Marktonderzoek: internet footprint, de dode hoek van de cybersecurity-verantwoordelijke

Onderzoek in twee fases

In de afgelopen periode heeft er een marktonderzoek plaatsgevonden onder MKB-organisaties in Noord-Brabant. In de eerste fase hebben directie, (IT-)management en IT-(mede)verantwoordelijken van bijna 200 Brabantse organisaties een vragenlijst doorlopen, waarbij zij hun visie op cybersecurity gaven en de wijze waarop dit in hun organisatie is gerealiseerd.

Een geselecteerd aantal van 30 bedrijven heeft vervolgens geparticipeerd in een verdiepingsslag: fase 2 van het onderzoek. Waar in de eerste fase de visie en perceptie van de ondervraagde centraal stond, hebben we in de tweede fase de ‘bril opgezet van de cybercrimineel’. Zo zijn de openbare veiligheidsrisico’s van de organisaties getoetst middels een zogeheten OSINT-scan. OSINT staat voor Open Source Intelligence en is een onderzoeksmethodiek die cybercriminelen gebruiken ter oriëntatie en voorbereiding op een cyberaanval.

Misvatting

Regelmatig horen wij uit het bedrijfsleven: “Waarom zou een cybercrimineel ons bedrijf hier in Brabant willen aanvallen?” Een enorme misvatting, want een cybercrimineel geeft vaak niet om geografische gegevens. Doordat kwetsbaarheden van het bedrijf tijdens scans verschijnen, word je automatisch een doelwit.

‘Detect & protect’, ook buiten de kantoormuren

De internet footprint van een organisatie blijkt nog te vaak in de dode hoek van de IT-verantwoordelijke te zitten. Dat blijkt uit de onderzoeksresultaten. Cybersecurity is nog te vaak alleen gericht op de interne IT-organisatie. De scope dient tegenwoordig ook buiten de kantoormuren te liggen. Welke informatie kan een cybercrimineel vinden en gebruiken om schade aan te richten? Door zelf ook een analyse te doen, kan de cyberweerbaarheid aanzienlijk worden verbeterd. ‘Detect & protect’ dus.

Wat de cybercrimineel ziet en gebruikt

Slechts een klein deel van alle cyberaanvallen is gericht op een specifieke organisatie. Veruit de meeste aanvallen zijn generiek. Een cybercrimineel is goed onderlegd op het gebied van IT en gebruikt hiervoor graag openbare bronnen op het open, deep- en darkweb om potentiële prooien te vinden. Voorbeelden van ‘open source’-informatie die cybercriminelen raadplegen:

• Systemen en applicaties, waarop actuele updates en patches ontbreken. Uit het onderzoek blijkt dat 25% van de onderzochte bedrijven tenminste een kritieke CVE (Common Vulnerabilities and Exposures) heeft.
• De aanwezigheid/inrichting van domain records. Veel organisaties (70%!) heeft dit niet of niet correct geconfigureerd, waardoor de organisatie vatbaar is voor e-mailspoofing.
• Gelekte e-mailadressen, al dan niet bij datalekken. Deze worden veelvuldig gebruikt bij spam-mails, phishing en identiteitsfraude.
• Bestanden met interne/gevoelige informatie die (vaak per abuis) online beschikbaar zijn. Van 67% van de onderzochte organisaties zijn documenten online gevonden.
• Open poorten. Bepaalde poortnummers zijn voor een cybercrimineel een trigger en kunnen gemakkelijk toegang geven tot (delen van) het bedrijfsnetwerk.
• WordPress websites met verouderde plug-ins of CMS-versie. 80% van de onderzochte organisaties heeft nog verouderde plug-ins.

‘Als wij dit kunnen vinden, dan kunnen zij dat ook’

Er is werk aan de winkel voor het MKB. Michael Waterman, Cybersecurity Architect van ACA IT-Solutions licht toe: “Ook dit verdiepende onderzoek wijst uit dat de cyberweerbaarheid van het MKB in Brabant nog veel te wensen overlaat. Het besef lijkt er nog onvoldoende binnen organisaties dat er tegenwoordig meer gevraagd wordt om cybercriminelen buiten de deur te houden. Externe kwetsbaarheden en de mogelijkheden om daar misbruik van te maken zijn er legio. Dit is een vooronderzoek dat cybercriminelen in de praktijk uitvoeren. Ofwel: als wij dit kunnen vinden, dan kunnen zij dat ook.”