Wat is Cyberchef?
Met Cyberchef wil de gemeente Amersfoort samen met het ROC Midden Nederland ondernemers een helpende hand bieden bij het verbeteren van hun digitale veiligheid. Helaas worden nog veel ondernemers slachtoffer van cybercrime en dat kan grote gevolgen hebben. We willen ondernemers helpen weer chef te zijn in hun eigen digitale keuken zodat zij minder kans lopen om slachtoffer te worden van digitale criminaliteit.
Wat heeft u eraan?
Met de Cyberchef scan krijgt u een eerste beeld van de digitale weerbaarheid van uw bedrijf. De studenten van het ROC Midden Nederland brengen samen met u uw digitale huishouding in kaart en leveren vervolgens een rapport met resultaten aan u op. Hier kunt u zelf of met behulp van Amersfoortse IT-professionals vervolgens verder mee aan de slag zodat uw digitale veiligheid weer op orde kan worden gebracht.
Hoe gaan we met uw informatie om?
Voorafgaande aan de start van Cyberchef ondertekent u samen met de studenten een toestemmingsverklaring. Daar staat in dat uw gegevens anoniem worden verwerkt. Er wordt geen herleidbare informatie over u of uw organisatie gevraagd. Daarnaast mogen de studenten ook geen veranderingen aanbrengen in uw systemen. Ze zijn er vooral om u te adviseren.
Voor meer informatie of als u contact met ons op wilt nemen klikt u hier.
Website en webserver
. Heeft het bedrijf een eigen website?
. Wordt de website gehost op een eigen webserver of via een webhosting provider?
Dit kun je checken via een Whois search
. Is de DNS server voorzien van DNSSEC?
Dit kun je checken via www.sidn.nl of www.internet.nl
. Zijn de DNS-records voor de website juist geconfigureerd?
Kijk met een DNS-tool of de gangbare records terug te vinden zijn er of er geen vreemde TXT-records instaan. Bijvoorbeeld dnsdumpster.com
. Gaat het websiteverkeer standaard over HTTPS?
Haal in de browser de S bij https weg en kijk of deze weer terugkomt. Check daarna via www.internet.nl of www.ssllabs.com/ssltest of dit technisch goed geregeld is.
. Is de mogelijkheid voor HTTP compressie uitgeschakeld?
Dit kun je checken via www.internet.nl of www.ssllabs.com/ssltest
. Is de mogelijkheid voor TLS compressie uitgeschakeld?
Dit kun je checken via www.internet.nl of www.ssllabs.com/ssltest
. Worden onveilige versies van TLS ondersteund?
Dit kun je checken via www.internet.nl of www.ssllabs.com/ssltest
. Is het HTST protocol standaard geïmplementeerd?
. Wordt de ondersteuning van zwakke versleutelingsmethoden toegestaan?
Dit kun je checken via www.internet.nl of www.ssllabs.com/ssltest Kijk naar de volgorde van de cipher suites
. Het websitecertificaat vertoont geen fouten en is ondertekend door een legitieme certificate authority?
Dit kun je checken via www.internet.nl of www.ssllabs.com/ssltest
. Is de basis beveiliging van de website in orde?
Dit kun je checken via: https://pentest-tools.com/website-vulnerability-scanning/website-scanner
. Opmerkingen?
E-mail en mailserver
. Eindigt het email-adress met @mijndomeinnaam.nl?
. Wordt e-mailverkeer gehost en afgehandeld met een eigen mailserver of via een externe maildienst?
Dit kun je checken via een Whois search of www.internet.nl
. Is de DNS server voorzien van DNSSEC?
Dit kun je checken via www.internet.nl
. Het DNS is voorzien van DMARC en DANE records?
Dit kun je checken via https://ssl-tools.net/mailservers en www.internet.nl
. Het e-mailverkeer wordt standaard afgehandeld via STARTTLS?
Dit kun je checken via www.internet.nl of https://ssl-tools.net/mailservers
. Worden onveilige versies van TLS ondersteund?
Dit kun je checken via: https://www.ssllabs.com/ssltest/ of www.internet.nl
. Wordt de ondersteuning van zwakke versleutelingsmethoden toegestaan?
Dit kun je checken via: https://www.ssllabs.com/ssltest/ of www.internet.nl
. Het mailservercertificaat vertoont geen fouten en is ondertekend door een legitieme certificate authority?
Dit kun je checken via: https://www.ssllabs.com/ssltest/ of www.internet.nl
. Opmerkingen?
