging maken of je het het geld waard vindt om je ergens tegen te beschermen.”
Wat leren we hiervan?
Het Data Breach Rapport is er natuurlijk niet alleen om ons bang te maken. Er staat ook in beschreven welke stappen je kunt nemen om jezelf en eventueel je bedrijf te beschermen tegen aanvallen. Zo ook tegen de aanvallen waar mensen een hand in hebben.
Eén zo’n stap is het verplicht maken van tweestapsverificatie. Dit kun je doen voor e-mail, maar ook voor veel sociale media. Met tweestapsverificatie heb je en een wachtwoord en een code die bijvoorbeeld naar je telefoon gestuurd wordt nodig om ergens in te loggen. Onderschept een cybercrimineel je wachtwoord, dan moet hij de code ook nog onderscheppen. En dat is vaak lastig.
Daarnaast is het goed om een VPN-verbinding te gebruiken als je thuis aan het werk bent voor het bedrijf waar je werkt. Hierdoor kan verkeer niet zomaar onderschept worden en kan er niet zomaar iets geïnstalleerd worden op de documenten en systemen van het bedrijf. Daarnaast is het goed om te blijven nadenken voor je een e-mail opent en op een link of bijlage klikt. Phishing wordt nog altijd veel gebruikt, zowel binnen als buiten bedrijven. Hiervoor op je hoede zijn is een goede manier om jezelf te beschermen.
Dit zijn slechts drie simpele stappen die iedereen kan nemen. Om een bedrijf echt goed te beschermen, is een sterke beveiliging en veel training voor werknemers nodig. Welke stappen er nog meer genomen kunnen worden, is te lezen in de Data Breach Digest van Verizon en op websites van diverse beveiligingsexperts.
