Waarom "het werkt toch gewoon" je hier niet helpt.
[list] In het kort
- Een plat netwerk is alles op één lijn: kantoor, wifi, camera's en machines door elkaar. Geen muren ertussen.
- Het werkt prima zolang er niets gebeurt. Gaat er iets mis, dan kan dat iets meteen overal bij.
- Eén besmette laptop kan zo bij je administratie, je camera's of je productie komen.
- Je gast-wifi en de pc van je boekhouding zitten vaak op precies dezelfde lijn.
- De oplossing heet segmentatie: je netwerk opdelen in stukken met deuren ertussen. Dat kan stapsgewijs, zonder dat je plat ligt.
In de vorige blog: Wat gebeurt er echt als je netwerk niet goed beveiligd is? legde ik uit wat er echt gebeurt als je netwerk niet goed beveiligd is.
Eén ding kwam daar steeds terug: als er iets binnenkomt, verspreidt het zich. En dat verspreiden, daar wil ik het nu over hebben.
Want bijna elk bedrijf dat ik binnenkom, draait op één plat netwerk. Vaak zonder dat ze het weten. En dat is precies waar het misgaat zodra er iemand binnenkomt.
Geen schrikverhaal. Gewoon eerlijk uitleggen wat het risico is, en wat je eraan doet.
Wat is een "plat netwerk", in gewone taal?
Stel je een grote loods voor zonder tussenmuren. Eén ruimte, alles staat door elkaar.
Zo werkt een plat netwerk. Alles hangt op dezelfde lijn: de pc's, de wifi, de printer, de camera's, de telefoons en de machines. Ze kunnen allemaal bij elkaar.
Voor jou voelt dat handig. Alles praat met alles, niemand loopt tegen een dichte deur aan.
Maar wat voor jou handig is, is voor een aanvaller net zo handig. Komt iemand binnen op één plek, dan staat de rest van de loods voor hem open.
Waarom is dat een probleem als het gewoon werkt?
Dit hoor ik vaak. "Marcel, het werkt al jaren prima zo. Waarom zou ik dat veranderen?"
Eerlijk antwoord: zolang er niets misgaat, merk je er niets van. Een plat netwerk werkt prima. Tot de dag dat het niet meer prima werkt.
Het probleem zit hem niet in de gewone dag. Het zit hem in die ene keer dat er iets binnenkomt. Dan is er niets dat het tegenhoudt.
Vergelijk het met een gebouw zonder branddeuren. Negenennegentig dagen merk je het verschil niet. Maar de dag dat er brand is, brandt alles af in plaats van één kamer.
Hieronder de vijf risico's die ik het vaakst tegenkom.
Risico 1: Eén besmetting verspreidt zich meteen overal
Dit is de grote. Op een plat netwerk kan één besmette pc bij alle andere apparaten.
Klikt iemand op een verkeerde link, dan blijft dat niet bij die ene laptop. Het zoekt verder. Naar je server, je gedeelde mappen, je back-up.
Heb je een productie of een loods, dan is de vraag terecht: kan dat dan ook bij mijn machines komen? Op een plat netwerk: ja. De besmetting kent geen verschil tussen een kantoor-pc en een machinebesturing. Het is allemaal dezelfde ruimte.
Op een gesegmenteerd netwerk loopt zo'n besmetting vast tegen een dichte deur. Op een plat netwerk niet.
Meer over hoe zo'n besmetting in de praktijk uitpakt, lees je in wat er écht gebeurt als ransomware toeslaat.
Risico 2: Je gast-wifi zit aan je administratie
Veel bedrijven hebben één wifi-netwerk. Daar hangt het personeel op, de bezoeker op de bank, en de boekhouding.
Dat betekent: de telefoon van een bezoeker zit op dezelfde lijn als de pc met je financiële gegevens.
Die bezoeker bedoelt er niets mee. Maar je weet niet wat er op zijn telefoon staat. En je weet niet wie er na hem nog op die wifi komt.
Gast-wifi hoort los te staan. Een aparte lijn, die nergens bij je bedrijfsdata kan. Dat is een van de eerste dingen die ik regel.
Risico 3: Een apparaat van een ander komt zo bij je productie
Een leverancier die even op afstand meekijkt met een machine. Een monteur die zijn laptop aansluit. Een tijdelijke kracht met een eigen apparaat.
Op een plat netwerk zit dat vreemd apparaat meteen tussen al je systemen. Is het besmet, dan neemt het dat mee naar binnen.
Ik heb dit van dichtbij gezien bij een controle. Iemand zat via een willekeurige verbinding zó op de bediening van een machine. Niet omdat hij een genie was, maar omdat er geen schot tussen zat.
Dat is geen reden om leveranciers buiten de deur te houden. Het is een reden om ze hun eigen, afgeschermde toegang te geven.
Risico 4: Camera's, printers en slimme apparaten zijn een open achterdeur
Hier denkt bijna niemand aan. Je camera's, je printers, je slimme thermostaat, je tijdklok.
