12 april 2013 -
Bedrijven krijgen steeds meer te maken met security dreigingen door zowel het handelen van eigen medewerkers als door aanvallen van buitenaf. Zij moeten dus goed opletten en de juiste maatregelen treffen om zich te wapenen tegen deze dreigingen. GFI Software waarschuwt bedrijven voor zeven belangrijke security-gevaren.
1. ‘Bring Your Own Device’ (BYOD)
Het BYOD principe bestaat al enige tijd, maar het toenemende gebruik van eigen devices op het werk brengt risico’s met zich mee. Bedrijven dienen daarom security maatregelen te treffen en een passend beleid op te stellen. Zolang de beveiliging niet op orde is, blijft dit onderwerp van discussie.
2. Hacken voor het goede doel
Het zogenaamde ‘Hacken voor een goed doel’ blijft een middel dat wordt ingezet om te protesteren tegen bepaalde ideologieën, wetten, filosofieën, enzovoort. Een voorbeeld van dit ethische hacken is de actie van politicus Henk Krol die voor de camera’s van Omroep Brabant toegang verkreeg tot medische dossiers van patiënten. Hiermee wilde hij de slechte beveiliging van online dossiers aan de kaak stellen. Ethisch hacken kan met name problematisch zijn voor bedrijven die genieten van een grote naamsbekendheid, want deze bedrijven kunnen met dergelijke acties publiekelijk geconfronteerd worden met ethische misstanden.
3. Kwetsbaarheden in software van derden
Hackers blijven zich richten op kwetsbaarheden in software van derden, zoals Adobe Flash, Oracle en Adobe Acrobat. Hackers zijn zich er namelijk van bewust dat het patchen van dergelijke software niet hoog op de agenda staat bij IT’ers. Een oplossing hiervoor zou kunnen zijn om een programma te gebruiken dat patch management uitvoert, zoals GFI LanGuard.
4. Medewerkers zijn net mensen
Medewerkers zijn nog altijd het doelwit van hackers. Door bijvoorbeeld e-mails te sturen die legitiem lijken, maar dat niet zijn. Deze e-mails kunnen bijvoorbeeld onveilige bijlagen bevatten of doorverwijzen naar URL’s die vervolgens weer leiden naar schadelijke websites.
5. Dataverlies
Iedereen heeft ooit wel eens een mobiel apparaat verloren, zoals bijvoorbeeld een smartphone. Dit in combinatie met de eerder besproken ‘Bring Your Own Device’ trend maakt het noodzakelijk dat IT’ers inzicht hebben in welke devices verbonden zijn aan hun netwerk. IT’ers moeten de mogelijkheid hebben om apparaten te lokaliseren, blokkeren of verwijderen. Dit kan bijvoorbeeld door medewerkers hiertoe toestemming te vragen voordat zij toegang krijgen tot het internet met hun device. Gevoelige informatie kan verloren gaan of in de verkeerde handen terecht komen wanneer IT’ers deze devices niet kunnen lokaliseren.
6. Datadiefstal
Criminelen blijven proberen gevoelige data te ontfutselen bij bekende bedrijven. De ‘Anonymous’ groep heeft dit in voorgaande jaren gedaan bij vele bedrijven en overheden en, naar verwachting, zullen zij dit blijven doen. SQLi-aanvallen of SQL-injecties zijn typerend voor de groep, want met dergelijke aanvallen krijgen zij toegang tot opgeslagen en gevoelige informatie op databases komen. Om deze problemen te voorkomen kunnen derde-partij-audits van de webservers van bedrijven worden uitgevoerd. Indien er desondanks wel wat fout gaat is het handig om een draaiboek gereed te hebben.
7. Cloud-gebaseerde opslagdiensten
Meer en meer bedrijven maken gebruik van cloud-gebaseerde opslagdiensten om zo hun data op te slaan met gemakkelijk mobiele toegang voor gebruikers. Dit is een nachtmerrie voor IT’ers, omdat zij op deze manier niet weten waar de data naartoe gaat. Cloud-gebaseerde opslagdiensten kunnen worden geïnstalleerd op verschillende devices en dus is de data op verschillende manieren toegankelijk. Cloud services als deze kunnen trouwens ook de reguliere antivirus en spamfilters omzeilen, omdat de data niet per e-mail wordt verstuurd. Bedrijven dienen daarom de wijze waarop deze opslagdiensten worden gebruikt te regulieren en controleren.
Risico's voor het bedrijfsleven
"De ontwikkelingen op het gebied van IT brengen risico’s met zich mee voor het bedrijfsleven," stelt David Kelleher, Director Public Relations bij GFI Software. "Medewerkers zijn zich vaak niet bewust van de gevaren. Om te voorkomen dat bedrijven risico lopen, is het noodzakelijk dat zij hun medewerkers informeren over de mogelijke dreigingen. Daarnaast zullen bedrijven meer aandacht moeten besteden aan beveiliging."