printmedianieuws

nieuws en achtergronden van het nieuws over de printmedia wereld


Alles 24/7 online: vloek of zegen?

OPINIE - Alles 24/7 online, waar dan ook. Geen eigen servers meer, geen risico's op defecte schijven. Voor een paar tientjes per maand wordt alles door talloze externe partijen voor je geregeld. Totdat hackers toeslaan. Is alles 24/7 online beschikbaar een vloek of een zegen?

• Leestijd ca. 5 minuten

Al meerdere keren besteedde de redactie aandacht aan het 'verschijnsel' dat 'we' te makkelijk de keuze maken om 'alles online' te bewaren en vooral alles 24/7 ter beschikking te hebben. Zijn alleen de bovenstaande 'gemaksoverwegingen' voldoende? Of moet je met meer dingen tekening houden? Het risico te lopen dat het maandelijkse abonnement(je) om alles 24/7 online beschikbaar te hebben kan makkelijk teniet worden gedaan door torenhoge bedragen om na een aanval weer toegang te krijgen. Dat staat nog los van de mogelijke juridische kosten die door opdrachtgevers kunnen worden opgelegd als er 'iets fout' is gegaan met hun bestanden.

We hoeven slechts het emotionele verhaal in herinnering te roepen van november vorig jaar tijdens de KVGO algemene vergadering. Het bedrijf in kwestie leed 18 maanden na de hack, 1,5 miljoen euro schade. De ondernemers ging naast zijn zakelijke faillissement ook persoonlijk failliet, terwijl hij dacht zijn zaakjes op orde te hebben. In de zaal met het indrukwekkend stil onder alle aanwezigen.

Printmedianieuws publiceerde een aantal artikelen binnen de categorie 'cybercrime'.

MKB bedrijven

Deze week verschenen talloze publicaties over een massale hack die werd verricht bij een laboratorium op het gebied van onderzoek naar baarmoederhalskanker. De gegevens van bijna een half miljoen mensen kwamen in handen van criminelen.
De vraag of dergelijke gegevens 24/7 online zouden moeten staan, werd niet beantwoord. Veelvuldig werd slechts gezegd dat de 'bescherming van data domweg beter moet'. En daar bleef/blijft het bij.

Overheden die met elkaar samenwerken wisselen data met elkaar uit, systemen zijn met elkaar verknoopt om altijd toegang tot gegevens te kunnen verkrijgen. Kan dat wellicht 'op afspraak'? Gaat veiligheid niet voor gemak?

Alle artikelen draaien om de bete brij heen, niemand stelt de vraag centraal 'is 24/7 online echt nodig?'

Het nieuws dat de media bereikt is helaas beperkt tot grote ondernemingen en/of (semI) overheidsinstellingen. Daardoor ontstaat het idee dat het MKB buiten schot zou blijven. Eind november 2019 betaalden zo een 426 MKB bedrijven al 6 miljoen euro aan criminelen die hun bestanden 'op slot' hadden gezet. In die tijd was dat 'goed' voor zo een 14.000 euro per bedrijf. Die schade zou nog te overzien zijn, als dat alleen de eigen geleden schade zou zijn om de bestanden weer beschikbaar te krijgen. Uit schaamte worden betalingen aan derden vaak niet bekend gemaakt uit vrees voor het 'weglopen van relaties'.

Kwetsbaarheden zitten overal

Natuurlijk is de online opslag eenzijdig als 'schuldige' aan te wijzen. Natuurlijk doen software ontwikkelaars er alles (zoveel mogelijk) aan om inbraken van buitenaf vrijwel onmogelijk te maken. Maar dat is een waar 'kat en muisspel', waarbij hackers altijd wel weer een route weten te vinden die een lek of kwetsbaarheid openbaren.
Dat hoeft dus niet persé alleen de opslag zelf te zijn, maar kan ook in de vele gereedschappen zitten die toegang geven tot die online omgevingen.

De belofte van Citrix

De hack van afgelopen week bleek voort te komen uit een lek binnen de bekende Citrix applicatie. Dat lek bleek al te bestaan sinds eind mei en werd pas eind juni gedicht. Op Cybercrimeinfo.nl worden per maand overzichten gegeven van aanvallen, compleet met de gebruikte gereedschappen, gevolgen, te langdurige procedures om patches (software updates om lekken te dichten) te ontwikkelen en nog veel meer.

Nog steeds geen intern noodplan?

