Afgelopen weken en maanden kom je het steeds meer tegen in het nieuws: een datalek waarbij (persoonlijke) accounts op straat komen te liggen. Vaak worden deze gegevens na de hack via het dark web verkocht aan (onbekende) afnemers. Maar wat is het dark web eigenlijk? Waarom verkoopt men juist hier dit soort accountgegevens? En wellicht de belangrijkste vraag: wat kun jij doen om jezelf en jouw organisatie te beschermen tegen dit soort lekken van persoonsgegevens? Het antwoord op deze vragen en nog veel meer vind je deze week in een artikel volledig gericht op security en het dark web!
Wat is het dark web?
Het dark web is onderdeel van het world wide web (www), maar niet rechtstreeks vindbaar door zoekmachines. Het deel dat wel rechtstreeks vindbaar is noemt men ook wel het surface web. Hier bevindt je je nu tijdens het lezen van dit artikel.
Het dark web is dus niet bereikbaar middels een zoekmachine als Google of Bing. Dit is overigens niet de enige plek op het wereldwijde web die niet bereikbaar is via een zoekmachine. Er bestaat ook nog het zogeheten deep web. Dit zijn locaties die je alleen kunt bereiken via een rechtstreekse url en met de juiste authenticatie. Hier staan met name grote databases op met belangrijke en beschermde informatie van bijvoorbeeld overheden, bedrijven en andere organisaties.
Het dark web gaat nog een stukje verder dan het deep web. Dit is namelijk echt alleen te bereiken als je speciale software downloadt om jezelf anonimiteit te verschaffen. Samenvattend heb je dus de drie volgende weblocaties:
- Surface web: url’s bereikbaar via een zoekmachine (deze locaties willen gevonden worden)
- Deeb web: bereikbaar middels specifieke url en authenticatie (deze locaties willen alleen gevonden worden door exacte personen)
- Dark web: bereikbaar met speciale software (deze locaties willen alleen gevonden worden door anonieme web gebruikers)
De verplichte anonimiteit van het dark web maakt het een erg populaire plek voor het verkopen van andermans persoonsgegevens. Iets dat steeds meer voor lijkt te komen in Nederland. Zo berichtte de NOS deze maand al over het datalek bij allekabels.nl en ook afgelopen maart was het raak bij een ICT dienstverlener volgens nu.nl.
Verschillende onderdelen van het dark web
Globaal gezien zijn er 4 onderdelen te onderscheiden binnen het dark web:
- Verborgen websites: domeinen (url’s) binnen het Tor-netwerk eindigend op .onion.
- Verborgen index: eigenlijk is dit een overzichtspagina die je helpt bepaalde url’s te vinden op het dark web genaamd The Hidden Wiki. Lees hier meer over op Wikipedia.
- Botnet: groot netwerk van computers met daarop malware die bijvoorbeeld gebruikt worden voor ddos aanvallen of om spam te versturen.
- Zwarte markt: hier vind je illegale middelen en diensten. Denk aan wapens, drugs en gevoelige persoonsgegevens. Betaling geschiedt vaak in Bitcoin.
Hoe bescherm je jouw organisatie tegen de gevaren van het dark web?
Nu je weet wat het dark web precies inhoudt is het tijd om te kijken naar wat je kunt doen als organisatie om jezelf te beschermen tegen de risico’s ervan. Ook hierbij is voorkomen beter dan genezen. Liever dus dat je vandaag nog je beveiliging op orde krijgt dan morgen. Iedere dag met zwakke plekken in je organisatie is een dag te veel. Hieronder vind je een aantal belangrijke onderdelen om te beveiligen binnen je organisatie:
1. Beveiligingsmaatregelen binnen en buiten de kantooromgeving
- Bedrijfsapparatuur: verplichte toegangswachtwoorden op apparatuur, een gescheiden gastnetwerk binnen de Wi-Fi omgeving en de installatie van een firewall zijn enkele voorbeelden.
- Software: het opstellen en naleven van slim wachtwoordbeheer, inzetten van tools als malware- en virusscanners en beperkingen van toegangsrechten voor medewerkers.
- Fysieke locatie: vaak vergeten als het gaat om databeveiliging, maar ook de fysieke locatie kan gekraakt en bestolen worden. Zorg voor een alarminstallatie en berg spullen met belangrijke data op achter slot en grendel.
- Partners: wellicht een van de lastigste, gezien je hier zelf de minste controle over hebt. Beveiliging van applicaties en verwerking van informatie wordt tegenwoordig iets beter geregeld door intrede van de AVG. Toch zijn lang niet alle organisaties hier dagelijks mee bezig en hoeven bedrijven buiten de EU zich er niet eens aan te houden.
Dit zijn nog maar enkele voorbeelden van wat je kunt doen om jouw bedrijfsdata beter te beveiligen. Belangrijk om te onthouden is dat databeveiliging een continu proces is van verbetering en dus geen eenmalige activiteit.
2. Opstellen van een informatiebeveiligingsbeleid
Om ervoor te zorgen dat bepaalde (beveiligings)maatregelen ook daadwerkelijk worden nageleefd is het belangrijk een informatiebeveiligingsbeleid op te stellen. En deze door het team te laten lezen en eventueel ondertekenen. Zo creëer je niet alleen bewustwording, maar ook een juridische grond bij eventueel bewust misbruik door kwaadwillende (ex-)medewerkers.
3. Creëeren van bewustwording over cybersecurity bij personeel
Om je personeel ook echt bewust te maken van het belang van cybersecurity en de gevaren van een datalek, is het belangrijk hierover in gesprek te treden. Begin er frequent over bij algemene teambesprekingen en zorg voor periodieke security training en toetsen. Herhaling is de sleutel! Zo voeren wij voor onze opdrachtgevers onverwachte phishing simulaties uit. Hierbij krijgt het personeel een nepmail in zijn of haar mailbox met de vraag bijvoorbeeld op een link te klikken.
Je zult je verbazen over de hoeveelheid klikken die wij (helaas) toch vaak binnenkrijgen de eerste keer. Dit aantal gaat na verschillende trainingen en simulaties al drastisch naar beneden. Wat het risico op een datalek significant verkleint. Wil je eens in gesprek over zo’n training of het laten uitvoeren van een phishing simulatie? Plan dan een gratis en vrijblijvend kennismakingsgesprek via deze link!
4. Het actief monitoren van het dark web op informatie over jouw bedrijf
Er zijn tegenwoordig slimme tools die je helpen bij het monitoren en scannen van het dark web op de domeinnaam van je bedrijf. Ook PIT Pro heeft zo’n slimme dark web scanner in haar productarsenaal zitten. Daarbij zijn we ook nog eens erg bekend met de lezing van bepaalde resultaten. Zo kunnen we eenvoudig aangeven wanneer je welke actie moet ondernemen op basis van de gevonden bedrijfsdata. Geïnteresseerd? Lees dan eens verder op onze security en AVG pagina!
Natuurlijk zijn er nog veel meer mogelijke beveiligingsmaatregelen en beleidsplannen te bedenken, maar voor iedere organisatie zijn andere zaken van belang. Vandaar dat we graag in gesprek gaan over de beveiliging van jouw bedrijf(sdata). Neem hiervoor contact met ons op via de contactpagina of door te bellen naar 020-2611450!