STRATEGIE
Hackers volgen geen standaardprocedures, waarom u dan wel?
Om informatie te beschermen, vertrouwen veel bedrijven op ISO31000 of andere frameworks die zijn gebaseerd op traditionele kwetsbaarhedenanalyse. Waar zitten de zwakke plekken van een systeem en hoe voorkomt u dat kwaadwillenden daar gebruik van maken? En hoewel het natuurlijk goed is om dat soort standaardrisico’s vast te leggen, zijn ze alleen niet voldoende. Cybercriminelen kennen immers de theorie ook, weten dus waar bedrijven alert op zijn en gaan juist op zoek naar andere manieren om de beveiliging te omzeilen. Organisaties moeten daarom beter leren waar het in de praktijk misgaat. Hoe makkelijk het kan zijn om het slachtoffer te worden van datadiefstal, werd onlangs duidelijk door het datalek bij Bureau Jeugdzorg Utrecht. De organisatie had een aantal jaren geleden haar naam veranderd en een nieuwe domeinnaam in gebruik genomen. Maar in plaats van de oude aan te houden en op inactief te zetten, zegde de organisatie de domeinnaam volledig op. 26 | JULI 2019 | NR. 3 | INFOSECURITY MAGAZINE
Het afvangen van verdwaalde e-mails die door medewerkers en partners nog naar een oud e-mailadres werden gestuurd, was dus zo eenvoudig als het kapen van de vrijgekomen domeinnaam.
Het draait niet alleen om techniek Gelukkig ging het in bovenstaande voorbeeld om twee klokkenluiders die alleen het probleem aan de kaak wilden stellen. Dat neemt niet weg dat dit
