Waardevolle lessen voor Arnhemse bedrijven bij testen cybersecurity

IT-studenten van de HAN hebben woensdag 2 april meerdere digitale kwetsbaarheden blootgelegd bij bedrijven in Arnhem. De kwetsbaarheden kwamen aan het licht tijdens een regionale actiedag rond digitale criminaliteit.

Veel bedrijven denken dat zij hun digitale beveiliging goed op orde hebben. Maar tijdens een zogeheten pentest werden door de studenten bij ieder bedrijf in Arnhem dat zich had aangemeld meerdere kritieke beveiligingsproblemen geïdentificeerd:

Een volledige database dump – Bij een van de bedrijven konden studenten via een misconfiguratie in de webserver toegang krijgen tot een database die gevoelige klantinformatie bevat. Dit benadrukt het belang van strikte toegangscontroles en correcte databaseconfiguraties.

Cross-Site Scripting (XSS) op bedrijfswebsite – Een andere groep studenten vond een kwetsbaarheid waarbij een aanvaller kwaadaardige scripts kon injecteren in een bedrijfswebsite. Dit type aanval kan gebruikt worden om gebruikersgegevens te stelen of bezoekers naar kwaadaardige sites te leiden.

Social Engineering: fysieke toegang tot bedrijf – Een groep studenten wist zichzelf naar binnen te praten bij een bedrijfspand door middel van social engineering. Eenmaal binnen vonden ze computers waar gebruikersnamen en wachtwoorden op post-its waren geplakt. Dit illustreert hoe menselijke fouten nog steeds een van de grootste risico’s vormen binnen cybersecurity.

“Deze dag heeft aangetoond dat er nog veel winst te behalen valt op het gebied van cybersecurity bij bedrijven”, aldus KVO-manager Debora Lenten van StAB. “Met deze risico’s in beeld kunnen bedrijven nu maatregelen (laten) treffen om te voorkomen dat kwaadwillende mensen toegang krijgen tot het netwerk en gegevens en daarmee schade aanrichten.”

Veel kwetsbaarheden zijn te voorkomen met relatief eenvoudige maatregelen, zoals:

Regelmatige security-audits en pentests – Door periodiek kwetsbaarheden te laten onderzoeken, kunnen bedrijven proactief hun beveiliging verbeteren.

Training en bewustwording – Medewerkers moeten getraind worden in cybersecurity, vooral als het gaat om social engineering en het veilig omgaan met wachtwoorden.

Sterke authenticatie en toegangscontrole – Het gebruik van multi-factor authenticatie en het vermijden van zwakke wachtwoorden kan veel beveiligingsproblemen voorkomen.

“Voor onze studenten was dit een unieke kans om hun kennis uit de leslokalen in de praktijk toe te passen”, aldus HAN-docent Otto van der Pasch. “Studenten leerden niet alleen over kwetsbaarheden en aanvalstechnieken, maar ook over ethiek en verantwoorde disclosure. De bevindingen worden uiteraard gedeeld met de betrokken bedrijven, zodat zij hun beveiliging kunnen verbeteren.”

Docent Eddie Vagevuur vult aan: “Cybersecurity blijft een dynamisch vakgebied waarin praktijkervaring onmisbaar is. Dit soort pentesten bewijzen hoe waardevol het is om studenten en bedrijven samen te brengen in een leeromgeving waarin echte risico’s worden geïdentificeerd en aangepakt.”

De actiedag ‘Echt niet vandaag’ rondom digitale criminaliteit werd woensdag 2 april voor de tweede keer gehouden. Het evenement is bedoeld om studenten van de HAN University of Applied Sciences AIM-ICT Infrastructure, Security & Management hands-on ervaring te geven met cybersecurity. Daarnaast is het doel om bedrijven bewust te maken van de risico’s die zij lopen wanneer zij hun digitale veiligheid niet op orde hebben.

De actiedag werd mogelijk gemaakt door de gemeente Arnhem, politie Oost-Nederland, StAB en de HAN.