Hoe een slecht beveiligd datanetwerk tot een datalek kan leiden

Mensen van buiten je organisatie die stiekem mee kunnen kijken met data die over je wifi-netwerk wordt verzonden. Gebruikers die via een openbaar en onbeveiligd netwerk verbinding maken met je netwerk. Het zijn allemaal zaken die je als IT-manager wil zien te voorkomen.

Maar hoe dan?

Niet iedereen is zich er van bewust dat applicaties die we allemaal gebruiken (WhatsApp, Facebook, etc.), soms ook zakelijk, data verzendt zonder encryptie. Super onveilig dus. Pas sinds kort verstuurt Facebook jouw aanmeldgegevens beveiligd door naar hun servers en zelfs WhatsApp is pas sinds een paar jaar voorzien van end-to-end encryptie.

1. Het risico van Bring your own device netwerken

Hoe een slecht beveiligd datanetwerk tot een datalek kan leidenSteeds meer bedrijven hanteren een beleid dat medewerkers eigen apparatuur mogen kiezen en zelfs eigen laptops, tablets en smartphones mogen gebruiken om bedrijfsdata te raadplegen.

Is dit nou wel zo’n goed idee? En hoe zorg je ervoor dat je dit goed kan faciliteren?

Als IT-verantwoordelijke zit je niet te wachten op gebruikersvragen over apparatuur die jij niet kent.

Wij hanteren bij Microway daarom een strenge controle aan de poort: gebruikers melden zich aan op het netwerk en op basis van hun gebruikersrechten mogen zij bedrijfsdata wel of niet zien.

Heeft de gebruiker zijn apparaat met een code beveiligd en voorzien van een anti-virus pakket? Zijn de laatste beveiligingsupdates toegepast en is er een firewall op de laptop aanwezig?

Deze controle aan de poort is volledig te automatiseren met slimme netwerk-onboarding oplossingen. We controleren op de aanwezigheid van anti-virus, updates en gebruik van een wachtwoord op het werkstation, laptops of smartphone.

2. Ongewenste toegang tot je netwerk

Wanneer je eindgebruikers toegang geeft tot je wifi-netwerk, dan deel je hierbij een toegangssleutel. Zodra deze persoon uit dienst gaat, of deze sleutel opschrijft op een briefje, of in een bestand, heb je al direct een groot risico op ongewenste toegang.

De beste manier om dit te voorkomen is: gebruikers en apparatuur individueel van toegang te voorzien. Iedereen heeft dan een eigen sleutel en je kunt dan ook extra controleren dat alleen geautoriseerde apparatuur het netwerk op mag.

Ken je gebruikers en hun apparatuur en weiger ongenodigde gasten.

Controle en automatische signalering van ongenodigde is belangrijk zodat afwijkingen direct gesignaleerd worden.

Ook een kabelnetwerk op kantoor, waarbij elk apparaat overal kan inprikken op jouw netwerk is een groot risico. Veel bedrijven denken hier niet over na en hebben in hun wachtruime keurig een aantal wandaansluitingen beschikbaar.

3. Laat toe wat nodig is en niet meer dan dat

Wat wij ook vaak zijn bij kleinere organisatie is dat iedereen dezelfde toegangsrechten heeft op het computersysteem. Van de directeur tot de receptiemedewerker. Ook hier ligt een enorm risico.

Als directeur heb je toegang tot personeelsgegevens en zicht op financiële data. De nieuwe wetgeving (AVG) schrijft voor dat je echt zuinig moet zijn op persoonsgegevens. Werknemers mogen alleen toegang krijgen tot deze data indien ze die echt nodig om te verwerken.

En nee, jullie receptiemedewerker zal echt niet zomaar gaan rondsnuffelen in gevoelige data. Maar alleen al de toegang tot deze data kan risicovol zijn. Denk aan een e-mail waar met copy-paste per ongeluk vertrouwelijke data wordt meegenomen, of bestanden die met een verkeerde muisklik worden overschreven, of zelfs verwijderd.

Deze risico’s zijn natuurlijk het grootste op een volwaardige werkplek omgeven met een pc of laptop. Maar hoe zit het met mobiele apparatuur? Toegang tot bepaalde delen van het netwerk kan ook gericht worden ontzegd op basis van iemands functie en het type apparaat.

4. Malafide accesspoints

Een veel gebruikte methode om data af te kunnen luisteren is het plaatsen van een malafide accesspoint. Hierbij wordt geprobeerd om een gebruiker zichzelf aan te laten melden op een netwerk dat in naam en beveiliging sleutel gelijk is.

