Risico's verminderen met een penetratietest (of: ‘Hoe je over verzekeringen praat zonder in slaap te vallen’)

Blog door Andy | Geplaatst op donderdag 14 juli 2022

Een penetratietest op uw IT-systemen kan helpen uw zwakke punten te vinden voordat iemand anders dat doet...

Oké, wat is het saaiste onderwerp op aarde?

Hypotheekberekeningen? Britse rotondes? Belastingaangiften? Zeker geen politiek op dit moment (maar daar zullen we het niet over hebben).

Ik ga voor de verzekering

Wakker blijven
Blijf bij me

Ik heb het hier niet tegen mensen die in verzekeringen werken. Sommige van mijn beste vrienden zijn verzekeraars. Maar het is smeltend saai.

Ik ben geen fan van wiskunde in het algemeen. I geleden in plaats van wiskunde te studeren op school. Dus verzekeringsberekeningen, procentuele premies en dat soort zaken heb ik al niet meer zo goed onder de knie. Bovendien is een verzekering per definitie iets wat je niet nodig wilt hebben. Een beetje zoals een kernwapenarsenaal. Hoewel die vergelijking afdwaalt naar het interessante, dus vergeet dat ik het noemde.

Een verzekering is namelijk gericht op een som van de negatieven. Alle ‘wat als’ en de ‘just in cases’ worden samengevat in één complexe wiskundige berekening. Een berekening die probeert de gevolgen van een van de talloze mogelijke ongelukken af te wegen tegen de waarschijnlijkheid dat ze gebeuren. Eerlijk gezegd val ik in slaap terwijl ik dit typ.

Oké, om jullie niet ook in slaap te laten vallen, laten we de kwestie eens vanuit een andere hoek bekijken in een poging ons allemaal een klap in het gezicht te geven.

Risico

Man gebruikt smartphone tijdens het oversteken
Natuurlijke selectie neemt een onverwachte wending

Oo. Klinkt een beetje sexier, niet? Als we beginnen te praten over risico - in wezen de andere kant van de verzekeringsmunt - we beginnen dingen te onderzoeken zoals parachutes die niet opengaan of verstrikt raken in de tandwielen van een maaidorser. Ja: het is de nitty gritty van wat er mis kan gaan waar we ons op moeten richten. Niet het algoritme dat beslist hoeveel we moeten betalen en de voorwaarden van de dekking.

En als we het over risico's hebben, kijken we ook naar de manieren waarop we ze kunnen beperken en bestrijden. Ja, ik moest ‘strijden’ toen ik het ook zag in mijn onderzoek. We zijn hier ook om je woordenschat uit te breiden.

Om terug te komen op het algemene thema: ‘voorzichtig zijn’ is saaier dan ‘duivel-me-kan-zijn’. Maar het is onze standaardtoestand. We zouden niet ver komen zonder een gezond gevoel van zelfbehoud en risicovermijding. Dus doen we de voordeur op slot als we naar buiten gaan en kijken we beide kanten op als we de weg oversteken. Nou, vroeger.

Het risico beperken

Als het om autoverzekeringen gaat, vermindert voorzichtiger rijden het risico op een botsing. Er zijn tegenwoordig heel wat verzekeraars die korting geven aan voorzichtige bestuurders. Ze gebruiken speciale apparaten of apps op je mobiele telefoon om je rijgedrag te registreren. Het is een actieve manier om ervoor te zorgen dat de blootstelling aan risico's beperkt blijft. Het betekent ook dat je geld bespaart in ruil voor de informatie.

Hoe zit het dan met de risico's voor bedrijven? Gezondheid en veiligheid zijn belangrijk, zeker, ook al wordt er veel over geklaagd. Maar als het gaat om slechte dingen die kunnen gebeuren in het bedrijfsleven, zijn datalekken naar voren gekomen als een van de vervelendste gebeurtenissen. En waarschijnlijk een van de duurste in termen van schadevergoeding en boetes.

British Airways kreeg in 2019 een boete van £183m, en dat zal hebben bijgedragen aan de rekening voor consultants en IT-personeel die werken aan het oplossen van de kwetsbaarheid die dit heeft veroorzaakt. In de VS heeft kredietbedrijf Equifax in 2017 verloor de persoonlijke en financiële informatie van bijna 150 miljoen mensen vanwege niet-gepatchte software in een van de databases. De boete van $575m was spectaculair omdat ze het publiek meerdere weken niet hadden geïnformeerd.