Het zijn computertjes. En het zijn vaak de slechtst beveiligde apparaten in je pand. Ze krijgen zelden updates en draaien soms nog op het standaard wachtwoord uit de doos.
Op een plat netwerk is zo'n camera een open achterdeur. Komt iemand daar binnen, dan staat hij meteen op je hele netwerk.
Dit soort apparaten hoort op een eigen, apart netwerk. Ze moeten hun werk doen, maar verder nergens bij kunnen.
Risico 5: Je ziet niet waar het misgaat
Op een plat netwerk is alles één grote hoop. Gaat er iets mis, dan moet je in die hele hoop gaan zoeken.
Dat maakt twee dingen lastiger. Je merkt later dat er iets aan de hand is. En als het zover is, kost het meer tijd om uit te zoeken wat er precies gebeurd is.
Die verloren tijd is duur. Het zijn de dagen dat je plat ligt, waar ik het in de vorige blog over had.
Een opgedeeld netwerk geeft je overzicht. Je ziet sneller waar iets misgaat, en je kunt één stuk afsluiten zonder de rest plat te leggen.
De oplossing: je netwerk opdelen in stukken
Al die risico's hebben dezelfde oplossing. In vaktaal heet dat segmentatie. In gewone taal: je zet muren en deuren in je netwerk.
Je deelt het op in stukken: kantoor apart, gast-wifi apart, camera's en printers apart en Productie apart. Tussen die stukken zit een deur, en die deur laat alleen door wat er echt langs moet.
Komt er nu iets binnen op de gast-wifi, dan blijft het daar. Het komt niet bij je administratie of je machines. Het probleem blijft klein.
Terug naar het gebouw met branddeuren: brand in één kamer blijft in die kamer. De rest werkt gewoon door.
Wil je dieper in het verschil tussen de soorten segmentatie duiken, dan legt Zero Trust netwerktoegang vs netwerksegmentatie dat verder uit.
Moet daarvoor alles plat? Nee.
De grootste angst die ik hoor: "Dat klinkt als een hele verbouwing waar we dagen voor stilliggen."
Dat hoeft niet, segmenteren kan stapsgewijs. Het grootste deel doen we op de achtergrond, terwijl jij gewoon doorwerkt.
Je begint bij wat het meeste oplevert: de gast-wifi loskoppelen, de camera's apart zetten, de productie afschermen. Stap voor stap, zonder dat je bedrijf eruit ligt.
En als het eenmaal staat? Dan merk je er in je dagelijkse werk niets van. Alles werkt zoals je gewend bent. Het verschil zit aan de binnenkant, in wat er níét meer kan.
Hoe we toegang tot je netwerk dichtzetten, schreef ik eerder in hoe je je bedrijfsnetwerk beveiligt tegen onbevoegde toegang.
Geldt dit ook voor kleine bedrijven?
Ja. Sterker nog, juist daar zie ik het platte netwerk het vaakst.
De gedachte is meestal: "We zijn te klein, bij ons valt niets te halen." Maar zoals ik in de vorige blog uitlegde, kijken de meeste aanvallen niet naar je grootte. Ze zoeken een open deur.
Heb je een pand, wifi, een paar mensen en misschien een loods? Dan heb je een netwerk dat het opdelen waard is.
Eerlijk: voor wie speelt dit minder?
Want zo eerlijk wil ik ook zijn.
Werk je in je eentje, met één laptop en zonder eigen netwerk of apparatuur? Dan valt er weinig op te delen. Dan is dit verhaal niet voor jou.
Maar zit je met meerdere mensen op één netwerk, met gasten, klantgegevens en misschien machines? Dan is een plat netwerk een risico dat je beter vandaag dan morgen aanpakt.
Twijfel je waar jij staat? Daar kijken we graag een keer met je naar.
Tot slot
Een plat netwerk is niet verkeerd omdat het niet werkt. Het werkt juist te goed: alles kan bij alles. Dat is precies het probleem zodra er iemand ongewenst binnenkomt.
Het opdelen van je netwerk is een van de meest onderschatte stappen in beveiliging. Het houdt een klein probleem klein, in plaats van dat het je hele bedrijf raakt.
Je hoeft er niet bang voor gemaakt te worden. Je moet alleen weten hoe het zit. En dat weet je nu.
Wil je weten of jouw netwerk plat is?
Gokken hoef je niet. Met een Cyber Threat Assessment kijken we precies hoe jouw netwerk in elkaar zit. We plaatsen een week lang een apparaat in je netwerk en analyseren wat er gebeurt. Zonder dat je er iets van merkt en zonder impact op je productie.
Je krijgt een helder rapport: waar zit alles aan elkaar, waar zijn de open deuren, en wat los je als eerste op. Geen verhaal, maar feiten over jouw situatie.
Laat een Cyber Threat Assessment uitvoeren →
Vind je dat een te grote stap? Plan dan eerst een kwartiertje met mij. Even je vragen langs, zonder verplichtingen.
Plan een kwartiertje met Marcel →
De 5 grootste risico's van één plat, open bedrijfsnetwerk