Denk hierbij aan een wifi-netwerk voor gasten en bezoekers, waar van de sleutel op een kaartje staat in de wachtruimte bij de receptie, of in één van de spreekruimtes. Met eenvoudig te vervalsen wifi kaartjes in een dure hotellobby, kunnen hackers zo toegang krijgen tot belangrijke email in-boxen.

Ook kan een malafide accesspoint worden ingezet om te hacken door een open wifi-netwerk uit te zenden met een adres dat lijkt op een KPN Hotspot, of op het wifi-netwerk van een nabijgelegen restaurant.

Als dit een accesspoint is dat beheerd wordt door een slimme hacker, dan kan alle data die wordt verzonden via het netwerk bekeken worden, dus ook de aanmeldgegevens van je bedrijfsnetwerk of bankrekening.

Voorkom dit door laptops, smartphone en tablets die zakelijk worden gebruikt te beheren en alleen te laten verbinden met vertrouwde netwerken. Of je gaat een stap verder en laat je eigen netwerk malafide accesspoints automatisch detecteren en blokkeren.

5. Trek rechten in als deze niet meer nodig zijn

Het spreekt voor zich dat medewerkers die uitdienst gaan geen toegang meer hebben tot het bedrijfsnetwerk. Niet alleen de toegang tot data op de server moet dan worden afgesloten, maar ook toegang tot het wifi-netwerk. Dit kan soms wel eens lastig zijn als je een Bring your own device methode hanteert.

Doe jij dit nu door het aanpassen van de WPA2 sleutel en moet je alle gebruikers weer van een nieuwe sleutel voorzien? Dan wordt het de hoogste tijd voor WPA2 sleutels per gebruiker en voor netwerktoegang op basis van een rechtenstructuur.

Eventueel kan ook tijdelijk toegang worden ontzegd voor bepaalde apparaten, indien deze niet aan de veiligheidsvereisten voldoen van jouw organisatie.

6. Krijg inzicht in gebruik en gebruikers

Hoe een slecht beveiligd datanetwerk tot een datalek kan leidenAls IT-verantwoordelijke wil je niet dat een medewerker illegale films of muziek download (of aanbiedt) via jouw dataverbinding. Dit hoeft overigens niet altijd met kwade intentie te gebeuren. Ook met een laptop van thuis inloggen op een bedrijfsnetwerk brengt risico’s met zich mee.

Soms hebben de kinderen van je medewerkers downloadprogramma’s of file-sharing applicaties geïnstalleerd die standaard alles delen wat op de laptop aanwezig is.

Heel sociaal, maar beslist onwenselijk als je bedenkt dat dit ook met jouw bedrijfsmappen en netwerkschrijven kan gebeuren.

Maar wat kun je doen?

Een goede beheerd netwerkt controleert alle applicaties die connectie met het internet willen maken. Deze worden dan of toegestaan, of geblokkeerd, of toegestaan met waarschuwing.

Zorg daarom dat je ongewenste applicaties in beeld hebt en ook welke apparaat dat deze applicaties gebruikt. Zo kun je heel specifiek iets gevaarlijks blokkeren, zonder het hele systeem te belemmeren.

Onze tip aan klanten

Wat kan jij als IT-verantwoordelijk doen in deze “security holes” dicht te krijgen?

Om te beginnen schakel bij onvoldoende kennis altijd expertise is, en denk aan een gelaagde bescherming.

Jouw toegangspoort is eigenlijk je hele datanetwerk. Want achter deze toegang zijn alle apparaten die gegevens kunnen opslaan en inzien met elkaar verbonden. Een goede beveiliging van zowel je wifi- als het bekabeld netwerk is daarom noodzakelijk.

Onze tip aan klanten: kies voor een sterke beveiliging! – en daarbij denken wij dan aan WPA2 beveiliging (of wanneer je werkt met een openbare verbinding, maak dan gebruik van VPN).

Het goede nieuws voor Wifi-netwerken: Dit jaar nog komt een WPA3 beveiliging beschikbaar. Deze nieuwe methode zorgt ervoor dat jouw data nog beter beveiligd is

Meer weten?

Verken samen met Microway de mogelijkheden van een netwerk-onboarding.

Onze oplossingen zijn vendor neutraal en kunnen samenwerken met alle merken wifi-netwerken en bekabelde-netwerken.

Nieuwsgierig? Vraag direct een demo aan. 

Vraag een demo aan!