Tong Sang is werkzaam voor Secured by Design, één van de werkmaatschappijen van de Cincero Group. Deze werkmaatschappij is een specialist op het gebied van informatiebeveiliging. Zij doen dit door proactief de kwetsbaarheden in systemen op te zoeken. “We kijken of het voor kwaadwillende mogelijk is om bij persoonsgegevens, intellectuele eigendommen of andere bedrijfsinformatie te komen. Om antwoord te geven op die vraag breken we daadwerkelijk in, in de systemen van het betreffende bedrijf.” legt Tong Sang uit. Tong Sang is via de technische kant van de IT in het vak gerold. Eerder was hij software-ontwikkelaar bij CGI, code-reviewer bij ING en digitaal onderzoeker bij Hoffman Bedrijfsrecherche. “Omdat ik de infrastructuren vanuit het technische aspect begrijp, kan ik dit vertalen naar mogelijke risico's waar hackers anders misbruik van zouden kunnen maken.”
Vraag
Tong Sang en zijn collega's beginnen pas met hacken als er een vrijwaringsverklaring is getekend. Ook gaat er een gesprek tussen de Ethical Hackers en de klant aan vooraf. In dit gesprek wordt zo weinig mogelijk kennis uitgewisseld. “We willen graag een integer en objectief onderzoek kunnen uitvoeren. We stellen daarom zo min mogelijk vragen.” zegt Tong Sang. De vragen die zij wel altijd stellen zijn:
- 01.
Hoeveel tijd mogen de Ethical Hackers spenderen aan het onderzoek? (in samenhang met budget)
- 02.
Welke technieken mogen er niet worden gebruikt?
Lees ook: Cybersecurity & privacy: tips om miljoenenboetes te voorkomen
Technieken
Hacken is veel meer dan vanaf het internet zwakke plekken op een website zoeken. Belangrijke technieken die ingezet kunnen worden zijn onder andere:
-
Het opzetten van phishingsites/mails
-
Social engineering
-
Een of meerdere USB stick(s) achterlaten op een parkeerterrein
-
Draadloze netwerken hacken
-
Toegangspasjes voor de deuren kopiëren of vervalsen
-
In het geval van phishing worden mensen uitgedaagd om wachtwoorden prijs te geven op een imitatie website. Bij social engineering proberen de hackers bijvoorbeeld om telefonisch gevoelige gegevens te bemachtigen.
Aannames
“Assumptions are the mother of all fuckups”, is een befaamde uitspraak van Steven Seagal in de film Under Siege 2. Volgens Tong Sang past deze uitspraak over aannames uitstekend bij de mentaliteit binnen veel bedrijven. Midden- en kleinbedrijven zijn een makkelijk en gewild doelwit voor hackers, maar zij realiseren zich dat vaak niet of te weinig. “Bovendien maken veel ondernemers gebruik van cloud concepten en zij besteden (logischerwijs) IT-zaken uit. Zij gaan er vanuit dat die andere partij haar zaken wel op orde heeft, terwijl je er als ondernemer zelf alles aan moet doen om te weten hoe het ervoor staat met de veiligheid van je gegevens.”
Te makkelijk
Begin 2018 had de overheid een mediacampagne met als uitgangspunt: “Doe altijd je ramen dicht, lichten aan en de deur op slot als je weg gaat.” Inbrekers kijken namelijk niet naar hoe je woont, maar hoe makkelijk zij binnen kunnen komen. Datzelfde geldt voor de veiligheid van gevoelige bedrijfsgegevens. “Een hacker ziet overal deuren op een kiertje staan, lichten uit staan en en ramen open staan. Soms ligt de sleutel van de deur zelfs op het stoepje. Zij kijken gewoon rond waar er makkelijk iets te halen valt”, legt Tong Sang uit.
Bedrijfsspionage
Wie denkt dat bedrijfsspionage iets is wat alleen in films voorkomt heeft het mis. Ook in -kennisland- Nederland vindt er volgens Tong Sang bedrijfsspionage plaats. “Er zijn bedrijven die er geld voor over hebben om achter de intellectuele eigendommen, formules of technieken van de concurrent te komen. Zij kunnen makkelijk een hacker vinden via fora die als een soort Marktplaats dienen.”