Fysieke toegankelijkheid & awareness
. Bij binnenkomst worden bezoekers geregistreerd: tijd van aankomst/vertrek en voor wie men komt?
. Worden afspraken met medewerkers van externe bedrijven geverifieerd?
Bijvoorbeeld: Er meldt zich iemand met kleding van Essent of KPN. Hij/zij zegt dat er iets gecontroleerd moet worden. Wordt dit nagegaan?
. Indien onbekende en/of externe medewerkers gebruik moeten maken van systemen is hier altijd toezicht (fysiek of digitaal) op?
. Kunnen bezoekers zonder obstakels zoals beveiligde deuren naar de werkvloer lopen?
. Indien een medewerker zijn werkplek verlaat wordt het scherm altijd vergrendeld met Windows+L?
. Wordt het pand beveiligd met camera's?
. Is er een beveiliger aanwezig?
. Er wordt goed opgelet dat onbevoegden geen gebruik maken van personeelsingangen of doorgangen?
. Opmerkingen?
Fysiek netwerk in de publieke ruimte
. Zie je netwerksockets (RJ-45) waar je makkelijk een laptop kan inpluggen?
. Kan je, eenmaal ingeplugd, verbinding maken met het netwerk en/of internet?
. Kan je verbinding maken met de router of het accesspoint en vervolgens wijzigingen aanbrengen in de configuratie?
. Lukt het om een overzicht te maken van alle apparaten en services in het netwerk?
. Lukt het om vanuit de publieke ruimte fysiek contact te maken met netwerkapparatuur zoals server, router etc?
. Opmerkingen?
Gasten-WiFi
. Beschikt de onderneming over een WiFi-gastennetwerk?
. Is dit WiFi-netwerk 24/7 bereikbaar?
. Het netwerk is gesegmenteerd: er kan geen verbinding met apparaten gemaakt worden buiten dit netwerk?
. Het netwerk is voorzien van clientsegmentatie: apparaten kunnen elkaar niet identificeren op het netwerk?
. Is de signaalsterkte van het netwerk goed op de plaatsen waar deze bereikbaar moet zijn?
. Is het gastennetwerk voorzien van een WPA2 netwerksleutel?
. Kun je met een browser op het inlogportaal van de router of accesspoint?
. Is de router of het accespoint eenvoudig fysiek bereikbaar?
. Moeten gastgebruikers een overeenkomst accepteren alvorens zij de WiFi-service kunnen gebruiken?
. Kunnen gastgebruikers alle websites bezoeken, en alle internetdiensten gebruiken?
. Is er voor gastgebruik een datalimiet ingesteld?
. Is er voor gastgebruik een tijdsbeperking ingesteld?
. Opmerkingen?
Medewerkers-WiFi
. Beschikt de onderneming over een WiFi-netwerk voor medewerkers?
. Het netwerk is gesegmenteerd: er kan geen verbinding met apparaten gemaakt worden buiten dit netwerk?
. Het netwerk is voorzien van clientsegmentatie: apparaten kunnen elkaar niet identificeren op het netwerk?
. Is de signaalsterkte van het medewerkersnetwerk goed op de plaatsen waar deze bereikbaar moet zijn?
. Is het netwerk voorzien van een WPA2 netwerksleutel of WPA2-Enterprise authenticatie?
. Zijn de inloggegevens voor het WPA2-Enterprise netwerk dezelfde als voor het inloggen op een werkstation?
. Is de router of het accesspoint bereikbaar vanuit het netwerk?
. Is het standaard wachtwoord van de router of het accesspoint aangepast?
. Is de router of het accesspoint configureerbaar vanuit het medewerkersnetwerk?
. Is de router of het accespoint eenvoudig fysiek bereikbaar?
. Kunnen medewerkers alle websites bezoeken, en alle internetdiensten gebruiken?
. Opmerkingen?
Voorkomen van virusinfecties, malwarebesmettingen en ransomware
. Medewerkers gebruiken op hun workstations alleen accounts zonder administrator rechten?
. Alle apparatuur waarop software en/of firmware aanwezig is wordt automatisch geüpdatet?
. Alle apparatuur is (indien mogelijk) altijd voorzien van actuele antivirus software?
. Alle apparatuur is (indien mogelijk) altijd voorzien van actieve malware-scanner software?
. Alle apparatuur is (indien mogelijk) altijd voorzien van een actieve firewall?
