Als hackers in het nieuws zijn, wordt vaak het beeld geschetst van halfcriminele organisaties die grote bedrijven en instellingen op de korrel hebben en hacken uit vernielzucht of eigen gewin. Dat beeld klopt niet. Bedrijven zouden de meeste hackers dankbaar moeten zijn.
Hackers zijn vaak computerprofessionals die systeemlekken naar boven brengen. Er zijn er maar een paar die zich eenmaal binnen bij een systeem tot vandaal ontpoppen. De meeste hackers melden een lek aan de systemadministrator en dragen er zo toe bij dat het systeem veiliger wordt. Denk aan Brenno de Winter die belangrijke it-fouten heeft aangetoond in het systeem voor de OV-chipkaart. Hoewel men erg defensief reageert op zijn bevindingen, heeft hij het bedrijf dat de kaart ontwikkelt en de overheid veel geld bespaard.

Dat er gehackt wordt, is niet opzienbarend, maar wél dat het vaak kinderlijk eenvoudig is om een systeem binnen te dringen. Je hoeft daarvoor tegenwoordig geen techneut meer te zijn. Je vindt op internet tientallen programma’s en scripts die dat mogelijk maken. Een kind kan de was doen. Als je geen actuele en gedegen beveiligingsoplossing hebt, heb je zo gasten op je netwerk.

Maar beveiliging zit ‘m niet alleen in techniek. Je kunt een systeem technisch volledig dichttimmeren, maar dan logt een medewerker in op het bedrijfsnetwerk via een open wifi-verbinding of zet via een usb-stick die hij van een kennis gekregen heeft, een leuk programmaatje op zijn kantoor-pc. Of de wachtwoorden zijn bijzonder makkelijk te achterhalen.

Veel beheerders denken nog veel te gemakkelijk over netwerkbeveiliging. Alleen even wat hardware ter beveiliging installeren en klaar. Dan wordt het wel erg simpel voor kwaadwillenden. Veiligheid is geen toestand, maar een continu proces. Het centrale systeem en de werkplekken van de gebruikers moeten voortdurend geüpdate worden naar de laatste stand van de beveiliging, er moet een duidelijke policy zijn voor het veiligheidsgedrag in en buiten de organisatie en medewerkers moeten steeds ‘opgevoed’ en geïnformeerd worden. Bijna driekwart van de beveiligingsrisico’s wordt veroorzaakt door interne fouten en slordigheden.

De grootste fout die bedrijven misschien nog wel kunnen maken, is te denken dat hacks en aanvallen op het systeem alleen bij grote, internationaal opererende organisaties voorkomen. Dat zou je kunnen concluderen uit de berichtgeving, maar uit onze gegevens komt naar voren dat 90 procent van de it-aanvallen gericht is op het midden- en kleinbedrijf. Dat cijfer zou bedrijven en organisaties tot nadenken moeten stemmen. Maar beter nog zou het een dringende call to action moeten zijn!