Komende jaren zullen we meemaken dat er steeds minder nadruk komt te liggen op het hacken van netwerken, maar meer op het hacken van mensen. De tactieken die gebruikt worden om mensen om te tuin te leiden, zijn niet per definitie geavanceerd en kunnen redelijk anoniem worden uitgevoerd, wat de pakkans van criminelen klein maakt.
Dit zijn 3 bedreigingen waarop IT-managers bedacht moeten zijn en waarop de nodige stappen moeten worden ondernomen om de risico's de mitigeren.
1. Visueel hacken
Visueel hacken is een low-tech methode om visueel gevoelige, afgeschermde en vertrouwelijke informatie te confisqueren. Vaak heeft de hacker maar een beeld nodig om uiteindelijk enorm veel data buit te maken.
Voorbeeldscenario: Een hacker dringt een gebouw binnen in de vermomming van een leverancier of een monteur. Van de receptie krijgt hij of zij een pasje en kan daarmee vrij door het kantoor rondlopen. Op een onbewaakt ogenblik kan de crimineel met zijn smartphone een screenshot maken van een scherm waarop login-informatie getoond wordt of aan de hand van de toetscombinatie van een medewerker het wachtwoord raden. Op dat moment is een bedrijf visueel gehackt en kan in een cyberaanval veel schade aangericht worden.
Oplossing: Neem maatregelen die het belang van visuele privacy benadrukken omdat ook dit een bedrijfsrisico vormt. Policies en procedures moeten ervoor zorgen dat visueel hacken op devices en documenten onmogelijk wordt. Een awareness-programma in combinatie met continue informatie over visueel hacken en andere low-tech bedreigingen kan ook elpen.
2. De dreiging van een insider
Dataverlies door toedoen van een medewerker zou iedere IT-manager zorgen moeten baren. Steeds meer voorbeelden hiervan duiken op. Ook bij de hack bij Sony Pictures zouden de hackers gebruik hebben gemaakt van insiders om toegang tot het bedrijfsnetwerk te krijgen.
Vooral achteloze medewerkers die toegang hebben tot alle bedrijfsbronnen via een mobiel device, kunnen makkelijk gegevens en intellectueel eigendom lekken, soms zonder dit zelf te weten.
Ook de categorie ontevreden medewerkers vormen een serieus risico. Deze mensen zijn uit op financieel gewin of voeren een door haat gevoede agenda. Vooral als zij in beeld komen bij hackers, zijn ze levensgevaarlijk.
Oplossing: Bij de achteloze medewerker is het vooral gebrek aan bewustzijn en laksheid die het risico vormt. IT kan hierbij helpen door policies en procedures te formuleren die professioneel omgaan me bedrijfsdata vereisen. Daarbij kan ook een remote-wipe mogelijkheid voor mobiele devices helpen. Voor ontevreden medewerkers geldt dat het vooral verdachte gedragingen zijn die de alarmbellen af zouden moeten laten gaan.
3. Social engineering
Bij social engineering maakt de hacker misbruik van de menselijke psychologie om toegang te verkrijgen tot bedrijfssystemen. Een social engineer kan bijvoorbeeld de medewerkers bellen en zich voordoen als leverancier of IT-collega en om vertrouwelijke informatie als e-mailadressen of wachtwoorden vragen om zogenaamd een probleem met de server op te lossen.
Ook kunnen ze proberen het bedrijfsnetwerk proberen op te komen via spearphishing; daarbij wordt een e-mail verzonden met een malafide link. Als de aanval succes heeft, is het een fluitje van een cent voor de hacker om diep de netwerken en databases van het bedrijf te penetreren.
Social engineers zijn vandaag de dag enorm sluw. Vaak bestuderen ze het bedrijf uitgebreid van tevoren waardoor ze kennis hebben van de bedrijfsprocessen en daardoor met veel vertrouwen een gesprek kunnen voeren.
Oplossing: Het verhogen van bewustzijn is het belangrijkst in de bestrijding van social engineering. Een communicatiecampagne waarin praktijkvoorbeelden uitgelicht worden, kan medewerkers helpen de aanvallers te herkennen. Werknemers moeten daarnaast aangemoedigd worden verdacht gedrag direct te rapporteren aan IT-managers.
Larry Ponemon is directievoorzitter en oprichter van het Ponemon Institute, een onderzoeksbureau gespecialiseerd in privacy en databescherrming.
Reageer
Preview