Datalekken zijn meestal het gevolg van zwakke plekken in de cyberbeveiliging die worden uitgebuit, en net als bij Equifax zijn het zwakke plekken die ontdekt en verholpen kunnen worden als je je systemen goed in de gaten houdt. Regelmatige controles van de systemen die uw bedrijf draaien (laten we eerlijk zijn, ze zijn minstens zo kritisch voor uw organisatie als de fysieke infrastructuur) zijn het equivalent van voorzichtig autorijden. Risico's beperken. Verzekering.

“Wat is de beste manier om de systemen van mijn bedrijf te controleren op zwakke plekken?”, hoor ik je roepen.

Catch me if you can filmposter

Heb je de film ‘Vang me als je kunt’met Leonardo di Caprio en Tom Hanks in de hoofdrollen? Het is het zeer vermakelijke opmerkelijke verhaal gebaseerd op het leven van Frank Abagnale Jr, een charmant persoon die is veroordeeld voor diefstal, valsheid in geschrifte en fraude. Abagnale beweert dat hij zich voordeed als advocaat, arts en piloot, ondanks het feit dat hij voor geen enkele functie was opgeleid of gekwalificeerd. Hij had een gave voor valsheid in geschrifte - en hij was actief in de jaren 1960-70, toen papieren documenten de belangrijkste bron van bewijs waren.

Toen de FBI Abagnale eindelijk te pakken kreeg, werd hij berecht en veroordeeld en zat hij meer dan 3 jaar in een Amerikaanse federale gevangenis. Zijn relatie met de FBI werd echter heel interessant. Het succes dat hij jarenlang had met het ontwijken van gevangenneming door de FBI maakte hem tot een belangrijke bron van informatie voor hen. Hij heeft lezingen gegeven op de FBI Academy en beweert ook rechtstreeks voor hen te hebben gewerkt (hoewel je zijn woord daarop kunt vertrouwen?).

Beetje een uitweiding

Het punt is dat soms de beste manier om een systeem te testen, of het nu gaat om documentvervalsing of digitale beveiliging, is om de technieken te gebruiken die een echte crimineel of hacker zou gebruiken. En dat is wat u kunt doen met uw IT-beveiliging. Bent u wel eens zoiets tegengekomen als een penetratietest?

Middeleeuwse kruisboog belegeringsmachine
Een fysieke manifestatie van een penetratietest

Penetratietest? Wat is dat?

Ik weet het: het klinkt, eh, alarmerend. Maar in wezen maakt een penetratietest gebruik van een reeks technieken waarmee wordt geprobeerd manieren te vinden om je IT-systemen binnen te dringen. Het lijkt erg op wat hackers en bots echt gebruiken om toegang te krijgen. Als ze poorten vinden die openstaan of informatie die blootligt, gaan er vlaggen omhoog. Je kunt dan kijken welke acties je moet ondernemen om de gaten in je systeem te dichten.

Idealiter moet je regelmatig een penetratietest uitvoeren op je IT-systemen. Er worden regelmatig nieuwe bedreigingen en manieren om kwetsbaarheden uit te buiten ontdekt, vooral bij veelgebruikte systemen en software. Je moet er dus voor zorgen dat je a) je systemen regelmatig patcht en b) regelmatig test om er zeker van te zijn dat er geen nieuwe kwetsbaarheden in zitten.

Niet zo erg als het klinkt. Oké, hoe krijg ik een penetratietest?

Idency Audit-logo met slogan Digitale beveiligingsdiagnose

Bij Idency hebben we een uitgebreide reeks tests en controles die we kunnen uitvoeren als onderdeel van een service die we noemen IdencyAudit. Penetratietests maken deel uit van die service en we kunnen je ook helpen uit te zoeken wat je moet doen om je systeem te beveiligen als er zwakke plekken worden gevonden. Want laten we eerlijk zijn: het is belangrijk dat u ze vindt voordat iemand anders dat doet.

Bel ons als je wilt overleggen - we geven graag advies of praten gewoon door het proces.

Dus - ik denk dat we het er allemaal over eens zijn dat verzekeringen zo saai zijn als slootwater (of is het afwaswater?). Maar als het op risico's aankomt, is het veel beter - en het kan je enorm veel geld besparen - als je actie onderneemt voordat het noodlot toeslaat.

Welterusten - en heb geen nachtmerries ...

Andy B

Neem contact op

Artikelen zoeken

  • Populaire categorieën