. Wordt er binnen de onderneming gebruik gemaakt van verwisselbare media zoals USB-sticks etc.
. Data op verwisselbare media is standaard versleuteld?
. Worden er verwisselbare media gebruikt voor de uitwisseling van bedrijfskritische gegevens?
. Is er binnen het bedrijf IT support aanwezig, of is deze alleen bereikbaar via een externe partij?
. Is er binnen het bedrijf een actueel overzicht van alle software en services welke aanwezig zijn op de systemen?
. Opmerkingen?
Wachtwoordbeleid en databescherming
. Hoe vaak worden wachtwoorden aangepast: 1x per kwartaal, 1x per half jaar, 1x per jaar of alleen bij reset?
. Wachtwoorden zijn makkelijk in te zien d.m.v. briefjes op de monitor en/of onderleggers op het bureau?
. Worden er sterke wachtwoorden gebruikt? (minimaal 16 tekens, variatie van letters, cijfers en leestekens)?
. Worden wachtwoorden hergebruikt bij meerdere services?
. Worden wachtwoorden opgeslagen in de browser?
. Maken medewerkers gebruik van een wachtwoordmanager?
Geef eventueel het advies voor Lastpass, Keepass etc.
. Worden de standaard wachtwoorden van nieuwe (netwerk) apparatuur direct aangepast bij ingebruikname?
. Is uw interne bedrijfsnetwerk bereikbaar vanaf het internet?
Voer bij deze vraag onder begeleiding een Shodan en Nmap scan uit en kijk of je via de browser verbinding kan maken met openstaande poorten.
. Is de bereikbaarheid van uw interne bedrijfsnetwerk vanaf het internet beveiligd met twee factor authenticatie?
. Medewerkers kunnen alleen via een VPN-verbinding maken met het bedrijfsnetwerk vanaf een externe verbinding?
. Zijn mappen en/of schijven met kritische bedrijfsdata beschermd met twee factor authenticatie?
. Opmerkingen?
Wachtwoordbeleid en databescherming
. Worden er in het bedrijf (geautomatiseerde) backups gemaakt?
. Is er vastgelegd van welke data en systemen er wel of geen bakckups gemaakt dienen te worden?
. Hoe vaak vindt het maken van een backup plaats: dagelijks, wekelijks of maandelijks?
. In het geval van een externe back-up: is deze 24/7 verbonden met het eigen netwerk?
. Wordt er periodiek getest of de back-ups geschikt zijn voor dataherstel in het geval van een calamiteit?
. Opmerkingen?
Zakelijk gebruik van telefoons, tablets en laptops
. De door het bedrijf verstrekte telefoons, tablets, laptops etc. zijn minimaal voorzien van een wachtwoord of pincode?
. Zijn computers en servers die van vitaal belang zijn voorzien van twee factor authenticatie?
. Telefoons, tablets en laptops kunnen door de IT afdeling op afstand worden beheerd?
. Telefoons, tablets en laptops kunnen door de IT afdeling op afstand worden geblokkeerd en/of gewist?
. Telefoons, tablets en laptops worden automatisch voorzien van de laatste updates en patches?
. Zijn uw medewerkers op de hoogte dat zij alleen software dienen te installeren uit officiële bronnen?
. Zijn uw medewerkers op de hoogte dat zij beter 3G of 4G kunnen gebruiken in plaats van (gratis) WiFi?
. Data op de mobiele apparaten wordt standaard voorzien van encryptie?
. Opmerkingen?
Algemene beleidsmaatregelen
. Worden uw medewerkers geïnformeerd op het herkennen en voorkomen van phishing en social engineering?
. Worden er in uw bedrijf afspraken gemaakt over wat te doen in het geval van social engineering?
. Nieuwe medewerkers krijgen bij aanvang informatie en/of instructies omtrent het IT beleid?
. Mogen medewerkers eigen mobiele apparaten gebruiken binnen het bedrijf?
. Weten uw medewerkers wat te doen in het geval van een data-lek?
. Toegang tot accounts en het netwerk wordt direct ingetrokken zodra een medewerker uit dienst treed?
. Heeft het bedrijf een functionaris gegevensbeheer aangesteld in het kader van de AVG/GDPR?
. Medewerkers zijn op de hoogte dat zij geen gebruik dienen te maken van het WiFi-gastennetwerk met zakelijke apparaten?
. Opmerkingen?
Klaar
Alles is ingevuld, vul hieronder het mailadres is en de rapportage zal worden verstuurd.