Nog niet zo heel lang geleden had je het als ondernemer goed voor elkaar als je op alle pc’s en de eventueel aanwezige server(s) in jouw bedrijf een antivirusoplossing had draaien. Van alle bestanden en eventuele databases op de server werd dagelijks keurig een back-up op tape gedraaid die vervolgens wekelijks werden verwisseld met de tapes die in de kluis van de bank lagen te wachten op aflossing. Wachtwoorden had je amper. De wachtwoorden die je had waren vaak niet meer dan de wachtwoorden voor internetbankieren, het enige e-mailaccount van jouw bedrijf en de pc die hier (misschien) om vroeg als je hem ’s ochtends opstartte. De pc die overigens sinds dag 1 op dezelfde versie van het besturingssysteem draaide waarmee hij jaren geleden daarvoor was geleverd met misschien een aantal kleine updates daarna.
De gevoelloze aanvaller
Tegenwoordig wordt van de moderne ondernemer gevraagd “up-to-date” te zijn en kennis te hebben van alle gevaren die in de uithoeken van het internet op de loer liggen. Een ransomware aanval heb je, als jij of één van jouw collega’s even niet oplet, zo te pakken en aan de opmerking “bij mij valt niets te halen” of “wij zijn te klein” heeft de gevoelloze aanvaller (wat vaak een volledig geautomatiseerd proces is) helaas geen boodschap. Sterker nog, uit diverse onderzoeken is gebleken dat júist de kleine ondernemer het perfecte doelwit is, want elke ondernemer beschikt over een bankrekening vanwaar het losgeld kan worden betaalt. https://www.techzine.nl/blogs/security/516182/ransomware-fataal-voor-mkbers-security-steeds-serieuzer-genomen/
Kopie is geen back-up
Ook vandaag de dag maken we – helaas met regelmaat – mee dat ondernemers kopieën maken van bestanden naar een externe harde schijf die vervolgens wordt opgeborgen in de bovenste lade van het ladekastje onder het bureau van de directeur. Dit is dan, in de optiek van de ondernemer, “de back-up”. Een luxere variant hiervan is dezelfde kopie maar dan naar de netwerkschijf (NAS) die zijn onderkomen heeft in de meterkast van het bedrijf.
Wachtwoorden worden vaak nog toevertrouwd aan een papiertje onder het toetsenbord, het notitieblokje in de binnenzak van het colbert of een, met “wachtwoord” beveiligd, Excel-document. De wachtwoorden zijn daarnaast vaak ook makkelijk te onthouden varianten van het initiële gekozen wachtwoord, bijvoorbeeld Wachtwoord12, 1Wachtwoord2, 1Wachtwoord68 of iets dergelijks.
Bij de gebruikte, soms gratis, antivirus-”oplossing” kun je je serieus de vraag stellen of deze wellicht niet júist voor kwetsbaarheden (heeft) (ge)zorg(d)t.
Als het systeem dan uiteindelijk gebruik maakt van de laatste versies van Windows 10 of 11 is het up-to-date houden van het besturingssysteem en de daarnaast geïnstalleerde software van pakketten als Adobe Acrobat Reader of WinZIP ook vaak een ondergeschoven kindje.
Hoe nu verder?
Stap 1: Back-ups, back-ups, back-ups en nog eens back-ups!
Een betrouwbare back-up (lees: geen kopie) van alle belangrijke data, ook van die in de cloud, is essentieel voor de bedrijfsvoering, de continuïteit en misschien zelfs het voortbestaan van jouw bedrijf in geval van een ransomware aanval. Veel ondernemers, maar ook collega IT-bedrijven, hebben vaak nog het idee dat diensten als Microsoft 365, Google Workspace en Dropbox faciliteren in het maken van back-ups van de data die jij bij hun opslaat. De praktijk is dat deze diensten de bestanden, e-mailberichten etc. alleen synchroniseren en dit toch écht geen back-ups zijn. Naast het maken van back-ups van lokale data van bijvoorbeeld de server adviseren wij daarom ook back-ups te maken van de data die de diverse clouddiensten voor jou huisvesten met oplossingen die hier specifiek voor zijn ontwikkeld. Het grote gevaar zit hem namelijk in het feit dat als een lokaal systeem wordt getroffen door ransomware alle bestanden worden versleuteld en een dienst bv. Dropbox deze keurig synchroniseert naar de cloud, waardoor zowel lokaal als online alle bestanden zijn versleuteld. Het terugzetten van kopieën heeft dan ook geen zin aangezien deze vorige week nog zijn gemaakt inclusief het bestand welke besmet was met een ransomware script o.i.d.
