BDO Webscan: Te veel websites kwetsbaar voor cyberaanvallen

Veel bedrijven en organisaties hebben hun cybersecurity nog steeds niet op orde. Zo gebruiken veel websites verouderde technologie en zijn daarmee kwetsbaar voor cyberaanvallen. Een positieve ontwikkeling is dat het totale aantal kwetsbaarheden minder is dan voorgaande jaren. Toch kunnen nog teveel websites gehackt worden. Reden tot zorg, zeker tegen de context van het tempo waarin bestaande kwetsbaarheden worden opgelost en het dagelijks verschijnen van nieuwe kwetsbaarheden.


Dat blijkt uit de resultaten van de BDO - WebScan van BDO Accountants & Adviseurs. In dit jaarlijkse onderzoek kijkt BDO naar de digitale veiligheid van bedrijven en organisaties aan de hand van een scan van kwetsbaarheden op websites. Voor de laatste editie van 2021 zijn ongeveer een half miljoen Nederlandse websites geanalyseerd. Om een goede vergelijking te maken, is naar dezelfde elementen gekeken als in eerdere jaren. Recente belangrijke kwetsbaarheden zoals Log4j en Spring4Shell, die diepgaander onderzoek vereisen, zijn niet in de webscan meegenomen.

Uitkomsten vormen topje van de ijsberg
Met de non-intrusive webscan analyseert BDO websites op vier technische onderdelen: connectie, management, configuratie en security. Bij connectie gaat het om de (beveiligde) verbinding van de gebruiker met de website. Management richt zich op de vraag of er poorten naar de managementinterface open staan. Configuratie gaat over in hoeverre de website gevoelige, technische informatie prijsgeeft die criminelen kan helpen om een website of organisatie binnen te dringen. Onder security worden een aantal beveiligingsinstellingen gerekend. Bij diverse onderzoeken waarin BDO in opdracht verder kijkt dan ‘non-intrusive’ worden vaak meer en ernstigere kwetsbaarheden gevonden. Het lijkt hier dus om het topje van de ijsberg te gaan.

Uit de resultaten van de webscan blijkt dat bijna de helft van alle websites niet goed is geconfigureerd. Daarnaast wordt bij één op de vijf een onveilige verbinding aangetroffen en bij een kwart van de websites open poorten, waardoor kwaadwillenden mogelijk een weg naar binnen kunnen vinden. Ook de e-mailbeveiliging is in veel gevallen niet op orde, waardoor spoofing (adresvervalsing) mogelijk is.

Volgens Kees Plas, partner bij BDO Digital, is het tijd dat cybersecurity de topprioriteit wordt van organisaties en bedrijven: “Nog steeds zijn helaas veel websites kwetsbaar, zo blijkt uit de webscan. We zien dat cybersecurity vaak achteraf een plaats krijgt in processen, maar eigenlijk moet het aan de voorkant goed ingeregeld zijn. Telkens met updates of patches nieuwe kwetsbaarheden achteraf verhelpen, is op lange termijn geen houdbare strategie. Daarmee bagatelliseer je ook het gevaar van cyberaanvallen. Cybersecurity moet echt een integraal onderdeel worden van de bedrijfsprocessen van elke organisatie, ongeacht de grootte daarvan. Dat gaat verder dan het beschermen van de eigen organisatie, het is ook een kwestie van maatschappelijke verantwoordelijkheid. Want in veel gevallen wordt bijvoorbeeld met persoonsgegevens gewerkt, of is de onderlinge afhankelijkheid binnen aanleverketens groot. Dan kun je het je simpelweg niet meer veroorloven cybersecurity op het tweede plan te zetten.”

Stapsgewijze aanpak zorgt voor optimale voorbereiding tegen cyberaanvallen
De urgentie van een degelijke cybersecurity wordt geregeld onderstreept, een recent voorbeeld hiervan is de commotie rond de Log4j kwetsbaarheid rond de jaarwisseling. Niet voor niets stuurde de voorzitter van de VNG een recent Cyber Alert uit aan alle burgemeesters waarin gewaarschuwd wordt voor de toegenomen dreiging van ransomware. BDO constateert net als de gemeentelijke Informatie Beveiligingsdienst (IBD) van de VNG dat het risico om slachtoffer de laatste tijd hoog is. Een belangrijk advies wat de IBD gaf, is het up-to-date houden van hard- en software om zo de kans te verkleinen dat criminelen van buitenaf zwakke plekken kunnen benutten.

Het lijkt er echter op dat het updaten van websites bij veel organisaties en bedrijven nog steeds geen prioriteit heeft. Plas herkent dit beeld vanuit de praktijk: “Uit diverse gesprekken blijkt dat zodra een site eenmaal is opgezet, deze verder te weinig aandacht krijgt vanuit cybersecurityperspectief. Vaak is de gedachte dat hij veilig was en daarmee ook is, maar dat is een misconceptie gezien de continue ontwikkeling van cyberdreigingen. Daarnaast is cybersecurity ook een specifiek en complex onderwerp, waardoor het niet makkelijk binnen iemands verantwoordelijkheid past.”

Geen enkel cyberincident is volledig te voorkomen en iedere organisatie kan slachtoffer worden van cybercriminelen. Daarom is het van belang om inzicht te hebben in de mate waarin organisaties zich hebben voorbereid op cyberincidenten, om directe en indirecte gevolgen het hoofd te kunnen bieden. Is sprake van voorbereiding omdat het een verplichting is, of juist omdat het een expliciete wens is van de organisatie? Hoe zorg je er als organisatie voor dat je informatiebeveiliging optimaal is ingericht?

Plas legt uit dat dit valt of staat met een stapsgewijze aanpak: “Grofweg bestaat zo’n aanpak uit vier fasen. Allereerst een grondige analyse en inventarisatie. Daarin identificeer je de kroonjuwelen van je organisatie die je koste wat kost wil beschermen. Je kijkt naar welke doelen je stelt en welke risico’s er zijn. Als je dat weet, ga je met een veiligheidsonderzoek na welke actuele kwetsbaarheden er bestaan. Dit leidt tot een aantal verbeteringsopties, die vervolgens geïmplementeerd worden als bepaald is welke businesscase hieraan gekoppeld wordt. De laatste fase is die van monitoring en verbetering en het eventueel reageren (Incident Response) op een mogelijk incident. Met deze aanpak ben je nooit 100% verzekerd van bescherming tegen cyberaanvallen, wel is het zo dat je er optimaal op voorbereid bent als het gebeurt.” 
Geplaatst op 14-04-2022


Share on: