Hoe veilig zijn jouw gegevens?
Onze privacy is belangrijk. Maar vlot en transparant informatie kunnen delen, is dat ook. Wanneer jij informatie opslaat of deelt, wil je er zeker van zijn dat die informatie enkel en alleen bekeken wordt door de mensen die daar de toestemming voor hebben. Helaas is dat makkelijker gezegd dan gedaan, zeker in de digitale wereld. De oplossing? Een security audit door ethische hackers die van aanpakken weten.
The Security Factory, onderdeel van Cronos, voert als onafhankelijk adviesorgaan volledige security audits of veiligheidsanalyses uit. Tijdens zo’n audit gaan ethische hackers op zoek naar de gevaren in jouw netwerk. Als klant doe je beroep op hun diensten om de kwetsbaarheden in jouw systeem of infrastructuur bloot te leggen en te voorkomen dat je slachtoffer wordt van een daadwerkelijke aanval.
Na de audit stellen de consultants van The Security Factory een uitgebreid rapport op met daarin hoe ze te werk zijn gegaan, wat ze gevonden hebben en hoe ze eventuele problemen kunnen oplossen. De kwetsbaarheden worden gerangschikt volgens prioriteit: laag, medium, hoog of kritiek. Die rangschikking vormt de basis voor de security roadmap, waardoor je als klant meteen weet wat je te doen staat, welke problemen je meteen moet aanpakken en welke zwaktes minder prangend zijn.
Het goede voorbeeld
Niet enkel als bedrijf of organisatie, maar ook als stad of gemeente is een security audit zeker en vast de moeite waard. Alleen zo kan je er zeker van zijn dat je interne informatie en de gegevens van je burgers te allen tijde beschermd zijn. De gemeenten Tervuren en Evergem geven alvast het goede voorbeeld en lieten een audit uitvoeren.
Denis Rondelé, IT-verantwoordelijke van de gemeente Tervuren, vertelt hoe de veiligheidsanalyse precies in zijn werk ging: “We gaven de consultants alle vrijheid om helemaal los te gaan op ons netwerk, zolang onze algemene dienstverlening er geen storingen van zou ondervinden”, aldus Denis. “Er waren wel wat specifieke zaken waar we ons op voorhand zorgen over maakten. De persoonsgegevens en medische dossiers van de bewoners van woonzorgcentra, bijvoorbeeld. Dat zijn gevoelige gegevens die zeker voldoende afgeschermd moeten zijn, omdat je koste wat het kost wil vermijden dat de privacy van die mensen geschonden wordt.” Ook het open wifinetwerk van de gemeente baarde Denis zorgen. “Iedereen kan daar zomaar mee connecteren, maar is het wel veilig?”
Een bang hartje
In Evergem deelden ze deze zorgen. Marc Goethals, IT-verantwoordelijke van de gemeente, licht toe: “In Evergem hebben we een gelijkaardig netwerk als in Tervuren. In 2009 hebben we ons netwerk volledig opnieuw opgebouwd. Dat is verder geëvolueerd, en vijf jaar geleden hebben we dan voor het eerst beroep gedaan op The Security Factory voor een audit.”
De eerste analyse verliep goed. “Het was een interessante ervaring, want er kwamen wel een aantal zaken naar voren die beter konden. Dat was voor mij dan ook een bevestiging dat ik ook in de toekomst moest blijven investeren in security audits. Toen we vorig jaar nieuwe firewalls installeerden, hebben we daarna dan ook niet getwijfeld om opnieuw met The Security Factory in zee te gaan.” Ook deze keer vielen de resultaten mee. “Aangezien we al eerder audits hadden laten uitvoeren, waren we er wel vrij gerust in. Toch is het ook altijd met een bang hartje afwachten, omdat er altijd wel zaken zijn die beter kunnen.”
Klare taal en duidelijke actiepunten
In elk rapport geven de ethische hackers enkele werkpuntjes mee, waar de klanten vervolgens mee aan de slag kunnen. Dat levert soms verrassende resultaten op. “Wat bij ons opviel, was het feit dat het niet altijd aan onze interne werking ligt wanneer er iets niet goed is, maar dat bepaalde problemen door externe partners worden veroorzaakt”, vertelt Marc. “Dat kan dan bijvoorbeeld gaan over de software van een externe leverancier. Op dat moment is dat heel confronterend, want dan besef je pas goed dat je jezelf kwetsbaar opstelt door informatie met anderen uit te wisselen.”
Uiteraard waren er ook zaken die de gemeente Evergem wel zelf kon aanpakken. “We hadden problemen met een aantal accounts die te snel over administratorrechten konden beschikken. Dat is natuurlijk niet de bedoeling. We waren gelukkig al aan het bekijken hoe we een tool kunnen implementeren om ons netwerk beter te beveiligen. Bezoekers die verbinding willen maken, kunnen dan niet meer zomaar in ons netwerk.” Dankzij de audit weten de Evergemnaren nu wel waar de zwakheden zitten en hoe ze de problemen kunnen aanpakken. In de toekomst zullen er in de gemeente regelmatig audits blijven plaatsvinden om de veiligheid te garanderen.
Externe inzichten
Ook in Tervuren waren er plus- en minpunten. “Het was fijn om te ontdekken dat ons wifinetwerk vrij veilig is, want dat baarde me wel zorgen”, aldus Denis. “Er waren echter ook zaken die echt niet door de beugel konden en die hebben we dan ook meteen aangepakt. Ik zit al lang in het vak, maar op technisch niveau kan je niet alles weten en kennen. Zeker op netwerkniveau en op het vlak van sharing was er nog extra beveiliging nodig.” Het gemeentebestuur gaat nu verder bekijken wat momenteel de hoogste prioriteit heeft.
Voor Denis is het duidelijk: “Het was fijn om met Cronos Public Services samen te werken: via het raamcontract konden we snel schakelen en op korte termijn resultaten boeken. Doordat de audit door een externe partij gebeurde, kregen we inzichten van iemand zonder voorkennis van het netwerk. Dat was voor ons een enorme meerwaarde.”