Algemene verordening gegevensbescherming (AVG)
Kwetsbaarheden in computersystemen kunnen leiden tot een datalek. Bedrijven die op dit moment te maken krijgen met lekken van persoonsgegevens hebben al een fors probleem. Sinds 1 januari 2018 is er een meldplicht voor datalekken als aanvulling op de Wet Bescherming Persoonsgegevens. De boeteclausule schrijft boetes van honderdduizenden euro's voor. Per 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). Er is aangekondigd dat er meer en streng zal worden gehandhaafd. De boetes bij datalekken lopen dan op tot tientallen miljoenen euro's.
Boek Michael Tong Sang als spreker: Klik hier
Persoonsgegevens
Bijna ieder bedrijf heeft te maken met persoonsgegevens. “Er zijn veel gegevens die je kunt herleiden naar een natuurlijk persoon. Want dan praat je over persoonsgegevens. Administratie van eigen personeel bevat ook persoonsgegevens”, zegt Tong Sang. Verwerkt je bedrijf de volgende gegevens in bijvoorbeeld adresbestanden, maillijsten en databases? Dan heb je te maken met persoonsgegevens (en dus de AVG).
-
Naam
-
Adres
-
Woonplaats
-
Telefoonnummer
-
E-mailadres
-
Postcode met huisnummer
-
Ras
-
Godsdienst
-
Gezondheid
Bedrijfscultuur
De zwakste schakel in de keten van informatiebeveiliging is de mens. Goed voorbeeld daarbij is het kiezen van wachtwoorden. In vrijwel elk onderzoek dat wij uitvoeren komen verkrijgen wij toegang tot systemen met wachtwoorden zoals “Welkom01”. Mensen spreken elkaar hier niet op aan, dat past niet in de bedrijfscultuur van de organisatie.” Een maatregel die bedrijven kunnen nemen als extra veiligheidsmaatregel is Two-Factor Authentication. Bekijk in de video hieronder wat dat is.
Ransomware
Tong Sang waarschuwt voor ransomware (gijzelsoftware). Hierbij worden gegevens op een computer geblokkeerd. De gebruiker krijgt vervolgens de mogelijkheid om de informatie terug te krijgen als het geld wordt overgemaakt. “Als je hele bedrijfsvoering plat ligt, dan lijkt de geëiste €5.000,- wel reëel om de boel te versleutelen. Maar daarna moet je nog maar zien dat je de gegevens inderdaad terug krijgt”, zegt Tong Sang. In mei 2017 greep een uitbraak van ransomware WannaCry om zich heen. Meer dan 230.000 computers in 150 landen werden getroffen, waaronder die van Q-Park, Renault, ziekenhuizen, FedEx en de Britse National Health Service.
Mindset
Naast de penetratietesten waarbij de Ethical Hackers persoonsgegeven opzoeken, geeft het bedrijf Secured by Design, Security Awareness workshops. “We willen daarmee een mindset creëren die nodig is om minder risico te lopen”. Deze Security Awareness triggert de deelnemers zowel privé als zakelijk. Want als je weet waarom een wachtwoord zwak of sterk is, dan gebruik je alleen nog maar sterke werkwoorden op het werk en ook privé.”, aldus Tong Sang.
Social Engineering
Een reëel gevaar voor de cyber security is de eerder genoemde techniek social engineering. Bij social engineering maakt de hacker bewust misbruik van mensen om een computersysteem te hacken. Michael Tong Sang geeft een voorbeeld van een mystery guest onderzoek dat hij samen met een collega uitvoerde bij een chemiebedrijf: “We liepen via de expeditie, langs de tankwagens langs de controlepost met beveiligers die ons vriendelijk begroetten. Aan de achterkant van het pand liepen we achter een mevrouw aan die het gebouw binnen liep. Zij hield zelfs de deur voor ons open. Eenmaal binnen hebben we de lift gepakt naar één van de bovenste verdiepingen waar nog een kantoor leeg was. We zijn daar achter een bureau gaan zitten en hebben daar drie dagen achter elkaar zitten hacken. We hebben er koffie gedronken, geluncht en veel handen geschud.”
Spreker
Ethical Hacker Michael Tong Sang is via Topspeakers te boeken als spreker voor uw organisatie of evenement. Meer informatie op: http://www.topspeakers.nl/michael-tong-sang/
In elk onderzoek komen we wachtwoorden als 'Welkom01' tegen
Michael Tong Sang, Ethical Hacker
