7 oktober 2016 17:12

Je bedrijf beter beveiligen? Laat het hacken!

[Blog] Elk bedrijf is een doelwit voor hackers. Databases met persoonlijke gegevens zijn goud waard voor cybercriminelen. Met de aankomende wetgeving rond General Data Protection Regulation in 2018 wordt de bescherming van data belangrijker dan ooit te voren.

En terecht. Om na te gaan hoe goed jouw bedrijf beschermd is, kun je er bewust voor kiezen om je computersysteem te laten aanvallen door zogenaamde ethische hackers, ook white hackers genoemd. Inti De Ceukelaire is waarschijnlijk de meest bekende Belgische ethische hacker, maar hij is zeker niet de enige. Wij werken bijvoorbeeld altijd met Zion Security uit Leuven. Zij proberen effectief jouw netwerk, servers en website binnen te dringen maar dan met als doel lekken in de ICT-beveiliging bloot te leggen. Een controversiële manier van werken, maar het doel heiligt de middelen, wat mij betreft. Je bedrijf beter beveiligen? Laat het hacken.

Hackers als klokkenluiders

Iedereen weet dat hackers zich richten op zwakheden in ICT-systemen om zo de normale werking van het systeem te omzeilen. White hackers doen net hetzelfde maar dan zonder daar zelf echt voordeel uit te willen halen. Daar zit het verschil.

Je hackt uiteraard enkel te goeder trouw als je in samenspraak handelt met het bedrijf, laat dat duidelijk zijn. Zonder goedkeuring van het bedrijf in kwestie valt er geen onderscheid te maken tussen bona- en malafide hackers.

Werknemers zwakste schakel?

Je komt te weten hoe werknemers omgaan met veiligheid: vormen zij de zwakke schakel? Kan je je medewerkers in de val lokken met vormen van phishing, vishing of social engineering? Of gebruiken ze naïeve paswoorden? Hackers vinden heel vaak toegang tot servers door nalatigheden van menselijke aard. Aan de IT-manager om te sensibiliseren en kennis te verschaffen. De mix van privécloud en bedrijfscloud, thuiswerken en BYOD, paswoordbeleid en de hoeveelheid van applicaties maken het er niet gemakkelijker op – akkoord – maar een basistraining IT zou voor mijn part verplicht moeten zijn.

Of gaten in de infrastructuur?

Beveiligingslekken kunnen uiteraard ook aan de infrastructuur liggen. Vaak moeten er aanpassingen onder hoge tijdsdruk gebeuren en vergeet men zaken af te schermen of op te kuisen. Een leverancier heeft tijdelijk toegang nodig tot een server; een medewerker moet even een bepaalde applicatie gebruiken; een nieuwe website wordt razendsnel gelanceerd… en de IT-veiligheid bekijken we later wel.

Daarnaast kan het ook aan de software liggen. Heeft de software – denk aan een antivirusprogramma – te maken met gekende problemen, waar de laatste patch nog niet geïnstalleerd is? Werk je nog met verouderde software?

Onafhankelijke speler

White hackers zijn niet gebonden aan merken, producten of services en kunnen dus volledig autonoom zeggen waar het op staat. Ze hebben een frisse, onafhankelijke kijk op je bedrijfssysteem en halen zo de pijnpunten in de infrastructuur op een nieuwe manier naar boven. Ze gebruiken tools en technieken die de mogelijkheden van IT-producten overschrijden. De kennis van de mensen achter de software en hardware komt altijd net iets later.

Bovendien hebben white hackers ervaring opgedaan bij bedrijven uit verschillende marktsegmenten. Oefening baart ook hack-kunst. Hoe beter zij inbreken, hoe beter hun werk. Een betere motivatie om je job te doen kan je niet vinden.

Volgende stappen

In de meeste gevallen zullen de white hackers adviseren om de infrastructuur op bepaalde vlakken aan te passen en alle systemen te updaten. Ook een opleiding van de medewerkers is altijd een aanrader. Zo zit je alvast in de juiste richting.

Kurt Berghs is Sales and Product Manager bij Vasco Data Security