article banner
Cybersecurity

Voorkom cyberrisico’s door vergeten systemen op te sporen

Uw organisatie heeft zeer waarschijnlijk grote hoeveelheden systemen en data in huis. De kans is dan ook groot dat ten aanzien van de beveiliging van uw data iets over het hoofd wordt gezien. Uw apparatuur waarop uw data is opgeslagen, zoals servers en werkstations, vereisen aandacht om het gewenste beveiligingsniveau te behalen en te behouden. Het beperken van beveiligingsrisico’s is dan ook vaak een vast onderdeel binnen de werkzaamheden van de interne IT-afdeling of de externe IT-leverancier. Worden risico’s soms echter over het hoofd gezien?

‘Vergeten’ apparaten vormen een risico voor de beveiliging van uw data

Het aantal verschillende apparaten binnen een organisatie groeit. Denk bijvoorbeeld aan printers, scanners en (beveiligings-)camera’s die vaak zijn aangesloten op het interne bedrijfsnetwerk en in sommige gevallen zelfs zijn voorzien van een eigen account binnen uw netwerk. Wist u dat deze apparaten een risico vormen? Dergelijke apparaten worden relatief snel ‘vergeten’ tijdens het reguliere beheerproces waar de kans bestaat dat ze een zwakke schakel vormen ten aanzien van de IT-beveiliging en dus een risico vormen.

Bij een recent onderzoek naar de IT-beveiliging van een organisatie, stonden de interne IT-afdeling en de facilitaire dienst(en) - net zoals bij veel andere organisaties - volledig los van elkaar. Terwijl er meer overlap was dan u wellicht in eerste instantie denkt. Tijdens ons onderzoek kwam een loginscherm in beeld van een applicatie genaamd ‘Metasys’, een gebouwbeheersysteem voor klimaatbeheersing, beveiliging en verlichting.

Gebouwbeheersysteem biedt controle voor u én uw hacker

Uit onderzoek bleek dat de betreffende versie verouderd was en dat deze publiek bekende kwetsbaarheden bevatte waarmee onder andere gevoelige informatie van Metasysgebruikers was in te zien. Om een concreter beeld te krijgen van de eventuele gevolgen en de daaruit voortvloeiende risico’s was het echter nodig om een stap verder te gaan. Door het voornamelijk handmatig in kaart brengen van verschillende kwetsbaarheden, zowel in de Metasys software als daarbuiten, en deze kwetsbaarheden aan elkaar te verbinden groeide het uiteindelijke risico voor de organisatie. Hierbij kwam het voordeel van handmatig onderzoek duidelijk naar voren. Een geautomatiseerde kwetsbaarhedenscanner kan immers geen kwetsbaarheden in verband met elkaar brengen en een (goed) beeld geven van de risico’s voor de organisatie.

Met behulp van de toegang tot het gebouwbeheersysteem konden kwetsbaarheden die zich buiten het gebouwbeheersysteem bevonden worden geïdentificeerd en misbruikt. De uiteindelijke keten van kwetsbaarheden werd gevormd door beveiligingsissues binnen Metasys en kwetsbaarheden binnen het interne netwerk van de organisatie, waaronder onveilige configuraties en het gebruik van zwakke wachtwoorden. Wat begon met het achterhalen van gevoelige informatie via het gebouwbeheersysteem, leidde vervolgens tot het verkrijgen van toegang tot alle systemen en data binnen de organisatie.

4 tips hoe u een dergelijk risico kan voorkomen

  1. Inventariseer uw IT-infrastructuur en betrek hier ook andere afdelingen, buiten IT, bij. Door uw hele organisatie bij het IT-proces te betrekken kan beter in kaart worden gebracht waar maatregelen moeten worden genomen of aangescherpt. Dit geldt dus ook voor de andere tips om de risico's te beperken.
  2. Het ‘hardenen’ en veilig configureren van systemen heeft in het algemeen een grote invloed op het informatiebeveiligingsniveau. Voor het hardenen en het zo veilig mogelijk configureren van systemen kunt u hardening guidelines gebruiken.
  3. Breng alle software, die binnen de infrastructuur van uw organisatie wordt gebruikt, binnen een redelijk tijdsbestek up-to-date. In nieuwe versies van software zijn vaak bekende kwetsbaarheden, met uiteenlopende risico's, al opgelost. Geef uw belangrijkste systemen de hoogste prioriteit. Systemen die verbonden zijn met het internet vormen in de meeste gevallen een groot risico.
  4. Stel een ‘patchmanagement proces’ in voor het up-to-date houden van software.

Wilt u meer weten over de beveiliging van uw data en systemen? Neem dan contact op met onze Cybersecurity adviseurs.

Case study: Full access to systems and data via a ‘forgotten’ system

Actualiteiten