Handelsbedrijf gehackt

Een handelsbedrijf met 10 medewerkers heeft haar IT volledig uitbesteed aan een IT-leverancier. Alle data staat hoofdzakelijk in de cloud. Telefonie en internetverbindingen worden extern ‘as-a-service’ ingekocht. Daarmee denkt men alles goed geregeld te hebben. Niets is minder waar, het bedrijf wordt gehackt en volledig stilgelegd.

Bewustzijn
“We waren ons niet bewust van het risico dat we liepen.” vertelt eigenaar Frank. “We kochten alles in bij gerenommeerde partijen en besteden er verder geen aandacht aan. Onze business loopt goed maar kost veel energie om alle ballen in de lucht te houden”. Alhoewel men niet had bespaard op kosten en alle mogelijke maatregelen had genomen, zoals een goede firewall, was het niet op elkaar afgestemd en ook niet goed geconfigureerd. Ook het wachtwoord beleid klopte niet.

Aanval
Het MKB bedrijf werd daarom gehackt. Bestanden werden door een hacker versleuteld en de toegang geblokkeerd. Na onderzoek bleek dat een hacker al een aantal maanden ‘meekeek’ in het systeem. Dat was mogelijk doordat de firewall weliswaar geactiveerd was, maar nog het fabriekswachtwoord had. Hierdoor had de hacker zich toegang kunnen verschaffen en vanuit dat punt verder in het netwerk gekomen. Het IT bedrijf had de firewall keurig geleverd en aangesloten. De configuratie zou door een externe systeembeheerder gedaan worden, in samenwerking met de telecom provider. En daar ging het mis, want zij ging er vanuit dat het IT bedrijf dit zou verzorgen, omdat dit -in hun ogen- bij de configuratie van de firewall hoorde. Dit gold ook voor het toegangsbeleid. Iedereen had in het kleine bedrijf toegang tot alle bestanden. Er werd weliswaar met (complexe) wachtwoorden gewerkt maar er was geen multi-factor authenticatie geactiveerd (naast een wachtwoord heb je dan een extra ’token’ nodig als een SMS of code uit een App) zodat de hacker deze eenvoudig kon achterhalen.

Pas na inschakeling van het incident response team (IRT) en het terugzetten van backups kon het bedrijf weer verder. Onduidelijk bleef wat er precies aan informatie was buitgemaakt, want er was geen adequate logging geweest.\

Geen penetratietest uitgevoerd
De netwerkinfrastructuur en het (wachtwoord en IT) beleid werden ook nooit getest. Met een periodieke penetratietest was het probleem met de firewall eenvoudig boven water gekomen.  Ook zou er aangedrongen zijn op het activeren van multi-factor authenticatie en inregelen van toegang per rol in het bedrijf. En ook training van medewerkers had het bewustzijn vergroot om signalen op te vangen en kritischer te zijn.

Ook was de zogenaamde ‘logging’ niet goed aangezet. Hierdoor kon er lastig achterhaald worden wat er precies was foutgegaan.

Leerpunten
Uit deze zaak kunnen we de volgende aandachtspunten formuleren.

  1. Zorg voor bewustzijn binnen de organisatie van cyber en privacy risico’s.
  2. Stem de samenwerking tussen IT leverancier en de organisatie goed af, en betrek een gespecialiseerd cyber security bedrijf. Zorg voor heldere verantwoordelijkheden en controleer veronderstellingen.
  3. Implementeer alle ‘best practices‘ zoals juiste configuratie van netwerkinfrastructuur en multi factor authenticatie alsmede een rolgebonden toegangsbeleid met actieve logging en monitoring van kritische elementen en applicaties.
  4. De beveiliging van de cloud is een gedeelde verantwoordelijkheid met de Cloud Provider.
  5. Vergeet de thuiswerkplekken niet.
  6. Test regelmatig middels penetratietests en quickscans, zoals onze Webscan en Thuiswerkscan.

Een goede cyber security is organisatie specifiek. Neem contact op met Sygnius om te ontdekken wat wij voor elkaar kunnen betekenen.