Het voorkomen van hacks en andere vormen van computercriminaliteit begint met het gebruik van sterke en unieke wachtwoorden, zegt Steph de Jong van IT-dienstverlener PWA in Noord-wijkerhout. Maar ook dat is niet meer genoeg, eigenlijk zou men altijd gebruik moeten maken van meervoudige authenticatie. Een interview inclusief tips hoe het beter kan. “Goed wachtwoordenbeleid is onderbelicht in het mkb.”
Hoe belangrijk is bescherming van de gegevens op je computer?
“Heel belangrijk, want je hele computer staat waarschijnlijk vol met persoonlijke – en dus vertrouwelijke – informatie over jezelf. Op veel zakelijk gebruikte computers staat wellicht zelfs informatie van jouw relaties of klanten. Die informatie wordt jou toevertrouwd en men gaat ervan uit dat je zuinig met die informatie omspringt.”
Hoe bescherm je die informatie?
“Om te beginnen met goed wachtwoordenbeleid. Want je kunt nog zo’n goede beveiliging hebben, met antivirus en firewalls, maar als de gebruikers niet goed met hun wachtwoorden omgaan, zoals vaak gebeurt in het mkb, heb je voor je het weet een hack met mogelijk een datalek tot gevolg.
Je kunt goed wachtwoordbeleid het beste vergelijken met de beveiliging van een bedrijfspand. Een alarminstallatie (de antivirussoftware) kan inbrekers in het gebouw mogelijk detecteren, maar met een goed slot op de deur (het wachtwoord) komt men, meestal, niet eens binnen.
Een goed wachtwoord maakt antivirussoftware of andere beveiligingsproducten natuurlijk niet overbodig, maar is wel een heel belangrijke aanvulling.”
Wat is een sterk wachtwoord
“Een sterk wachtwoord is een moeilijk te raden wachtwoord. Het bestaat altijd uit hoofd- en kleine letters, cijfers en leestekens en is minimaal 10 karakters lang. In plaats van een wachtwoord kan je ook een wachtwoordzin gebruiken. Als een wachtwoord langer wordt en uit meerdere woorden (inclusief spaties en leestekens) bestaat, wordt de kans kleiner dat de kwaadwillende het wachtwoord kan raden (brute-forcen). Daarnaast is het heel belangrijk om voor iedere website of computer een ander wachtwoord te gebruiken.”
Hoe zorg je dat gebruikers goed met hun wachtwoorden omgaan?
“Gebruik bij voorkeur een zakelijke wachtwoordenmanager. Dat is gemakkelijker en veiliger. Een wachtwoordenmanager kan al jouw wachtwoorden onthouden én veel moeilijkere wachtwoorden bedenken dan de mens.
Er zijn drie grote voordelen:
– Je genereert automatisch een sterk en uniek wachtwoord voor alle applicaties en programma’s. De wachtwoordenmanager bedenkt voor jou een wachtwoord. Daardoor wordt het risico op een hack veel minder groot.
– Als je een wachtwoordenmanager hebt, hoef je niet meer zelf lijstjes met wachtwoorden te maken.
– Je kunt wachtwoorden gemakkelijk delen met andere gebruikers en andere afdelingen. Zo hoeven die gebruikers geen enkel wachtwoord te kennen en trek je de toegang ook weer gemakkelijk in.
Veel eigenaren van bedrijven denken dat wachtwoordenbeleid ingewikkeld is en dat het niet nodig is voor hun bedrijf. Tot op bepaalde hoogte klopt dat ook wel, tenzij een wachtwoordenmanager wordt ingezet, dan wordt wachtwoordenbeleid opeens kinderspel.”
Meervoudige authenticatie: is dat veilig en hoe werkt dat?
