In het tweede deel basis elementen voor een goed NIS2 beleid lichten we nog een paar belangrijke fundamentele filterlagen toe. In lijn met de recente toevoegingen in de pas gepubliceerde Iso 27001:2022 vergeten we ook de cloud en het WWW darkweb niet. Zeer weinig bedrijven zijn nog niet hybride oftewel maken gebruik van interne endpoints en servers en applicaties in een mix met cloudopslag en toepassingen. De digitale kroonjuwelen vervoeren vraagt om extra oplettendheid. We beseffen allemaal ondertussen maar al te goed dat het WWW een duister kantje heeft vol digitale boobytraps.
7. Beveilig uw netwerk
Als je enkel computer verbindingen intern in één ruimte afgesloten van de buitenwereld zou hebben is een firewall in regel een overbodige luxe. Zoals we reeds aangegeven hebben, is dat in de huidige context haast nooit meer het geval. Zelfs een oceaanstomer connecteert steeds meer met snelle starlink verbindingen met het vasteland. Een firewall opgezet door ADTS en Serso naar de regels van de kunst verbiedt alle NIET geautoriseerd dataverkeer. Een belangrijke optie van een firewall en switch installatie is deze te verfijnen met VLANS en ook te voorzien van MFA EN IAM.
Het lijkt of we het leuk vinden met afkortingen te gooien maar iedereen die op de hoogte is van cyberbedreigingen en hacking weet dat dit over Multi Factor Authentication , een veelheid van voor een hacker onbekende paswoorden en fysieke tokens gaat. Een eenmalig paswoord mag achterhaald worden, aangezien de volgende keer een andere reeks tekens gevraagd wordt. Er wordt door aanmeldingen gebruik gemaakt van enkele herkenningspunten zoals bijvoorbeeld je smartphone en de serie nummer hiervan(uniek), je simkaartnummer (uniek), je bankkaartnummer. Dit alles wordt in een combinatie gegoten met een sterk algoritme dat deze gegevens omvormt tot één code die alleen door een vertrouwde ontvanger ontrafelt en bevestigd kan worden.
Bijkomnd is er na de controle op je identiteit ook een IAM controle die nagaat via MFA wie je bent en dan controleert wat je mag doen binnen een netwerk. Waardoor de kans op het toegang krijgen tot de digitale kroonjuwelen door een paar digitale buitenwippers afgeschermd wordt.
De thuiswerkers zijn ook al bekend met een VPN client die een extra stuk verzekering biedt dat de juiste en toegelaten gebruiker via de firewall binnengelaten wordt.
Een zeer belangrijke extra filter laag voor je netwerk is de controle op de geografische locatie van de endpoint en gebruiker en controle van de IP adressen die verbinding maken. Dit voorkomt ook dat hackers een SSO cookie stelen en dit gebruiksgemak uitbuiten om in jouw plaats toegang tot bestanden of maildiensten te verkrijgen.
Cruciaal voor een goede cybersecurity zijn de updates op alle niveaus. Eerst voor de Endpoints en hun OS. Dan voor de firewall, Wifi accespoints en de switchen , vervolgens voor de servers. Patchen is een continu gebeuren en dient steevast dagelijks te gebeuren.
Ook een goede paswoord hygiëne en procedure op controle houdt al een groot extra percentage hackers buiten.
8. Fysieke toegang
Toen ik als auditor een hotel controleerde tijdens de GDPR (AVG) tsunami in 2019 uitte de hotelbeheerder fier dat zijn servers ontoegankelijk waren voor onbevoegden. Toen ik een ronde deed passeerde ik de serverruimte en vroeg aan een kamermeisje of ze me even toegang kon geven. Mijn strak pak en glimlach gaf me zo toegang tot ALLE staatsgeheimen van het hotel. Er was een goede afscherming maar of het veilig was dat een kamermeisje met haar loper de deur kon openen van de serverroom laat ik aan jullie gedachtegang over. Ik had dan wel geen paswoorden maar een cd tje en de server booten kan wonderen doen. Fysieke toegang controle en beperking van de sleutels waar de digitale kroonjuwelen zich bevinden prio één.
Fysieke controle gaat verder dan sleutels en toegangslijsten. Het omhelst evenzeer verantwoordelijk gedrag met de laptop van het bedrijf. Ligt deze ergens in een drukke straat op de achterbank van je auto. Staat er een appel op? Een ingeslagen ruit zal het resultaat worden. Ook de schermvergrendeling als je even je plaats verlaat is een filter die de data van jou en je bedrijf beschermt. Ook analoge prints van verslagen of andere gevoelige informatie veroorzaken bij verlies evenveel GDPR lekken als de digitale versie op een USB media. Even nadenken ….