Oplossing
Zorg ervoor dat alle data van jou en jouw collega’s wordt gesynchroniseerd naar de desbetreffende dienst, bijvoorbeeld Microsoft OneDrive voor persoonlijke bestanden en Microsoft SharePoint/Microsoft Teams voor bestanden die je deelt met collega’s. Gebruik vervolgens een andere clouddienst die zich specialiseert in het maken van back-ups van diensten als Microsoft 365, bijvoorbeeld Datto SAAS Protection. Datto slaat standaard al haar back-ups versleuteld op in eigen datacenters in de EU. Andere aanbieders maken soms gebruik van Microsoft Azure voor de opslag van de gemaakte back-ups, echter krijg je dan de situatie dat de back-up in hetzelfde datacenter staat als de data waarvan de back-up is gemaakt, wat natuurlijk niet wenselijk is.
Datto SAAS Protection maakt 6 back-ups per dag van alle data in Microsoft 365 zonder retentie. Dat wil zeggen dat je kunt teruggrijpen naar data van de eerste dag dat deze dienst in gebruik is genomen.
Stap 2: Het gebruik van een volgende generatie antivirusoplossing (ook wel EDR genoemd)
Nog steeds maakt het overgrote deel van virusscanners gebruik van zogenaamde virusdefinities met aanvullende “intelligentie”. Dit is vaak een database/bibliotheek die mee geïnstalleerd wordt met de virusscanner op de pc en op basis waarvan virussen worden herkent. De laatste tijd zien we dat een aantal fabrikanten die deze functionaliteiten verder, soms live aanvullen met ervaringen van andere gebruikers uit de cloud. Uiteindelijk blijkt dat ook in dit geval vaak achter de feiten wordt aangelopen.
Oplossing
Door gebruik te maken van een zogenaamde EDR-oplossing (Eindpunt Detectie en Reactie) van bijvoorbeeld Webroot wordt tijdens de initiële installatie een soort van boekhouding aangemaakt van betrouwbare programma’s en de processen van deze programma’s. Deze worden op basis van ervaringen als “Goed” gekenmerkt. Zodra een nieuw en onbekend programma of proces actief wordt, zal deze als “Onbekend” worden gekenmerkt en worden gemonitord totdat hier de status “Slecht” of “Goed” aan kan worden toegekend. Wanneer ransomware actief wordt veranderd de status van “Onbekend” naar “Slecht” en worden alle wijzigingen en acties die de ransomware heeft uitgevoerd ongedaan gemaakt.
Nu ook voor Mac
Al jaren roepen wij dat Mac-gebruikers vaak en vals gevoel van veiligheid ervaren. Jarenlang werd geroepen dat een Mac niet kwetsbaar zou zijn voor virussen en malware, terwijl de software op een Mac technisch niet veel anders is dan die van een Windows-pc en dat het ook alles te maken heeft met het juiste gebruik ervan (bijvoorbeeld niet jezelf beheerderrechten in Windows geven tijdens het alledaags gebruik).
Sinds 2019 is elke versie van MacOS standaard voorzien van een aantal functionaliteiten die hem minder kwetsbaar maken voor virussen en malware. Op basis van onderzoek, uitgevoerd door MalwareBytes, adviseren wij ook op jouw Mac gebruik te maken van een EDR-oplossing.
Stap 3: Organisatie breed wachtwoordbeleid
Wachtwoordbeleid is vaak iets niet-bestaand in een bedrijf en zodra een oplossing, bijvoorbeeld Microsoft 365, dit introduceert wordt al snel de vraag gesteld “kan dat vragen om het wijzigen van het wachtwoord niet worden uitgeschakeld?”
Natuurlijk is het erg lastig om meer dan 4 wachtwoorden te onthouden, met als gevolgd dat deze 4 vaak overal worden ingezet om een account te “beveiligen” tegen ongeautoriseerde toegang, met alle potentiële risico’s en/of gevolgen van dien.
Oplossing
Met de introductie van zogenaamde wachtwoordbeheerders (bijvoorbeeld 1Password of Keeper) hoef je nog maar één wachtwoord te onthouden, namelijk die van jouw account van 1Password of Keeper. Tijdens de installatie van de software wordt gevraagd om een complex wachtwoord of wachtwoordzin. Na de installatie vraagt de wachtwoordbeheerder bij het bezoek van een, voor hem nog onbekende, site of hij het wachtwoord en gebruikersnaam moet onthouden. Hierna zal hij wanneer deze site weer wordt bezocht voorstellen de gebruikersnaam en het bijbehorende wachtwoord voor jou in te vullen. Mocht de wachtwoordbeheerder zien dat het wachtwoord vaker voorkomt in zijn database of zien dat welkom123 wel érg eenvoudig is, komt hij automatisch met het voorstel dit wachtwoord te wijzigen in een wat complexer wachtwoord. Zo hoef jij nog maar 1 complex wachtwoord te onthouden, bijvoorbeeld 3enm0014rt1k3l! en onthoudt jouw wachtwoordbeheerder de rest. Daarnaast wordt zonder gebruik te maken van het toetsenbord het wachtwoord ingevuld waardoor eventueel aanwezige keyloggers (programma’s die de aanslagen van je toetsenbord doorgeven aan potentiële hackers) niets registreren.
