NAS-systemen hebben extra aandacht nodig

08 jun 2020

Nu we massaal thuiswerken, worden bedrijfsapplicaties meer op afstand benaderd. In navolging van eerdere berichten over de veiligheid van thuiswerksystemen zoals VPN-kwetsbaarheden en aandachtspunten bij videobellen, vragen we in dit nieuwsbericht aandacht voor opslagmogelijkheden binnen jouw netwerk. Het gaat om zogenaamde ‘Network Attached Storage systemen’, kortweg NAS-systemen.

Bij veel bedrijven wordt gebruik gemaakt van NAS-systemen voor de centrale opslag van bestanden en bedrijfsinformatie. De voordelen van een dergelijk systeem zijn legio. Deze systemen zijn specifiek ingericht en opgezet om bestanden op te slaan en te gebruiken door medewerkers. Daarnaast zijn ze vaak sneller en eenvoudiger op te zetten dan een volledige server. Ook zijn deze NAS-systemen zeer geschikt voor groeiende bedrijven waarbij meer medewerkers bestanden uitwisselen en of moeten beschikken over deze informatie.

Naast de voordelen van NAS-systemen zijn er ook belangrijke aandachtspunten bij het gebruik ervan. Wie krijgt er toegang tot de NAS? Welke rechten hebben de gebruikers voor de bestanden en informatie? Wat zijn de veilige instellingen van jouw NAS en zijn deze ook ingesteld?

Incidenten met NAS-systemen

Hoewel fabrikanten hard werken aan de veiligheid van systemen, vinden er toch incidenten plaats. Een bekende kwetsbaarheid in een NAS-systeem zorgde in 2019 voor ophef. Het Finse National Cyber Security Centre meldde toen dat er specifieke malware was ontwikkeld, genaamd Qsnatch. Deze malware maakte het onder andere mogelijk om gebruikersnamen én wachtwoorden te achterhalen van NAS-systemen. Diegene die de gebruikersnamen en wachtwoorden van jou of jouw medewerkers heeft, kan natuurlijk dingen doen met jouw bestanden en dat wil je voorkomen.

Advies over bescherming van NAS-systemen

Zeker in tijden van thuiswerken is het belangrijk dat je jouw NAS goed beschermt. De volgende punten zijn daarbij in ieder geval van belang:

  • Zorg ervoor dat je standaard wachtwoorden en beheerrechten voor jouw NAS wijzigt;
  • Geef gebruikers unieke gebruikersnamen en laat ze sterke wachtwoorden instellen;
  • Overweeg de introductie van tweefactorauthenticatie voor toegang tot jouw NAS voor thuiswerkers;
  • Zorg ervoor dat je alleen vertrouwde IP-adressen toegang laat hebben op jouw NAS,bijvoorbeeld de vaste IP-adressen van thuiswerkende collega’s;
  • Overweeg een VPN-verbinding in te richten voordat er verbonden kan worden met de NAS
  • Schakel alle overbodige functies op de NAS uit. Afhankelijk van het merk of het type NAS zijn dit functies zoals print- of media server;
  • Zet automatisch updaten aan of zorg dat je de NAS met regelmaat controleert op software updates;
  • Sommige NAS-systemen hebben plek voor meerdere harde schijven. Overweeg harde schijven bij te plaatsen om zo door middel van een RAID-opstelling data te kunnen spiegelen. Hierdoor voorkom je dat informatie niet beschikbaar is wanneer een harde schijf defect raakt;
  • Richt een back-up in. Ook NAS-systemen kunnen defect raken of getroffen worden door ransomware aanvallen. Ook wanneer je gebruik maakt van een RAID blijft een kwalitatief goede back-up van belang. We hebben tips over goede back-ups voor je op een rijtje gezet.

Mocht je misbruik constateren, doe dan altijd aangifte bij de Politie. Vergeet ook niet een datalek te melden bij de Autoriteit Persoonsgegevens. Als je zelf niet het beheer voert over jouw IT-systemen, ga in gesprek met je IT-leverancier en bespreek de genoemde punten.

Eerder vroegen we al aandacht voor kwetsbaarheden in bijvoorbeeld VPN software en in Citrix software.

Voor meer algemene informatie verwijzen we naar ons artikel over veilig thuiswerken en onze 5 basisprincipes voor veilig digitaal ondernemen