Veel bedrijven hebben geen 'intern noodplan' en als ze dat al zouden hebben, dan komt het maar al te vaak voor, dat er onvoldoende signalen duidelijk worden dat er sprake is van een aanval. Hackers blijven al vaak langere tijd aanwezig te zijn, voordat ze 'toeslaan' en dus de strategie hebben ontwikkeld om er zoveel mogelijk geld uit te halen.

Als je nog geen intern noodplan hebt of moeite hebt je IT infrastructuur up-to-date te houden, kan je je minsten de vraag stellen of 'alles' wel 24/7 open moet staan. Deze zomer is een mooi moment om die vraag eens onder de loep te nemen.

Vaak ook geen actueel overzicht van netwerk en workflows

Een goed opgesteld noodplan kan alleen worden gemaakt als er ook een volledige IT netwerkstructuur is opgetekend en daarnaast ook een compleet overzicht van alle mogelijke workflows.
Zo een overzicht helpt overigens ook nieuwe medewerkers aan het verkrijgen van inzichten van de werking van het bedrijf. Daardoor kunnen medewerkers sneller en effectiever worden ingezet. Dus een win-win!

Zeg eens eerlijk: "Is zo een blauwdruk van een reeks workflow knooppunten wel binnen je eigen bedrijf aanwezig?" (bron: GrafiStore)
Een voorbeeld om je IT structuur schematisch te laten genereren: Lansweeper

Er zijn meer dan genoeg gereedschappen om je IT netwerkstructuur in schematische weergave te kunnen laten genereren. Met Lansweeper kan je kosteloos een netwerk met '100 assets' in kaart laten brengen. Daarboven is het gereedschap vrij kostbaar met abonnementen per maand.

Onderstaand een overzicht van meerdere (ook open source) gereedschappen op dit gebied. Ze vragen allemaal om nogal wat inspanningen, vaak ook technisch inhoudelijke kennis, die zeker niet altijd aanwezig is, zeker niet binnen kleine tot hele kleine ondernemingen.

Overzicht gereedschappen om netwerken in kaart te brengen (dus exclusief workflows, die vanuit specifieke tools zijn gemaakt)
Lansweeper voorbeeld

Kan je leven met een omgeving niet 24/7 open staat?

Los van de vraag of het überhaupt in alle omstandigheden technisch mogelijk is een online omgeving te voorzien van openings- en sluitingstijden, is het wel een vraag die zich aandient binnen bedrijven al dan niet in ploegendienst fysiek voor een bepaalde duur per dag geopend zijn.

Winkels met deuren laten hun klanten ook binnen via 'deurtje open' en dan een 'seintje' om de aandacht te trekken. Na een mogelijke transactie verlaat de klant de winkel en gaat de deur weer dicht. Ik zie u al lachen. U zegt dan: "Maar na sluitingstijd kunnen inbrekers alsnog naar binnen."

Bedrijven gaan maar al te vaak de verdediging in door zelf lekken te ontdekken in de argumenten die gegeven worden om er wat aan te doen. We lijken ons 'er ver van te willen houden' om echt tot actie over te gaan. Natuurlijk is het allemaal niet eenvoudig, het kost een gemiddelde onderneming flink wat tijd alles op orde te krijgen en vooral te houden. Maar niets doen is geen optie. Ons advies: "begin met de vraag of je online wel alles 24/7 online open moet hebben staan." Dat geeft al discussie genoeg en wel op alle fronten.

Bronnen die behulpzaam zouden kunnen zijn:





Gerelateerde artikelen

  1. Global Summit: zegen en vloek plastic verpakkingen VERPAKKINGSMEDIA - Met grote ernst spraken verpakking-genererende stakeholders over beheersing van afvalstromen, recycling en plasticreductie. ‘Packaged. The 7th Global Summit’ 25-26 juni in Amsterdam werd vooral getriggerd door de vaak...
  2. Veiligheid: bedrijven vaak met ‘alles onnodig online’ PRODUCTIE INNOVATIE - Dagelijks nemen de risico's op digitale aanvallen binnen bedrijven toe. De financiële schades kunnen daarbij flink in de papieren lopen. Natuurlijk kan met de nodige technologie van...
  3. Beaver Builder prooi voor Adobe’s online strategie? OPINIE - In het voorjaar van 2016 besteedden we in de toenmalige rubriek 'weekendopinie' aandacht aan 'pagina opmaak voor het web'. Iedereen in het grafische landschap kent InDesign als de...
  4. Online businessmodellen in print – het overzicht FINANCIEEL - In het eerste artikel in deze serie tekenden we het algemene speelveld op, waarin de conclusie werd getrokken dat de vele online spelers allemaal zo hun eigen overwegingen...

Geef een reactie