9. Belangrijke gegevens bewaren in een digitale kluis.
Er is heden ten dage een retour naar de traditionele tapes met back-ups. Deze worden achter slot en grendel bewaard en bij NIS2 essentiële bedrijven zal dit zelfs in een brandwerende kluis gebeuren. Bij sommige calamiteiten kan deze back-up het verschil maken tussen een snelle restore binnen de x-minuten of honderdduizenden euro’s verlies in omzet.
De back-up wordt in zo’n bedrijf aan een gespecialiseerd team gegeven en ik stel zelfs het principe voor dat mijn vader als vliegtuigtechnieker in de jaren 70 verplicht opgelegd werd. Per vliegtuig en in ons geval de back-up procedure worden 2 verantwoordelijken aangesteld per dag. De ene technieker voerde een checklist uit van onderhoud en de tweede moest het werk van de eerste controleren en kreeg een bonus als hij een fout vond. Er zijn geen vliegtuigen door nalatig onderhoud neergestort dus het hielp wel. Evenzo dient de ene system engineer de Back-up procedure te doorlopen en controleert de andere of alles correct is uitgevoerd, gaande van check tegen cryptolocking, nazicht of de bestanden geen alerts geven en als laatste en zeer belangrijke test een uitwijktest uitvoeren op een andere locatie. In een goed behandelde back-up procedure worden de back-ups geëncrypteerd vooraleer een uitwisseling gebeurt buiten het interne netwerk of naar de Cloud. Dit vereist uiteraard dat het management controle heeft over de encryptie sleutels.
10. Cloud adoptie maar wel rekening houden met digitale regenwolken
Ik geef toe dat over dit topic enkele afleveringen op zich gaan geschreven worden. Voor de cybersecurity addicts onder ons lees zeker eens de handleiding van ENISA door die je vindt op
https://www.enisa.europa.eu/publications/cloud-security-guide-for-smes
We gaan u nu al aanraden enkel gebruik te maken van private Cloud omgevingen die je bedrijf zelf streng bewaakt volgens de controls van ISO 27001:2022 of je een keuze maakt van een A-cloudaanbieder die je de nodige adelbrieven voorlegt en je contractueel verzekert dat bij een fout van hun je een compenserende schadevergoeding krijgt.
Voor Europese bedrijven gaat de volle voorkeur uit naar EU bedrijven die de regels van GDPR en DLP streng hanteren. Maar hierover binnenkort meer.
11. Ook je websites zijn een achterdeur voor hackers (backdoor)
Ik zie vaak dat bedrijven zeer nonchalant zijn in het beheer van hun websites en cloudportalen. Ook hier zijn meestal paswoorden en logins te rapen bij slecht beheer. Onze pentesters zijn al vaak aan Admin gegevens geraakt door nalatig beheer en patching van de websites. Als je beseft dat een printer in je kantoor ook vaak zo’n webportal heeft met wachtwoorden waarin onbeschermd admin gegevens van het domein zijn ingegeven hoef ik u niet te vertellen wat met deze gegevens door een hacker op jullie goed beveiligde server zal gebeuren. In een goede cybersecurity hygiëne zal je vulnerability scanner dan ook deze doorlichten en je alarmeren. Deze controle is basis voor het afschermen van je digitale kroonjuwelen.
12. Kennis is macht
Voor een NIS2 essentieel bedrijf is het opzetten van een INCIDENT management team en procedure een basisvereiste. Hier geldt het TMIT principe (The Mistakes I Tried) of met andere woorden laat andere bedrijven van jou fouten leren. We zullen de hackers geen zuurstof geven door technieken en tools die hun kwaliteit bewezen hebben aan te bevelen en te integreren. Ook een verfijnd framework met als basis Iso 27001:2022, ISO 27005:2022 COBIT 19 en CIS in een hackvrije mix en cocktail bezorgt bij een goed incident beheer belangrijke informatie. Deze gebundelde informatie is astronautenvoedsel voor je bedrijf in de nimmer stoppende strijd tegen hackers. Het zojuist opgesomde is geen eindbestemming. Een laagje ZERO trust saus zullen we in een volgend artikel erover gieten.