12 acties waarmee je jouw bedrijf beschermt tegen de meeglurende overheid en hackers

De Eerste Kamer heeft de nieuwe massasurveillance- en hackwet aangenomen. Binnen deze wet mag de overheid niet alleen je bedrijfscommunicatie afluisteren, maar ook actief hacken. Tijd voor maatregelen. Met deze twaalf acties kun je jouw bedrijf beschermen tegen de meeglurende ogen van de overheid en hackers.

auteursafbeelding
Mark Vletter
20 september 2017 Clock 7 min

Dit artikel verscheen eerder op RTL-Z

De Eerste Kamer heeft de nieuwe massasurveillance- en hackwet aangenomen. Binnen deze wet mag de overheid niet alleen je bedrijfscommunicatie afluisteren, maar ook actief hacken. Zelfs wanneer jouw organisatie niet het doel is maar ze daarmee een ander bedrijf of individu wil monitoren.

Naast de glurende ogen van de overheid, krijgen organisaties steeds vaker te maken met digitale veiligheidsproblemen. De grote uitbraken van ransomware als WannaCry en Petya – voortgekomen uit een lek bij de Amerikaanse veiligheidsdienst NSA – zijn hier voorbeelden van.

Tijd voor maatregelen dus. Met deze twaalf acties kun je jouw bedrijf beschermen tegen de meeglurende ogen van de overheid en hackers.

1. Schud al je collega’s wakker

“Veiligheid? Who cares”, zullen veel collega’s (inclusief jijzelf?) denken. De to do lijst van de dag is altijd belangrijker. Toch?

Nee. Tijd om iedereen eens wakker te schudden. Stuur bijvoorbeeld een ‘ik-haal-taart-mail’ vanaf de niet-beveiligde computer van een collega en doe dit net zolang totdat iedereen zijn computer netjes lockt. Laat de collega’s onderling eens per maand controleren of de computers van collega’s up-to-date zijn en of de schermbeveiliging niet per ongeluk naar een uur is gegaan in plaats van een paar minuten.

Het belangrijkste wat je kunt doen is namelijk: je organisatie bewust maken van het belang van goede veiligheid. Iedereen in het bedrijf is verantwoordelijk voor de veiligheid, niet alleen een security officer of een werkplekbeheerder.

Zorg dat je een wachtwoordbeleid hebt, dat ieders schermbeveiliging automatisch start na een minuut en dat de computer voorzien is van een wachtwoord. En volg de overige 11 tips op:

2. Help collega’s met een ‘Am I Secure’-checklist

Om het je collega’s makkelijk te maken kun je zorgen voor een ‘Am I Secure’-checklist. Op deze lijst staan alle zaken die collega’s zelf kunnen doen om hun eigen veiligheid te controleren of die bij elkaar te kunnen controleren.

Voorbeeldvragen voor een checklist zijn:

  • Heb ik mijn wachtwoord deze maand aangepast?
  • Hergebruik ik hetzelfde wachtwoord niet voor verschillende accounts?
  • Gebruik ik een virusscanner en is deze up-to-date?
  • Zit er een pincode op de smartphone van het werk of de smartphone waar mijn werkmail op staat?
  • Inspiratie voor een eigen checklist vind je ook in De digitale zelfverdedigingsgids van De Correspondent.

3. Laat je bedrijf hacken

Als je echt geconfronteerd wilt worden met de werkelijkheid dan kun je je organisatie laten hacken. Dit kan een puur technische test zijn; een zogenaamde penetratietest of pentest.

Dit kan ook een social engineering of spear phishing aanval zijn. Bij dergelijke testen probeert men de zwakste securityschakel – de mens – te ‘hacken’. Een dergelijke test is gericht op het verkrijgen van vertrouwelijke of geheime informatie door mensen bewust te targetten. Uit ervaring weten we: dit lukt altijd.

Combinatietesten, waarbij ook wordt geprobeerd om in te breken bij een bedrijf, worden zogenaamde Red Team-testen genoemd. Wij hebben recentelijk een test gedaan en het was zowel in technische als organisatorische zin een leerzame test die veel deed voor ons securitybewustzijn.

