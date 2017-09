Net als kredietfirma Equifax eerder deze maand, blijkt de hack bij Deloitte mogelijk te zijn geweest door een opeenstapeling van fouten, zoals duizenden publiek benaderbare en slecht tot niet beveiligde remote toegang, een algeheel gebrek aan multifactor-authenticatie voor kritieke systemen en door werknemers per ongeluk op social media gepubliceerde VPN-inloggegevens.

Eigenlijk is het een klein wonder dat het bedrijf niet eerder, vaker en veel harder te grazen is genomen, zo menen beveiligingsdeskundigen. Dat is al enigszins gênant voor een gemiddeld bedrijf, maar voor een grote multinational die bekend staat om zakelijke dienstverlening én een gelauwerde cybersecuritytak heeft is het bijzonder beschamend.

Ondanks alle expertise die Deloitte in huis heeft op beveiligingsgebied, wordt die niet ingezet voor de eigen interne systemen en daar plukt de organisatie nu de wrange vruchten van. Als we even Captain Hindsight mogen spelen: "Je had je cybersecurityadviezen moeten toepassen op alle interne systemen van het moederbedrijf." Maar als hadden komt, is hebben te laat, dus laten we even kijken naar wat we hier zelf van kunnen leren. Uitglijders om te vermijden met als eerste en misschien wel belangrijkste:

1. Geen 2FA op adminaccounts

Het heeft voor veel bedrijven nogal wat voeten in de aarde om 2FA organisatiebreed uit te rollen, maar al jaren wordt aangeraden om dan tenminste een begin te maken met kritieke systeemaccounts. Het kan immers niet zo zijn dat een aanvaller een IT'er weet te phishen met een bijvoorbeeld interessant LinkedIn-aanbod en zo credentials verkrijgt waar hij of zij overal mee bij kan.

Maar dat is precies wat er gebeurde bij Deloitte: een aanvaller kon via een adminaccount diep binnendringen in de systemen. De aanvallers kregen via zo'n account met onbeperkte rechten toegang tot een belangrijke server en konden toen hun slag slaan. De opties voor laterale beweging in het interne netwerk waren ruim voor handen, zo bleek de afgelopen dagen nadat meer details uitlekten.

Na de inbraken bij belangrijke overheidsdiensten, filmstudio's, beurswaakhonden en dienstverleners moet inmiddels duidelijk zijn dat een inbraak werkelijk iedereen kan overkomen. Beveiliging is geen kinderspel, maar vrijwel alle grote hacks van de afgelopen jaren waren simpelweg voorkomen (of op z'n minst ernstig gedwarsboomd) met het toevoegen van multifactor-authenticatie, al was het alleen op adminaccounts en gekoppeld aan hardware- of locatiedetectie.