• Interne processen

  • Financieel Management

  • Human resources management

Cybercrime, forensic readiness in het MKB

Op 18 maart jl. heb ik een expert class gevolgd van de KienhuisHoving Academy over Cybercrime.

Link naar Kienhuishoving Academy

Mijn doel was te achterhalen op welke terreinen het MKB hier risico’s loopt en welke preventieve maatregelen je kan nemen. De trend is dat er steeds meer software en data via de Cloud wordt gebruikt en opgeslagen. Daarmee is de data van je organisatie wellicht kwetsbaar voor aanvallen via het web, terwijl data lokaal opslaan weer andere risico’s kent. Denk aan het verloren gaan van data bij diefstal of brand. Naast een risico op bijvoorbeeld een virus, waardoor je mogelijk data kwijt raakt is er ook een risico dat data in verkeerde handen valt of verkeerd gebruikt wordt via mensen die toegang hebben tot jouw data. Denk aan (ex) werknemers/stagiaires of tijdelijk personeel of derden die via onzorgvuldig gebruik van wachtwoorden toegang hebben, krijgen of zelfs houden na uitdiensttreding. Het advies om dit te voorkomen is om procedures op te stellen hiervoor en je hier uiteraard aan te houden! Denk zowel aan de procedure om iemand daadwerkelijk af te sluiten van toegang tot de data, maar ook aan het opstellen van afspraken over geheimhouding en eigendom van bedrijfsdata in de arbeidsovereenkomst of een aanvullend arbeidsreglement. Als je dit niet vast legt is het ook veel moeilijker hier tegen op te treden wanneer deze regels worden overtreden.

Een MKB ondernemer die via de Cloud gaat werken bekijkt de opties hiervoor meestal vooral vanuit bedrijfseconomische en praktische kant. Hoeveel kost het, hoe makkelijk is de data benaderbaar vanuit alle devices die de ondernemer of zijn werknemers gebruikt etc. Natuurlijk worden er wel vragen gesteld over de beveiliging en de back-up procedure, maar de specialisten van KienhuisHoving en FOX IT hebben de ervaring dat er meestal geen tests worden gedaan of bijvoorbeeld een back-up procedure wel echt werkt. Hetgeen wel een must is om te doen! Ook wordt er meestal niet voldoende gecheckt wie de eigenaar van jouw data in de cloud is, in welk land de fysieke opslag plaats vindt en wat er verder in de kleine lettertjes van de contracten of SLA’s staat. Verder wordt het gebruik maken van logs (waarmee exact kan worden geregistreerd wie wanneer inlogt) vaak uitgezet omdat dit bandbreedte vraagt en daarmee de internetsnelheid omlaag haalt. Na een cyberaanval is er dan veel minder te traceren.

Het is van groot belang te weten waar je privacy gevoelige gegevens wel en niet mag opslaan. Kies je voor een Cloud oplossing let er dan op dat je zelf eigenaar bent en blijft van je data. En dat er niemand anders recht krijgt om jouw data te gebruiken. Belangrijke zaken om vooraf goed uit te zoeken. Denk aan de voorbeelden die we kennen vanuit de media waarbij de NSA toegang heeft tot data. Verder heb je bij Cloud diensten snel met zowel met de Nederlandse wetgeving als ook de Internationale wetgeving te maken. Ook bij een in Nederland gehost data center kan je met Amerikaanse wetgeving te maken krijgen, bijvoorbeeld wanneer er sprake is van een Amerikaanse moedermaatschappij of wanneer het bedrijf op regelmatige basis met Amerikaanse bedrijven zaken doet.

Mocht je slachtoffer zijn van een cyberaanval is het verstandig eerst goed te (laten) onderzoeken hoe groot de schade of mogelijke gevolgschade is. Wanneer je direct de back-up procedure opstart kan het zijn dat je digitale sporen wist. Mogelijk is dan bij aanzienlijke en eventueel verhaalbare schade niet voldoende bewijs te verzamelen. Wacht ook niet te lang met het verzamelen van alle bewijzen, de bewaartermijn hiervoor is maximaal 6 maanden. Mogelijk wordt deze termijn in de toekomst langer.

Tijdens de uitleg door  Mirjam Elferink van KienhuisHoving en Krijn de Mik  (FOX IT) kwam een interessante case aan bod over een ontslagen IT Manager die op zijn laatste werkdag de webshop van zijn ex-werkgever onvindbaar maakte binnen Google. Het bewijs tegen deze oud werknemer kwam uiteindelijk rond, maar was helaas enkele dagen na de termijn van 6 maanden beschikbaar, waardoor de ex-werknemer niet aangeklaagd kon worden.

Er werd tijdens de sessie dieper ingegaan op bovenstaande onderwerpen en de aanwezigen kregen duidelijk antwoord op gestelde vragen. Al met al een leerzame sessie waar ik vanuit mijn leerdoel en doelgroep de volgende conclusies uit kan trekken.

Conclusies:

  • Bekijk de voor- en nadelen van werken in de Cloud niet alleen vanuit bedrijfseconomisch en praktisch perspectief, maar doorgrond ook de aspecten vanuit veiligheid en beveiliging.
  • Check de overeenkomst die je aangaat goed bij het overstappen naar werken in de Cloud (aandacht voor eigendom opgeslagen data, waar de data exact wordt opgeslagen, hoe de back-up procedure is en wat exact in de SLA is opgenomen). Bij twijfel kan je dit uiteraard door een expert laten checken. De volgende expert class Contracteren in de cloud van de KienhuisHoving Academy op 15 april is hier dieper op in gegaan Op 13 mei staat de expert class in het teken van Privacy.
  • Zet registraties (logs) aan om te weten wie wanneer inzage heeft in jouw data, jouw software en op jouw site.
  • Maak procedures m.b.t. toegang tot en omgaan met bedrijfsdata voor zowel je eigen werknemers als tijdelijk personeel. Leg alles duidelijk vast in de arbeidsovereenkomst of het arbeidsreglement.
  • Ga niet te snel aan de slag met terugzetten van een back-up na een incident, mogelijk wis je sporen. Check eerst hoe groot de schade en mogelijke gevolgschade is en of dit mogelijk te verhalen is.
  • Wacht niet te lang met bewijs verzamelen, de bewaartermijn is op dit moment 6 maanden om een zaak rond te krijgen bij bijvoorbeeld een cyberaanval. Mogelijk wordt dit in de toekomst langer.