‘Onveilige wifi bedreigt bedrijfscontinuïteit’

Zelfs versleutelde wifinetwerken zijn lang niet altijd voldoende beveiligd. Tot groot genoegen van hackers, want deze wifinetwerken zijn stuk voor stuk potentiële toegangspoorten tot privacygevoelige gegevens. CTO Corey Nachreiner van WatchGuard roept partners dan ook op om wifisecurity serieus op de agenda te zetten. “Wie nu nog de kop in het zand steekt, onderschat de gevaren ernstig en loopt onaanvaardbare risico’s.”

Het aantal wifihotspots groeit wereldwijd exponentieel. Met name in de sectoren onderwijs, gezondheidszorg en horeca. Die toename is eenvoudig te verklaren. Zo is voor 49 procent van de zakenreizigers de afwezigheid van gratis wifi in hotels een ‘dealbreaker’. Leerlingen kunnen zich geen wereld voorstellen zonder smartphones en tablets die ‘always on’ zijn.

Naar schatting verloopt 63 procent van al het internetverkeer in 2019 via een wifiverbinding. De EU stimuleert die ontwikkeling door de komende twee jaar 120 miljoen euro beschikbaar te stellen voor gratis wifi in alle Europese gemeenten. Daarmee subsidieert Europa de installatie van wifi-apparatuur op centrale locaties zoals in overheidsgebouwen, musea en ziekenhuizen. 

Niet zonder risico’s

Al die zaken komen echter niet zonder risico’s. Zo slaagden beveiligingsonderzoekers er vorig jaar in om via het wifinetwerk van een ziekenhuis toegang te krijgen tot alle medische apparatuur, waaronder een CT-scanner met patiëntgegevens. Ook hadden hackers jarenlang toegang tot de laptops van topmensen van grote bedrijven die ze hadden gehackt via de wifinetwerken van Aziatische hotels.

Uit een recent onderzoek onder vijfhonderd organisaties in de Verenigde Staten en Europa blijkt dat C-level managers het grootste risico lopen om te worden gehackt tijdens het werken via wifi. Bij het gebruik van publieke wifihotspots ziet 69 procent van de respondenten man-in-the-middle’-aanvallen als de grootste bedreiging. “Daarbij nestelt een hacker zich tussen twee met elkaar communicerende gebruikers op het wifinetwerk in”, legt Corey Nachreiner uit. “Die derde persoon kan niet alleen alle berichten onderscheppen, maar deze ook aangepast doorsturen naar de ander.”

“Een van de meest gebruikte methoden is de ‘evil twin attack’”, voegt Nachreiner toe. Hierbij brengt de aanvaller een vals toegangspunt in de lucht in de hoop dat de gebruiker hier verbinding mee maakt. “Alle informatie die niet direct op het device al wordt versleuteld, komt dan in handen van de aanvaller. Ook kan de hacker ongemerkt kwaadaardige code in de aangemelde systemen injecteren en zo bijvoorbeeld permanent toegang krijgen tot het besmette apparaat.”

Bedreiging voor bedrijfscontinuïteit

Als dieven via deze slinkse methoden de hand weten te leggen op persoonsgegevens, dan kunnen de gevolgen rampzalig zijn. Vanaf 25 mei 2018 voorziet de Algemene Verordening Gegevensbescherming (AVG) in boetes bij datalekken die in het ergste geval op kunnen lopen tot 20 miljoen euro of 4 procent van de wereldwijde jaaromzet. Nu al hebben bedrijven de verplichting om een datalek te melden bij de Autoriteit Persoonsgegevens, op straffe van 820.000 euro.

“De hoge boetes maken datadiefstal een nog grotere bedreiging voor de bedrijfscontinuïteit dan het al was”, waarschuwt Nachreiner. Uit onderzoek blijkt namelijk dat 60 procent van het mkb na een ernstig dataverlies binnen een half jaar voorgoed de deuren moet sluiten, ook nu de AVG nog niet wordt gehandhaafd. Een treurige constatering.

Geen wondermiddel

Volgens Nachreiner is er geen wondermiddel om draadloze netwerken te beschermen tegen dit soort aanvallen. “Als een gebruiker verbinding maakt met een vals toegangspunt, dan is er weinig wat je kunt doen om afluisteren van het netwerkverkeer te voorkomen”, aldus de CTO.

Voornamelijk onversleutelde wifinetwerken zijn kwetsbaar voor aanvallen. “Het aanbieden van open, onversleutelde netwerken is daarom altijd een slecht idee. Mochten er toch dwingende redenen zijn om het gastennetwerk volledig open te zetten, zorg er dan in ieder geval voor dat dit netwerk geheel losstaat van het vertrouwde netwerk. Met netwerkbeveiligingsoplossingen zoals de WatchGuard Firebox kun je het vertrouwde netwerk volledig afschermen van het gastennetwerk, zodat er geen enkele vorm van communicatie mogelijk is tussen de netwerken.”

Voorkom een fiasco

“Voor veel organisaties is het inmiddels vijf voor twaalf”, vreest Nachreiner. “Alleen met een solide beveiligingsstrategie met speciale aandacht voor de draadloze voorzieningen kunnen partners hun klanten behoeden voor een fiasco.”

“Het gebruik van WIPS is altijd de eerste stap in het beveiligen van wifi”, schetst hij. “Hiermee detecteer je valse toegangspunten en voorkom je dat gebruikers per ongeluk verbinding maken met een rogue access point. Gebruik ook minimaal WPA2-wachtwoorden om het aanvallers moeilijker te maken om het netwerk af te luisteren.” Voor vertrouwde netwerken is het al gebruikelijk om de toegang te beveiligen met een wachtwoord, maar dat moet volgens de CTO van WatchGuard voor gastennetwerken even vanzelfsprekend zijn.

Als er sprake is van gevoelige communicatie, of dat nu via een bekabeld of draadloos netwerk is, moet de communicatie altijd worden versleuteld. Denk dan aan versleuteling met protocollen als HTTP Secure (HTTPS), Secure Shell (SSH) en SSH File Transfer Protocol (SFTP) en het gebruik van Virtual Private Networks (VPN’s). Nachreiner: “Als een hacker erin slaagt netwerkverkeer te onderscheppen, dan weet hij of zij nog steeds niet wat er wordt gezegd.”

“En zorg ervoor dat je malware en kwaadaardig gedrag kunt detecteren”, besluit Nachreiner. “Uiteindelijk is een draadloos netwerk niet heel anders dan een bekabeld netwerk. Bijvoorbeeld malware kan zich ook via wifi verspreiden. Bescherm daarom ook het draadloze netwerk met bijvoorbeeld Unified Threat Management (UTM)-appliances die zaken bieden als antivirus en monitoring van het netwerkverkeer op verdachte activiteiten.”

Door: Corey Nachreiner