Structureel securityproblemen als #wannacry voorkomen
Iedere ondernemer is na dit weekend en de nieuwe uitbraak van een ransomware als #wannacry vermoedelijk voldoende geschrokken om de informatieveiligheid van je infrastructuur ernstig te gaan nemen.
Het ergste is dat wie problemen heeft met #wannacry ook zelf boter op het hoofd heeft omdat ze in de eigen beveiliging steken hebben laten vallen door een veelvoud aan kleinigheden :
- Er zijn geen software-updates, ze zijn al maanden ( patch was van maart) niet uitgevoerd en er is geen structurele manier om de software binnen versheidsdatum te houden.
- Ondanks het feit dat iedereen hier al 15 jaar over zeurt, heeft niet iedereen (overal)een goeie antivirus draaien of is de antivirus niet up-to-date en wordt niet op een structurele manier up-to-date gehouden.
- Er zijn geen goeie, regelmatige en gecontroleerde backups laat staan een business continuity plan. Dus als de interne data geëncrypteerd wordt, kan men niet terugkeren naar een recente backup. Men is ook niet met business continuity bezig geweest m.a.w. zelfs al heeft men een backup heeft men de restore nog nooit getest en is er geen kant-en-klare procedure om alles te herstellen.
- Er is een zeer liberale veiligheidspolitiek op zowel firewall ( er wordt van alles doorgestuurd naar interne processen, vaak zonder enige afscherming) en naar buiten toe mag gewoon alles. Intern kan iedereen aan alles en zijn geen segmenteringen gebouwd. Op die manier geraak je snel besmet. De besmetting verspreid zich vliegensvlug omdat de besmette gebruiker aan teveel data op gedeelde mappen, zelfs waar hij of zij niet in hoort te zijn kan. De besmette PC kan ook netjes andere toestellen binnen het netwerk gaan gebruiken.
- Er draaien nog zeer veel oude, niet-meer ondersteunde systemen die gebruik maken van XP of Windows 2003 server. Systemen waar er al jaren geen structurele updates meer voor zijn en waar iedereen voldoende voor gewaarschuwd heeft dat ze een accident waiting to happen zijn.
- Last but not least is er vaak geen gestructureerd veiligheidsbeleid binnen de organisatie: er is geen veiligheidsplan, niemand volgt structureel de alarmen die misschien rondgestuurd worden op, te weinig wordt er structureel in de gaten gehouden en is er vaak zelfs niet eens een inventaris van alle toestellen, toepassingen en data binnen de structuur. Op die manier wordt de cyber-brand laat gedetecteerd en is het voor de brandweermannen ook zeer moeilijk blussen als je niet weet welke chemische stoffen er zich in de hangaar bevinden die in lichterlaaie staat.