IT Blog met artikelen over de digitale wereld

Productief en veilig thuiswerken: 7 IT veiligheidstips

Door Omer / 7 februari 2022

Thuiswerk is sterk ingeburgerd in het Vlaamse bedrijfsleven. Voor organisaties is het daarom belangrijk om er voor te zorgen dat het thuiswerken van werknemers veilig en productief kan verlopen. Hoe je team productief én veilig thuis aan de slag kan, vertel ik je graag in deze blog.

Thuiswerk, het nieuwe normaal

Waar vroeger enkel heel specifieke functies geschikt waren om (deels) vanuit een thuiskantoor uit te voeren, zijn we het sinds 2020 gewoon geworden om vanuit onze eigen woning te werken. Helaas hebben cybercriminelen ook niet stilgezeten tijdens de lockdowns van de afgelopen jaren. We zien sinds de start van de coronacrisis immers een enorme groei in ransomware, phishing en CEO-fraude. Cybercriminelen richten hun digitale pijlen meer dan ooit op medewerkers die nietsvermoedend beroep doen op hun eigen laptop of computer, of een beperkt beveiligd toestel vanuit het bedrijf. Hoog tijd dus om hier de nodige aandacht aan te besteden.

IT Security tips voor thuiswerkers

Beveilig het thuisnetwerk

Wanneer werknemers op kantoor werken, doen ze dit (hopelijk) op goed beveiligde computers die op het bedrijfsnetwerk worden aangesloten met een veilige internetverbinding. Thuis is dit helaas niet altijd het geval. We zien dat er vaak lokaal gewerkt wordt en de beveiligingslagen uit het computernetwerk van het bedrijf daarmee wegvallen. Ga dus steeds na of je werknemers beschikken over een basis netwerkbeveiliging in hun thuiskantoor. Voorzie je jouw thuiswerkers van eigen werktoestellen, de laptop, computer of thin client waar ze op kantoor mee werken bijvoorbeeld? Dan kan je hier een IT beleid op voorzien waarin de nodige voorzorgen zijn genomen. Wanneer een privécomputer gehackt zou worden, bestaat immers de kans dat cybercriminelen ook toegang verkrijgen tot je bedrijfssystemen. En dat wil je absoluut vermijden.

Voorzie werkplekken in de cloud

De ideale oplossing om te garanderen dat alle data centraal bewaard blijft en niet op de persoonlijke schijven van je medewerkers terechtkomt, is het voorzien van werkplekken in de cloud. Ons team ontwikkelde Digidesks, moderne werkplekken in de cloud, dankzij dewelke gebruikers extern toegang kunnen verkrijgen tot hun kostbare data, hun vertrouwde werkomgeving en zelfs de software en apparatuur die ze dagelijks gebruiken. Zulke werkplekken in de cloud zijn ook handig wanneer je vaak op de baan of op verplaatsing bent. Je hebt enkel een toestel en een internetverbinding nodig om het werk terug aan te vatten. Bovendien kan de toegang eenvoudig beperkt of uitgeschakeld worden indien nodig.

Sensibiliseer over het verspreiden van werkinformatie

Wie op kantoor werkt, is vaak vanzelf minder actief op sociale mediakanalen en persoonlijke apps. Thuis zullen medewerkers mogelijk net iets gemakkelijker iets delen over hun dag of bezigheden. Het is echter wel belangrijk je werknemers te sensibiliseren en ervoor te zorgen dat ze niet ondoordacht details over hun werkdag of dagelijkse routines op social media delen. Cybercriminelen liggen namelijk op de loer om nuttige informatie te verzamelen voor bijvoorbeeld CEO-fraude of phishing-campagnes. Ook over het gebruik van usb sticks, to do appjes en andere shadow IT om werkgerelateerde bestanden (tijdelijk) op te slaan, is sensibilisering belangrijk.

