Bewust je eigen bedrijf laten hacken. Dat deed een familiebedrijf uit Tilburg onlangs om te checken hoe het ervoor staat met de cyberveiligheid. Na afstemming met een digicoach van Midpoint Brabant besloot het om studenten van de digitale werkplaats van Fontys deze hack te laten uitvoeren. Alleen één MT lid en de business intelligence analist waren op de hoogte, de rest van het MT en het personeel wisten van niks. De analist vertelt hoe dit in zijn werk ging. Een spannend verhaal… en een eyeopener voor andere bedrijven.
“Het begon met een gesprek dat we met de digicoach van Midpoint Brabant hadden over datagedreven digitaliseren. We besloten om onze IT-omgeving eens te laten toetsen op veiligheid. Het aantal hackpogingen neemt immers exponentieel toe. Het is belangrijk dat al onze medewerkers zich bewust zijn van de risico’s.”
“We hebben onze kantoorautomatisering uitbesteed. De veiligheidscheck wilden we door een andere partij laten doen, want anders krijg je dat de slager zijn eigen vlees keurt. We hebben bij een gespecialiseerd bedrijf een offerte gevraagd voor een whitebox scan om het applicatielandschap van onze organisatie in kaart te brengen en enkele toetsen te laten doen. Dit zou tussen tien tot vijftien duizend euro kosten. Hoewel we het belangrijk vonden, wilden we dit er toch niet aan besteden.”
Niemand mocht iets weten
“Midpoint Brabant kwam hierop met een voorstel om studenten van Fontys een black box scan te laten uit voeren, waarbij je vooraf geen enkele informatie geeft over de IT-infrastructuur. We spraken af dat alleen het MT lid en ik ervan af mochten weten. Sterker nog: ik kreeg carte blanche en was de enige die precies wist hoe de studenten het zouden aanpakken. Ook onze IT-partner hebben we niet geïnformeerd.”
“Een projectgroep van zeven internationale studenten ging gedurende vier weken aan de slag met een zogenaamde penetratietest, op zoek naar kwetsbare plekken. Via phishing mails en een sollicitatiemail probeerden ze digitaal binnen te komen in ons IT-netwerk en ook wilden ze letterlijk ons pand binnenkomen om in dit netwerk te komen.”
“Voor de phishing mails zochten ze op internet naar adressen van medewerkers. Ze hebben twee LinkedIn mailings naar deze adressen gestuurd, waarbij ze moesten inloggen met hun wachtwoord. Dit lukte uiteindelijk niet, omdat onze firewall het had afgevangen. Ook hebben ze een sollicitatiebrief met cv verstuurd waarbij je op een link moest drukken voor nadere info. De cv bleek niet aantrekkelijk te zijn, waardoor onze medewerker ook niet op de link heeft gedrukt.”
Fysieke hack in het pand
“Het spannendste onderdeel was om fysiek binnen te komen in ons bedrijf. Dit bleek makkelijk te kunnen. Twee keer hebben de studenten gezocht naar een plek waar ze een IP-adres konden achterhalen. De derde keer hebben ze geprobeerd een minicomputer in ons netwerk te stoppen. Een IT-medewerker had het in de gaten en heeft de hacker/student opgepakt en buiten gezet. De student stond te trillen op zijn benen. Hij toonde snel zijn vrijwaringsbewijs, onze IT-medewerker was wel laaiend. Hij was immers niet op de hoogte van de hackpoging. In de auto zat een andere student die info had uitgewisseld met de jongen die binnen was. Uiteindelijk konden ze niet in ons systeem, omdat het netwerk eruit lag door een stroomstoring in de week ervoor.”
“Van de bevindingen hebben de studenten een adviesrapport opgesteld. Ze presenteerden het aan de directie en MT-leden die volledig verrast waren. Aan de ene kant vonden ze het gaaf en moesten ze er hard om lachen. Aan de andere kant realiseerden ze zich ook dat ze een spiegel zijn voorgehouden. Die jongen heeft veertig minuten ongestoord zijn gang kunnen gaan.”
Medewerkers bewust maken van de risico’s
“Onze conclusie is dat de IT-beveiliging van buitenaf als een huis staat. We hebben wel de url’s van de tablets van onze monteurs laten vervangen, want die bleken verouderd en niet goed beveiligd te zijn. Voor de fysieke veiligheid werken we aan het bewustzijn van onze medewerkers. Dit doen we bijvoorbeeld door nieuwsberichten en een artikel in onze eigen krant. We stimuleren onze mensen vooral om meteen door te geven wanneer ze iets verdachts zien. Als er een phishing mail wordt gemeld, dan zetten we dit meteen op ons interne portaal. Het rapport hebben we natuurlijk ook gedeeld met onze IT-partner die uitvoerend verantwoordelijk is.”
“Steeds vaker zijn ook middelgrote en kleine bedrijven slachtoffer van hacking. Je moet je niet op de risico’s verkijken. Wij hebben de samenwerking met Fontys als zeer positief ervaren en kunnen een dergelijk traject aanbevelen aan andere mkb-bedrijven. Het is financieel beter haalbaar; we hebben ze een bol.com-bon gegeven. En ze zijn echt gepassioneerd en zeker zo eager als professionals uit het veld.”
Wil je meer weten over cybersecurity voor jouw organisatie?
Neem dan contact op met een van de digicoaches van Midpoint Brabant (zie de contactgegevens hieronder).