Tips van een hacker

Veelgemaakte fouten volgens ethical hacker Barry van Kampen

Nieuws - 16-05-2017

Van welke veelgemaakte fouten gaan de haren van een ethical hacker recht overeind staan? Barry van Kampen deelt tips over cyberveiligheid voor ondernemers.

Hacken voor een goede zaak

Zijn al jouw systemen hack-proof? Ethical hacker Barry van Kampen van ‘The S-Unit’ zet zijn hack-skills in voor een goede zaak. Kan hij je systemen kraken? Dan kunnen cybercriminelen dat ook. “Veiligheidsrisico’s zijn er niet alleen voor grote bedrijven”, legt Barry uit. “Bij cybersecurity is het geen kwestie van ‘hoe groter het bedrijf, hoe groter het belang’. Je moet je afvragen: wat heb ik in handen? En wat kan daar mis mee gaan?.”

Wat heb je in handen?

De digitale gegevens waarmee een zzp'er of mkb'er werkt, kunnen net zo gevoelig zijn als die van een grote organisatie. Sterker nog: vooral voor eenpitters kunnen veiligheidsissues een desastreuze impact hebben op de bedrijfscontinuïteit, omdat je daar in je eentje de risico’s draagt en bewaakt. Daarnaast heeft een zzp’er vaak minder middelen en expertise voor beschermingsmaatregelen.

Van het risico dat informatie in de verkeerde handen kan vallen, zijn we ons bewust. Maar onder de radar zijn veel meer risico’s.

Waar laat je het?

Een volgende vraag die je jezelf volgens Barry moet stellen is: Waar laat ik de informatie? “Iedereen weet dat het niet handig is om gevoelige informatie op een onbeveiligde usb te zetten, in je rugtas te stoppen en ermee in de trein te stappen. Van het risico dat het dan in de verkeerde handen kan vallen, zijn we ons bewust. Maar onder de radar zijn veel meer risico’s. Weet je wel zeker of de tools en software waarmee je werkt veilig genoeg zijn voor jouw doeleinden?”

Doe geen aannames bij veiligheid

‘Die software kan ik vast wel veilig gebruiken’, wordt vaak gedacht. Maar die aanname is fout nummer 1, zegt Barry. “Een programma om je boodschappenlijstje bij te houden, hoeft bijvoorbeeld nog niet geschikt te zijn voor het bewaren van je DigiD-gegevens. Leg aan de softwareleverancier uit waarvoor je het programma wilt gebruiken en vraag of het veilig genoeg is. Je kunt zelfs een bewerkersovereenkomst afsluiten, waarin staat wie voor welke informatie verantwoordelijk is en aan welke maatregelen voldaan moet worden.”

Zijn jouw inloggegevens ooit gelekt?

Dagelijks lekken grote databases wachtwoorden, zonder dat gebruikers zich daarvan bewust zijn. Een tip van Barry: “Controleer maar eens op ‘Have I been pwned’ of jouw gegevens al eens gelekt zijn. Zo ja, dan is het wellicht een goed idee om van je oude vertrouwde wachtwoord af te stappen.”

Weg met Welkom01

Ook eenvoudige wachtwoorden zijn een valkuil. ‘12345’ of ‘winter2016’? Een supercomputer kraakt zo’n eenvoudig wachtwoord binnen een uur. “Gebruik bijvoorbeeld wachtwoordmanagers en wachtzinnen in plaats van wachtwoorden”, tipt Barry. “Pas ook op voor de volgende valkuil: de reset”, waarschuwt hij. “Als je je wachtwoord kwijt bent, wordt tijdelijk een nieuw wachtwoord voor je aangemaakt. Vaak is dat ‘Welkom01’. Hét moment voor kwaadwillende hackers om je account binnen te dringen. Verander hem dus meteen.”

Vergeet software niet te updaten: "9 van de 10 keer is dat om een lek te dichten"

Test en update regelmatig

Een andere onnodige slordigheid in cybersecurity is het vergeten van updates. Ze zijn er namelijk niet voor niets, weet Barry. “Die updates bevatten verbeteringen van je software. 9 van de 10 keer is dat om een lek te dichten. Test de beveiliging van je systemen ook regelmatig, of zorg ervoor dat de leverancier van de systemen ze regelmatig test.”

Balans tussen functionaliteit en veiligheid

Voorkomen is beter dan genezen, is het motto van Barry. Het is verstandiger en goedkoper om beveiliging vanaf het begin te betrekken bij je bedrijfsvoering, dan om achteraf te moeten repareren. Dat betekent heus niet dat je alles dicht moet timmeren. Barry: “Het is de kunst om met de middelen die je hebt een goede balans te vinden tussen functionaliteit en veiligheid. Je kunt een Fort Knox bouwen, maar op systemen die niet functioneel zijn zit geen klant te wachten.”