Maak gebruik van een VPN-verbinding

Wil je het lokale computernetwerk beschikbaar stellen aan je thuiswerkers? Bijvoorbeeld een netwerkschijf met data, of toegang tot een printer? Dan voorzie je best een VPN-verbinding langs waar thuiswerkers verbinding kunnen maken met het bedrijfsnetwerk.

Voer een clean desk policy in

Zorg ervoor dat er op het thuiskantoor van je werknemers steeds de nodige aandacht wordt gegeven aan geheimhouding en de GDPR-wetgeving. Ook wanneer medewerkers niet op kantoor werken, is het van groot belang dat er discreet en vertrouwelijk wordt omgegaan met persoons-, en bedrijfsgegevens. Sensibiliseer werknemers daarom om ook thuis de regels van een clean desk policy te volgen en mappen, wachtwoorden en vertrouwelijke documenten zorgvuldig op te bergen.

Stel updates niet onnodig uit

Laat plug-ins, besturingssystemen en software die gebruikt worden op de werktoestellen steeds updaten en monitoren op cyberveiligheid. Dit kan bijvoorbeeld door te kiezen voor een IT onderhoudsformule met proactieve monitoring. Je zorgt er zo voor dat het risico op kwetsbaarheden ingeperkt wordt en cybercriminelen deze niet zomaar kunnen uitbuiten. Bovendien zal je merken dat de software en toestellen veel vlotter zullen werken met een productiviteitswinst tot gevolg.

Maak een thuiswerkprocedure

Naast alle technische voorzorgen te nemen, is het ook belangrijk om je medewerkers optimaal te informeren. Stel duidelijke richtlijnen op over wat er verwacht wordt van je medewerkers en voorzie een check-in moment aan de start en het einde van elke werkdag. Zorg ook zeker voor een stappenplan dat ze kunnen volgen wanneer ze zelf met vragen zitten over cyberveiligheid. Better safe than sorry!

Bij Datalink maken we gebruik van het intranetplatform Teamify om procedures, thuiswerkchecklists en andere nuttige informatie en afspraken onderling te delen.

Wil ook jij productief en veilig thuiswerken?

Ons team maakt het graag mogelijk voor jou en je team. Stuur een berichtje en maak een (bel-, of video-)afspraak om af te stemmen over de noden van jouw kmo. Of meld je team aan voor een online cybersecurity awarenesstraining.

Meer leren over cyberveiligheid?

Schrijf je in voor de online Cybersecurity Academy

Nu inschrijven

Opleiding cybersecurity en GDPR workshop voor kmo's

Hoe werken hackers: 6 fasen van een hack

Door Danny / 25 januari 2022

Waar cybercriminelen vroeger voornamelijk malware op het dark web aankochten, er vervolgens phishingmails mee opmaakten en deze naar zoveel mogelijk potentiële slachtoffers verspreidden, gaan ze vandaag veel gerichter te werk. Cybercriminelen gaan op vooronderzoek en vallen strategisch aan. Welke de fasen van een hack precies zijn, vertel ik je in deze blog.

Planning van de hack

Fase 1: Verkennen

In de eerste fase gaan cybercriminelen op ontdekkingstocht. De hacker gaat hier zijn doelwit zorgvuldig uitzoeken en onderzoeken. Hier wordt zowel passief als actief te werk gegaan. Met passieve verkenning gaat het over het verzamelen van informatie zonder argwaan te wekken bij het doelwit. Denk bijvoorbeeld aan online research, het bekijken van de bedrijfswebsite en het organogram, de online communicatiekanalen van het bedrijf en eventueel zelfs het in de gaten houden van het bedrijfspand. Het zijn vooral onschuldige zoekopdrachten die geen belletjes doen rinkelen. Daarnaast wordt er ook actief op verkenning gegaan. De hacker zal DNS records, IP adressen, hosts en services in het netwerk bekijken om zo een eerste indruk te bekomen van het beveiligingsniveau van het doelwit. Het kan ook voorkomen dat er via social engineering informatie wordt ontfrutseld. Deze actieve verkenning is iets risicovoller aangezien tools in een goed beveiligd netwerk al eerste alarmbelletjes kunnen doen rinkelen.

