Jullie zijn WEL interessant
Als DBHeroes komen we graag bij de bedrijven ‘thuis’. Na een korte inspectie van het netwerk, de netwerkproducten en de databases komt het regelmatig voor dat we moeten concluderen dat de beveiliging ‘wel wat beter zou kunnen’. Maar dat is niet eens wat mij het meeste zorgen baart. Het zijn de laconieke reacties. Een voorbeeld? “Wij zijn niet interessant”.
Daar gaan mijn nekharen recht van overeind staan.
We zijn niet interessant? Hoe bepaal je dat? Wie bepaalt dat? Iemand die het op jullie voorzien heeft, vindt jullie interessant. Vindt jullie data interessant, om wat voor reden dan ook. En het hoeft niet eens zo te zijn dat het om jullie eigen data gaat. Misschien zijn jullie een ingang tot een andere partij. Bijvoorbeeld omdat jullie op een bepaald netwerk aangesloten zijn. Dit zien we bijvoorbeeld vaak bij de overheid. Een onbedoeld overheidsportaal voor hackers.
Ja, ook bij de overheidsdiensten horen we dat nog vaak. “We zijn niet interessant”. Misschien niet direct, nee. Maar wat men vergeet dat men aangesloten zit op een overheidsnetwerk, wat discreet moet zijn. Zo werkt het namelijk: als je bij een partij wilt binnenkomen, ga je kijken wie de zwakste schakel is. En dan kan de informatie in jouw database misschien niet interessant zijn, maar het kan wel een mooie sluiproute zijn. Dus als een hacker zo binnen kan komen, dan is hij weer een stap verder. Van daaruit kan hij weer kijken hoe hij verder kan komen. Het is een puzzel en je begint bij de hoekjes en de buitenrand, langzaam toewerkend naar het doel, het centrum. Los daarvan snapt men vaak ook niet dat hun data wél interessant is. En dat het interessant is wordt ook wel bevestigd vanuit de nieuwe wetgeving AVG / GDPR die afdwingt dat wij goed met onze gegevens omgaan. De Autoriteit Persoonsgegevens gaat ook controleren bij de overheid, grote organisaties en de gezondheidszorg.
Het is wat dat betreft allemaal een wassen neus. Als ik zie hoe vaak het gebeurt dat je binnenkomt bij een organisatie en dat je meteen domain admin bent! Dan kun je als externe consultant of als stagiair al meteen alles op het netwerk. Of dat service accounts van producten domain admin zijn. Als ik zeg dat dat direct moet worden aangepast, dan is de reactie vaak heel lauwtjes – “ja, we hebben daar wel een project voor, maar ach ja, andere zaken gaan even voor.” Men doet er echt heel heel laconiek over.
Ook komt het regelmatig voor dat men denkt dat alles goed beveiligd is. Dat de producteigenaar zegt: “Er is maar één persoon die bij de ruwe data mag komen, onze security nemen we heel serieus.” En van leveranciers horen we vaak: “aan de voorkant is het goed geregeld! Wij hebben de applicatie goed geprogrammeerd”. Maar wat ze er dan niet bij vertellen, is dat de applicatie wel een speciaal account nodig heeft voor de database. Dit account wordt verder niet gecontroleerd en iedereen kan er gewoon gebruik van maken. Zo kan de hele wereld alsnog bij de data, buiten de applicatie om. En een beetje hacker kan dit zo vinden. Ik heb geen rechten, maar het product waar ik gebruik van maak, mag alles? Dan gebruik ik dat toch?
En bij andere organisaties heeft iedereen by default dezelfde rechten. Omdat ze allemaal generalisten zijn, moet iedereen alles kunnen, want “we willen geen onderscheid maken”. Dus iedereen kan dan bij alle data. Eén database is misschien niet interessant. Maar combineer de gegevens uit de verschillende databases en het wordt alweer een stuk interessanter.
Vanuit de AVG zal de Functionaris Gegevensbeschermer ook inzichtelijk gaan maken welke informatie wordt opgeslagen in de databases. En of dit informatie is die minimaal nodig is voor het doel waarvoor het wordt opgeslagen.
Databeveiliging is dus zonder overdrijven van levensbelang voor bedrijven en organisaties. Dat besef moet er nu echt komen. Jullie zijn wél interessant!
Voor vragen of advies neem contact op met Christian Hageraats.
Christian.Hageraats@dbheroes.eu
telefoon 088 888 6097
Of neem contact op via het contactformulier
[ terug ]