Als je denkt ‘dat social engineering, daar trap ik niet in’ dan raad ik je aan deze video te bekijken.

4. Zorg dat je legaal gehackt kunt worden

Iemand die een mogelijk beveiligingslek vindt in de software van je organisatie en vervolgens actief op zoek gaat naar de gevolgen van zo’n lek is vaak strafbaar bezig. Dit valt onder computervredebreuk: ‘Het opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk’.

Maar het is juist heel prettig als mensen je systemen proberen binnen te komen of een mogelijk lek actief onderzoeken als men geen kwade bedoelingen heeft. Personen die dit doen – met goede bedoelingen hacken – kun je vrijwaren van vervolging door een Responsible Disclosure programma op te zetten.

In zo’n programma geef je de spelregels weer waarbinnen een hacker zich mag bewegen zonder strafbaar te zijn. Een voorbeeld van een dergelijk beleid vind je hier.

5. Houd je systemen up-to-date (en nu echt)

Dit klinkt als een open deur, maar deze kun je niet genoeg benadrukken: houd je systemen up-to-date. Overheden gebruiken tools die bugs in bijvoorbeeld besturingssystemen als Windows misbruiken om binnen te dringen in je computer.

Vaak zijn deze gaten al gedicht door Microsoft met een update, maar als je deze niet installeert blijf je kwetsbaar. Ransomware als WannaCry en Petya had geen impact gehad als bedrijven als het Nederlandse Q-Park, pakketbezorger FedEx, APM Terminals in Rotterdam en de Spaanse telecomprovider Telefonica hun systemen netjes van een update hadden voorzien.

6. Gooi dat excelsheet met wachtwoorden weg

Wie kent ‘m niet? Dat handige excelsheetje waar alle wachtwoorden instaan van je afdeling. Zo’n excelbestand is een goudmijn voor hackers en veroorzaakt grote problemen wanneer collega’s oud-collega’s worden.

Hackers vinden het ook heel prettig als je hetzelfde wachtwoord gebruikt voor meerdere diensten. Zo zorgt een wachtwoordenlek bij LinkedIn er namelijk voor dat zij ook gelijk in je bedrijfsmailbox kunnen inloggen.

Gebruik daarom een zakelijke passwordmanager. Deze zorgt ervoor dat je voor iedere site een uniek complex wachtwoord gebruikt. Verder kun je de wachtwoorden delen met alleen de mensen die ze nodig hebben en heb je een overzicht van aan te passen wachtwoorden als een collega uit dienst gaat. De beste passwordmanagers ondersteunen Single sign-on. Hiermee kun je eenmalig inloggen, waarna je automatisch toegang hebt tot meerdere applicaties.

Bij sommige passwordmanagers kan er zelfs een tijdelijk account voor je worden aangemaakt, die na gebruik weer wordt opgeheven. Zelf zijn we na een uitgebreide marktverkenning overgestapt op Keyhub van Topicus, omdat deze over alle facetten van wachtwoordbeheer goed heeft nagedacht.

7. Gebruik twee-factor-authenticatie

Voor veel diensten, zoals bijvoorbeeld Gmail, kun je twee-factor-authenticatie aanzetten. Dit betekent dat je na een login met gebruikersnaam en wachtwoord een code invult die naar je mobiel wordt verzonden.

Zo kan iemand – zelfs als hij een wachtwoord heeft verkregen – niet inloggen op de bedrijfsmail of een andere dienst waarvoor je organisatie twee-factor-authenticatie aan heeft staan.

8. Gebruik geen publieke wifi-punten (nee, echt niet)

Publieke wifi-punten zijn altijd onveilig. Gebruik ze gewoon niet. Wil je met een computer flexwerken in dat leuke koffietentje op de hoek, deel dan de internetverbinding van de mobiele telefoon.

Dit heet tethering en daarmee kun je overal online. Wil je als organisatie geen smartphone en mobiel internet van het werk aanbieden dan wordt een VPN verplicht.

