Organisaties hebben vaak niet genoeg inzicht in de eigen IT-infrastructuur en ze hebben te weinig weet van de risico’s die ze lopen. Veel organisaties hebben het daarbij helemaal niet door als ze gehackt zijn.

Beveiligingsrisico’s worden stelselmatig onderschat. Het wordt tijd dat het beter gaat met het risicobewustzijn. Want daar begint de beveiliging, zegt Richard Franken, directeur Hoffmann Bedrijfsrecherche.

Gelekte informatie zorgt voor veel onrust. Neem als voorbeeld de recent gepubliceerde stukken voor Prinsjesdag, die ook vorige jaren vroegtijdig werden gelekt. En vorige nog week was er ophef over foto’s die uit de iCloud werden gestolen. Door zwakheden in de ICT-beveiliging én onvoldoende risicobewustzijn van mensen kan gevoelige informatie op straat komen te liggen. Met als gevolg grote schade voor het imago en financiële verliezen.

Aan zwakheden in de ICT liggen vaak menselijke fouten ten grondslag. Hoffmann maakte een lijst met de vijf meest voorkomende beveiligingszwakheden van de ICT.

1. Voorspelbare wachtwoorden gebruiken.
   Binnen bedrijven worden vaak de fabrieksinstellingen gebruikt. Het wachtwoord staat dan gewoon in de handleiding! Als er wel een wachtwoordbeleid is, kiezen medewerkers vaak voor ‘Wachtwoord1!’ of een variant daarop, hetgeen voor de hand liggend is. Cybercriminelen hebben een lijst met veelgebruikte wachtwoorden.
2. Ongebruikte servers met het internet verbonden laten.
   Afgeschreven servers of testservers zijn vaak nog aan het internet verbonden. Naar de beveiliging ervan kijkt niemand meer om. Via deze servers kunnen cybercriminelen de ICT-infrastructuur van het bedrijf binnendringen.
3. Gegevens onvoldoende afschermen.
   Veel websites hebben zwakke plekken. Cybercriminelen kunnen dan zonder in te loggen via de website op de achterliggende ICT-infrastructuur komen. Ook hebben medewerkers binnen de ICT soms functionaliteiten waarvan ze helemaal geen gebruik mogen maken. Denk aan een gewone gebruiker die van andere gebruikers het wachtwoord mag veranderen.
4. Oude bestanden niet opruimen.
   Back-upbestanden van databases, broncodes en andere waardevolle informatie kunnen soms eenvoudigweg gedownload worden van een server. Dat komt doordat op het eerste gezicht onschuldige zaken, zoals een oude inlogpagina, niet worden ‘opgeruimd’.
5. Geen protocollen gebruiken.
   Medewerkers verspreiden soms zonder het te weten belangrijke informatie. Bijvoorbeeld via social media. Protocollen voor het gebruik van zaken als social media zijn belangrijk voor de beveiliging van de ICT.

Bij drie van de vier ICT-beveiligingstests kan men via het internet de ICT-infrastructuur binnendringen, doordat de beveiliging niet op orde is. Hebben bedrijven wel zicht op de risico’s, dan zijn ze meestal niet voorbereid op zo’n situatie en gaat er veel mis in de opvolging van het incident.