Het beperken van rechten, hoe dit de impact en kans van een succesvolle aanval verminderd

Wist je dat een standaard Windows installatie de eerste gebruiker een administrator account geeft? Een administrator account kan lokaal veel dingen uitvoeren en aanpassen. Wist je ook dat veel bedrijven en IT-partijen dit nooit aanpassen. Het is natuurlijk fijn dat je personeel toegang heeft tot alles wat een systeem aanbied, maar er zijn keerzijdes aan deze manier van werken die je misschien wel wilt weten. We leggen je daarom in dit artikel uit wat de gevaren zijn van uitgebreide rechten en hoe je werkbaar deze rechten beperkt.

Het gevaar van uitgebreide rechten

Het verlenen van overmatige rechten betekent dat medewerkers onbedoeld bij vertrouwelijke informatie kunnen komen waar ze geen toegang tot horen te hebben. Stel je bijvoorbeeld voor dat een medewerker per ongeluk gegevens ziet over salarissen of privé-informatie van collega’s.

Een ander risico is het lekken van bedrijfsgegevens. Cybercriminelen kunnen gebruikmaken van de extra toegangsrechten als ze toegang krijgen tot een account van en personeelslid. Zo kunnen ze bijvoorbeeld bedrijfsgegevens bekijken, wijzigen of zelfs stelen. Bijvoorbeeld, als een medewerker onnodig toegang heeft tot financiële gegevens, kan dit leiden tot fraude of identiteitsdiefstal. Terwijl dit vermeden had kunnen worden als de medewerker alleen toegang had tot wat echt nodig was. Een stagiaire hoeft in veel gevallen geen toegang tot bijvoorbeeld paspoorten, een boekhouder hoeft geen toegang tot HR bestanden. Als dit wel het geval is kan er een uitzondering gemaakt worden.

Een ernstig probleem is ook de toename van ransomware-aanvallen. Stel je voor dat een hacker met veel toegangsrechten het hele bedrijfsnetwerk versleutelt, waardoor medewerkers geen toegang meer hebben tot belangrijke gegevens. Hierdoor kan het bedrijf gedwongen worden om losgeld te betalen om weer toegang te krijgen tot de eigen gegevens. In het geval van beperkte rechten zal een aanvaller zeer beperkt zijn in de mogelijkheden om een aanval uit te voeren en als dit wel lukt, om dieper in het bedrijfsnetwerk te komen of over te springen naar andere apparaten, systemen of accounts.

Beperk-toegang

Hoe beperk je rechten zonder het onwerkbaar te maken

Beperk het installeren van programma’s en het aanpassen van gevoelige instellingen 

Beperk de mogelijkheden om applicaties en programma’s te installeren. In veel gevallen zullen er weinig tot geen nieuwe programma’s worden geïnstalleerd door je personeel. Tegelijk kunnen cybercriminelen wel misbruik maken van deze mogelijkheid om malafide acties uit te voeren. Je IT partij kan in veel gevallen de mogelijkheid om applicaties en programma’s te installeren beperken tot alleen administrator (beheerder) accounts. Zorg er tevens voor dat er een makkelijke aanvraagprocedure is voor nieuwe applicaties en programma’s, zo houd je grip op de applicaties die binnen je bedrijf worden gebruikt en kan er tevens proactief beheer worden uitgevoerd zoals het uitvoeren van updates of aanpassen van instellingen voor veiliger gebruik. 

Als deze procedure onwerkbaar is kan het beheerdersaccount ook toegangkelijk gemaakt worden voor personeel onder de voorwaarde dat hier alleen beheerderstaken mee worden uitgevoerd en geen normale werkzaamheden. Dit is minder veilig maar functioneert als tussenoplossing.

Personeel zal dus voor normale werkzaamheden overdag toegang moeten hebben tot standaard gebruikersaccounts. Dit is niet standaard in Windows en zal dus moeten worden aangepast door een IT-partij. Waar nodig kunnen hier extra rechten worden gegeven maar wees hier streng in om te voorkomen dat er onnodige rechten worden gegeven. Laat de IT-partij gelijk ook andere gevoelige omgevingen beperken zoals het aanpassen van antivirus instellingen en update systemen. Je personeel zal hier geen toegang tot nodig hebben, tegelijk kan het een cybercrimineel stevig beperken in de mogelijkheden om te verspreiden op een netwerk of malafide acties uit te voeren.

Beperk toegang tot alleen benodigde informatie

Je bedrijf maakt waarschijnlijk gebruik van minstens tien applicaties waarop belangrijke bedrijfsprocessen draaien of waarin informatie wordt opgeslagen. Medewerkers hebben toegang nodig tot deze applicaties en informatie, maar niet iedereen hoeft altijd bij dezelfde gegevens te kunnen. Bijvoorbeeld, financiële gegevens, personeelsinformatie, of waardevolle formules moeten mogelijk beperkt zijn tot een selecte groep. Het is cruciaal om binnen de organisatie te bepalen wie welke toegangsrechten heeft. Gebruik hiervoor een rechtenmatrix.

Met een rechtenmatrix krijg je overzicht welke medewerker waar en welke rechten heeft. Een simpele spreadsheet per applicatie en informatiebron geeft aan wie lees- of schrijfrechten heeft, waarbij schrijfrechten automatisch leesrechten inhouden.

Bij toenemende medewerkers en verschillende informatiebronnen kan dit echter onoverzichtelijk worden. Een alternatieve aanpak is het indelen van rechten op basis van gebruikersrollen, corresponderend met gangbare functies. Dit bevordert overzicht en toetsbaarheid.

Hoewel gebruikersrollen enige flexibiliteit missen, biedt het een zorgvuldiger afwegingskader voor rollen en rechten. Het blijft cruciaal een goed proces in te richten voor het aanpassen van rechten, bijvoorbeeld bij in- of uitdiensttreding.

Belangrijke aandachtspunten bij het rechtenproces zijn:

  1. Bepaal duidelijk wie toestemming moet geven voor rechtaanpassingen, zoals bij in- of uitdiensttreding.
  2. Maak verantwoordelijkheden voor het actueel houden van het overzicht helder.
  3. Voer minstens jaarlijks een toets uit op de rechtenindeling in de informatiesystemen en applicaties. Overweeg of rechten nog logisch en noodzakelijk zijn.
Uitleg van apparatuur 3

Voorkom dat jij slachtoffer wordt van een cyberaanval!

Laat je bedrijf inventariseren door een van onze adviseurs! Neem contact op met ons voor een vrijblijvend adviesgesprek en hoor wat wij voor jouw bedrijf kunnen doen.