Nieuwste blogs

Alle blogs

Filter:
Niels Piersma van Piersma.com
27 september, 2019

Gastblogger Piersma: Cybersecurity en kosten

In een serie gastbloggers deze week Piersma.com aan het woord. Een MSP uit Nieuw-Vennep die ons graag meeneemt in hun dagelijkse (cybersecurity) uitdagingen.

 

We kennen allemaal wel de uitdrukking “twee kapiteins op een schip”. De achterliggende gedachte is dat er geen twee autoriteiten kunnen zijn wanneer het aankomt op het bestieren van een vaartuig. Ditzelfde principe kan je daarom het beste ook hanteren binnen je organisatie als het aankomt op gebruikers en de administratieve rechten op de werkstations en laptops.

 

“Waarom?” vraag je wellicht. Nou deze visie heeft twee belangrijke redenen. De eerste reden is beveiliging (cybersecurity) en de tweede reden is kosten.

 

kapitein

 

Beveiliging
Maar waarom zou je willen dat een gebruiker wel administratieve rechten heeft? Dat is toch gemakkelijk... Dan kunnen de gebruikers van alles zelf doen. En dat is juist waar het grote risico zit. Als een gebruiker vanuit een bepaalde context met beheerdersrechten werkt, loop je een operationeel en financieel risico. De reden om de gebruiker beheerdersrechten te geven is veelal niet omdat verwacht wordt dat de gebruiker bewust acties zal ondernemen die de integriteit van het systeem ondermijnen.

 

Maar het is juist een risico wanneer de kwetsbaarheid van het besturingssysteem of applicatie wordt uitgebuit op het apparaat waar de gebruiker geen weet van heeft. Denk bijvoorbeeld aan een browser plug-in die nou net iets minder betrouwbaar blijkt te zijn dan dat deze zich voordoet... Die de virusscanner uitschakelt (o ja, dat kan met beheerdersrechten) en van allerlei bestanden gaat verzamelen, versturen en nog erger versleutelen.

 

Het is in de situaties waarbij de gebruiker volledige administratieve rechten heeft, niet de vraag of het fout gaat, maar wanneer het fout gaat. Gelukkig houden diverse besturingssystemen al rekening met de strikte scheiding tussen gebruikers accounts en beheerdersaccounts. (Standaard in Linux). Het werken met beheerdersrechten is om daarom niet aan te raden. Het is tegenwoordig juist een “best-practice” om met gescheiden accounts te werken en niet te werken vanuit een account met beheerdersrechten.

 

Kosten
Wanneer gebruikers beschikken over beheerdersrechten resulteert dit in bijna alle gevallen in hogere operationele ICT kosten. De reden hierachter is tweedelig.

Ten eerste komt dit door hogere ondersteuningskosten als gevolg van reactief beheer. Daarnaast is de schade bij een uitbuiting van de kwetsbaarheid ook veel groter dan wanneer dit alleen binnen de perken of kaders van de rechten van de gebruiker blijft. Het is dan nog steeds zuur, maar de reikwijdte van de uitbuiting van de kwetsbaarheid blijft beperkt tot de folders waar de betreffende gebruiker rechten heeft. Buiten de folders is er geen toegang, dus ook geen mogelijkheid om schade aan te richten.

 

Ten tweede worden de kosten verhoogd door het gebruik van niet (financieel) geautoriseerde software. Met beheerdersrechten kunnen gebruikers namelijk zelf en buiten het zicht van bijvoorbeeld het IT-beheer software installeren (ja, ook als je zegt dat het niet mag) en dan staat WinRAR of WinZip zo op de computer. Natuurlijk kan de software wel gratis te downloaden zijn, maar het is en blijft commerciële software, dus als organisatie dien zorg te dragen voor de correct vergoeding aan de eigenaar.


En daarom kan er maar één kapitein op de computer zijn. En kapiteins zijn gekwalificeerde professionals die met passie zorgdragen voor de beveiliging en continuïteit. Als organisatie dien je tegenwoordig toch echt adequate maatregelen te treffen op de aan de organisatie toebehorende apparatuur. Zo kan je voorkomen dat er non-compliance situaties ontstaan of dat er data onbedoeld “versleuteld” wordt. Zeker dat laatste is weer van belang als je te maken hebt met persoonsgegevens.

In mijn ogen is het verwerken van persoonsgegevens door een gebruiker met administratieve rechten, in het kader van de AVG, per definitie geen passende organisatorische en technische oplossing. Neem voor de lol artikel 32 uit de verordening er maar eens bij en kijk eens of je als organisatie hier voldoende handen en voeten aan hebt gegeven.

Kortom, de oplossing is het introduceren van gelaagde beveiliging en het realiseren van rol-gebaseerde beveiliging. Dit aangevuld met een goed doortimmerd IT-beleidsplan helpt organisaties zich te wapen tegen aanvallen van binnen én buiten de organisatie.

Waarvan akte,

Piersman.com


Blijf automatisch op de hoogte van onze blogs over de MSP-business. Schrijf je in en ontvang wekelijks een overzicht van gepubliceerde blogs plus exclusieve content, zoals marktonderzoek en andere relevante research.

Blogs per e-mail

Ransomware Whitepaper
Business Booster Map