GDPR/AVG
Bij de selectie van een wachtwoordbeheerder (dit geldt overigens voor alle software) is het belangrijk dat wachtwoorden en alle overige data versleuteld wordt opgeslagen in datacenters binnen de EU. 1Password en Keeper bieden dit beiden standaard aan.
MFA
Naast de combinatie gebruikersnaam en wachtwoord is ook het advies om, daar waar mogelijk, gebruik te maken van MFA (Meervoudige authenticatie). MFA zorgt ervoor dat je naast je gebruikersnaam en wachtwoord nog een extra code nodig hebt die wordt genereerd door bijvoorbeeld een app op je telefoon of een optie binnen jouw wachtwoordbeheerder.
Stap 4: Wordt vandaag nog up-to-date!
Nadat Microsoft op 10 januari van dit jaar (2023) volledig afscheid heeft genomen van Windows 7, 8 en 8.1 en er dus ook geen beveiliging updates meer uitkomen, dien je als professioneel bedrijf ondertussen volledig te zijn overgestapt op tenminste Windows 10. Windows 10 zal voorlopig naast Windows 11 volledig worden ondersteunt en voorzien van de laatste (beveiliging) updates. Microsoft brengt regelmatig updates uit voor bovenstaande besturingssystemen, waardoor het zaak is deze met regelmaat te controleren en vervolgens uit te voeren. Ditzelfde geldt ook voor de overige software aanwezig op jouw systeem, bijvoorbeeld het Microsoft Office pakket of programma’s als Acrobat Reader of WinZIP. Deze software kan ook kwetsbaarheden bevatten waardoor je systeem open staat voor aanvallen van buitenaf.
Oplossing
Kijk met regelmaat of er updates zijn voor het besturingssysteem van jouw pc en de geïnstalleerde software.
Volledig ontzorgt met Softstream 360
Een ondernemer begint vaak klein. De eerste pc wordt gekocht, personeel wordt aangenomen en voor dat je het weet zit je met 10 man personeel en vaak ook met meerdere pc’s. Het “beheer” wordt vaak door de ondernemer of een medewerker erbij gedaan en wanneer er problemen opdoemen wordt een IT-bedrijf geraadpleegd. Dit noemen we het “break-fix” ofwel “uurtje-factuurtje” model. Er gaat iets kapot, mensen zitten of met hun handen in hun haren of met hun armen over elkaar want, er kan niet meer worden gewerkt. Na een aantal uren komt de medewerker van het IT-bedrijf langs en nog eens een aantal uren verder kan er met wat geluk weer worden gewerkt. Resultaat: een dag aan productieve uren verloren en een hoge rekening van het IT-bedrijf.
Voor ons gevoel zit hier een perverse prikkel voor het IT-bedrijf. Het bedrijf verdient geld op ’t moment dat jij problemen ervaart. Want: geen problemen, geen geld. Het IT-bedrijf is dus gebaat wanneer jij problemen ondervindt.
Met Softstream 360 is het anders. Jij betaalt een vast bedrag per medewerker/systeem per maand waarvoor wij een zakelijk Microsoft 365 Business abonnement leveren, waarmee jij en jouw collega’s gebruik kunnen maken van de laatste Office programma’s, aangevuld met diensten als een e-mailaccount (Microsoft Outlook), bestandsopslag (Microsoft OneDrive en Microsoft SharePoint) de marktleider op het gebied van samenwerken (Microsoft Teams). Daarnaast maken wij dagelijks back-ups van alle data die hierdoor wordt gegenereerd (bestanden, e-mailberichten, contacten, chats etc.), worden jouw systemen voorzien van een volgende generatie EDR-oplossing en worden deze 24/7/365 proactief gemonitord en lossen wij kleine incidenten op voordat deze zich ontwikkelen in grote problemen. Elke medewerker ontvangt een wachtwoordbeheerder en kan gebruik maken van onbeperkte technische telefonische ondersteuning, en als het nodig is komen wij zonder voorrijkosten op locatie om ’t probleem op te lossen.
Zo weet jij als ondernemer waar jij, voor één vast bedrag per maand, aan toe bent en is jouw IT-omgeving altijd up-to-date!