“Wanneer je gebruik maakt van meervoudige (multifactor) authenticatie, kortweg MFA, dan log je in met twee of meerdere ‘factoren’. Iets wat je weet (je wachtwoord), iets wat je hebt (bijvoorbeeld je smartphone) en iets dat je bent (bijvoorbeeld je vingerafdruk). Als je sterke wachtwoord dan alsnog geraden wordt, kan de kwaadwillende nog steeds niet inloggen op je account. De overheid, banken en veel (grote) bedrijven maken vaak al gebruik van MFA; denk hierbij bijvoorbeeld aan DigiD waarvoor je naast gebruikersnaam en wachtwoord ook een code via SMS krijgt. Het gebruik van MFA is voor iedereen veiliger, zeker bij het gebruik van boekhoudpakketten of specifieke branchesoftware.”
Als je computerbeveiliging niet op orde is, wat dan?
“Dan is de kans groot dat je op een dag gehackt wordt en dat gegevens van je bedrijf en je klanten op straat komen te liggen. Overigens ben je wettelijk verplicht om een datalek binnen 72 uur te melden bij de Autoriteit Persoonsgegevens. Verder loop je zonder goede beveiliging het risico dat je getroffen wordt door een ransomware-aanval, met het gevaar dat je bestanden worden versleuteld, je niet meer bij je gegevens kunt en je losgeld moet betalen. In zo’n geval staat niet alleen je bedrijf stil, het is ook niet goed voor het vertrouwen bij je klanten.”
Hoe weet je zeker dat jouw IT-leverancier veilig omgaat met je data?
“Je kunt er als bedrijf voor kiezen om een leverancier te vertrouwen op ‘zijn blauwe ogen’, maar het is altijd beter om in zee te gaan met leveranciers die hun zaken goed op orde hebben. Een gemakkelijke manier is om te controleren of je IT-leverancier gecertificeerd is op het gebied van informatiebeveiliging. Een bekende norm voor informatiebeveiliging is ISO 27001. Je hebt als klant dan de garantie dat je IT-leverancier veilig met je gegevens omgaat en zorgt voor zaken als een goede back-up. Dit wordt jaarlijks gecontroleerd door een externe auditeur. Overigens kan het natuurlijk nooit kwaad om je eigen organisatie ook te laten certificeren volgens deze norm, dan is jouw data in de hele keten veilig. Vergeet hierbij ook niet om een verwerkersovereenkomst aan te gaan.”
Drie vragen over hetgebruik van wachtwoorden
Gebruik je wel eens een wachtwoord dubbel?
Gebruik je gemakkelijk te onthouden wachtwoorden?
Heb je lijstjes met wachtwoorden, bijvoorbeeld in Excel?
Als je een van de drie bovenstaande vragen met ja beantwoordt, overweeg dan het gebruik van een wachtwoordenmanager. Maak je nog geen gebruik van meervoudige authenticatie, overweeg dan eens een gesprek met de securityspecialist van je IT-dienstverlener.
Twee tips
Twijfel je of je wachtwoord wel moeilijk genoeg is? Ga dan naar de website haveibeenpwned.com en voer je wachtwoord in. Je ziet dan meteen hoe vaak jouw wachtwoord al buitgemaakt is in een hack. Een voorbeeld: het wachtwoord ‘Welkom’ wordt meer dan 25.000 keer gebruikt in Nederland.
Informatie over het kraken van wachtwoorden en wat er dan kan gebeuren, vind je in het boek ‘Ik weet je wachtwoord’ van de schrijver Daniël Verlaan. Het boek leest lekker weg en bevat veel tips, voorbeelden en waargebeurde verhalen. Bijvoorbeeld over niet goed beveiligde beveiligingscamera’s waardoor hackers ongemerkt binnen kunnen kijken in een woning of een kantoor. Een boek dat bij elk bedrijf op tafel zou moeten liggen.
PWA b.v.
Pletterij 1F
2211 JT Noordwijkerhout
T 0252 200 000
E [email protected]
I www.pwa.nl
Auton: hardware uit eigen voorraad en 24/7 ICT-dienstverlening - Rijnstreek Business - Creatxt