9. Gebruik een VPN dienst!

Als je online bent met je computer of je smartphone, dan is je internetverkeer af te luisteren via je internetprovider. Zij weten exact welke websites je bezoekt en indien die websites niet beginnen met https:// kunnen zij zelfs zien wat je op die websites hebt gedaan.

Wil je dit voorkomen, dan gebruik je een VPN dienst. RTL Z-redacteur Daniël Verlaan deed een test van 100 VPN diensten en Private Internet Access en NordVPN kwamen in de combinatie van goed en gebruiksvriendelijk als beste uit de test.

Zelf zijn we ook fan van ProtonVPN. Deze diensten laten het toe om meerdere apparaten te beveiligen met één account. Wil je een VPN-oplossing voor je gehele organisatie waarbij je de gebruikers centraal kunt beheren dan is onder andere VyperVPN een oplossing.

10. Gebruik producten en services die veilig zijn

Kies bewust voor de diensten die je als bedrijf gebruikt. Kies voor een veilige messenger-app, een e-mailprovider die je privacy serieus neemt en ja, dus ook een telecomprovider waarbij je je zakelijke telefoongesprekken kunt laten versleutelen (schreef de oprichter van die telecomprovider).

Bedrijven, producten en diensten die je beschermen zijn vaak uitgesproken en transparant over jouw privacy en de bescherming die ze bieden, dus maak dit onderdeel van het selectieproces van de bedrijven waarmee je als organisatie wilt werken.

11. Versleutel de data op je harde schijf

Ieder modern besturingssysteem geeft je de mogelijkheid om de gegevens op je harde schijf te versleutelen. Dit wordt full disk encryption genoemd. Bij Windows heb je hier de pro-editie van het besturingssysteem voor nodig en heet dit Bitlocker.

Bij Mac vind je de instellingen onder de naam Filevault. Hiermee wordt de data op je harde schijf zonder wachtwoord onleesbaar en kan men niet zien wat er op je computer staat als deze gestolen wordt of zoek raakt. Even nakijken of je collega’s het ook hebben staan kan mooi op de eerder genoemde ‘Am I Secure’-checklist.

12. Heel erg 007: zorg dat je devices op afstand kunt leeghalen

Als je nog geen James Bond-gevoel had, dan doet deze tip het wel. Het op afstand wissen van de gegevens van een computer, tablet of smartphone wordt remote wipe genoemd. Het is een functie die veel apparaten ondersteunen, maar die niet altijd aanstaat.

Zo moet je op een Android smartphone of tablet ‘Find My Device‘ aanzetten. Voor Windows apparaten heeft je bedrijf Intune nodig en bij een Mac moet iCloud geconfigureerd zijn. Ook dit kun je onderdeel maken van de ‘Am I Secure’-checklist.

Wat kun je verder doen?

Meegluren wordt een stuk lastiger als je bedrijf deze 12 acties uitvoert. Dat je jouw organisatie actief moet beschermen tegen de Nederlandse en buitenlandse veiligheidsdiensten is eigenlijk schandalig. Het lek bij de NSA heeft al aangetoond hoe schadelijk een hack- en sleepnetwet is voor de internetveiligheid en het bedrijfsleven.

Het ‘altijd mee kunnen kijken’ van de overheid tast daarbij de democratie en de vrijheid die we genieten enorm aan. Dat is ook de reden dat commerciële bedrijven en privacy-instellingen, maar ook journalisten en advocatenkantoren, gezamenlijk een rechtszaak voorbereiden tegen de aftapwet.

Als bedrijf kun je hieraan bijdragen door bijvoorbeeld bedrijfssponsor te worden van Bits of Freedom. De onofficiële stap 13 luidt daarom: steun partijen die vechten voor jouw internetvrijheid. Samen krijgen we de wet van tafel.

Meer verhalen lezen?

In de afgelopen jaren hebben we veel geschreven over ondernemen, zelfsturend werken, de handigste tools en nog veel meer. Dus leef je uit!

Van 3 januari 2024

Voys verliest hoger beroep van RDI: boete blijft staan

Van 6 december 2023

De impact van Voys: zo maakten we de wereld een beetje mooier in 2023