Fase 2: Bewapenen

Tijdens de bewapeningsfase gaat de hacker op basis van de info uit fase 1 bepalen wat hij nodig heeft om bij het doelwit binnen te dringen. Er worden technieken geselecteerd. Zo kan de hacker beslissen om malware te gebruiken die specifiek ontwikkeld is voor de kwetsbaarheden die hij ontdekt heeft in het netwerk van het doelwit. Hiernaast kan de hacker ook kiezen voor een persoonlijke aanpak door bijvoorbeeld fake profiles aan te maken op tools zoals LinkedIn. Zo probeert hij het vertrouwen te winnen van medewerkers om later informatie te verkrijgen of een onbetrouwbare link over te maken. In deze fase wordt alles vertrekkensklaar gezet.

Toegang verkrijgen

Fase 3 : verspreiden

In deze derde van de 6 fasen van een hack wordt het virus, de exploit of andere hackingtool afgeleverd bij het doelwit. 90% van geslaagde cyber-aanvallen begint met een e-mail. Phishing dus. De mens is en blijft de zwakste schakel in de IT-veiligheid van bedrijven. Naast phishingmails kunnen ook USB-sticks of online tools zoals Dropbox gebruikt worden om de malware binnen te sluizen. Tegenwoordig wordt de techniek van reply chain phishing ook steeds vaker gebruikt om een medewerker met veel toegangsrechten ‘er in te luizen’ en via die weg de nodige toegangen of betalingen te verkrijgen.

Fase 4: Linken

Zodra de malware afgeleverd is in het netwerk van het doelwit, gaat de hacker de malwarecode (of andere hackingtechniek) uitvoeren. In vele gevallen is dit onder de radar. Stel dat er een netwerkapparaat gebrekkig beveiligd is en de hacker in staat is om het te infecteren met code, gaat dit in vele gevallen niet opgemerkt worden. Er is vanaf dan een reële link tussen het bedrijf en de hacker. De hacker heeft controle.

Fase 5: Installeren

In de installatiefase heeft de code zich geïnstalleerd in het netwerk. Dit is een succesmoment voor de hacker. Het is natuurlijk wel belangrijk voor de criminelen om ervoor te zorgen dat ze de verbinding met de interne systemen behouden. Daarom gaat de hacker in deze fase aan de slag om verschillende bronnen en documenten te infecteren. Hij zal de nodige achterpoortjes te voorzien in het systeem waardoor de hacker opnieuw toegang kan verkrijgen indien hij zou buitengesloten worden.

De eigenlijke hack

Fase 6: Hacken

Zodra de toegang is gelukt, gaat de hacker over tot actie. Hij kan nu steeds dieper binnendringen om data buit te maken. Welke acties de hacker in dit stadium onderneemt, hangt af van zijn intenties en van het doel dat hij wilt bereiken. Zo kan de hacker beslissen waardevolle data te stelen, services te blokkeren of zelfs volledige bedrijfsnetwerken plat te leggen. Heel vaak wordt data geëncrypteerd en wordt er in dit stadium losgeld gevraagd om ze terug te krijgen. Waar het vroeger ging om enkele honderden euro’s, zien we vandaag dat er steeds vaker 1 bitcoin wordt gevraagd als startbedrag (zo’n 35.000 euro) en dit bedrag dagelijks wordt verdubbeld indien er geen snelle actie wordt ondernomen.

Strategy is key

En dat geldt niet alleen voor je IT strategie! Ook hackers beseffen dat ze gerichter moeten werken om écht schade te kunnen toebrengen. Medewerkers worden steeds beter gesensibiliseerd en systemen en beveiligingstools worden slimmer. Dus ook in het cybercrime-landschap zien we helaas een forse kennisgroei om de eindgebruikers voor te kunnen zijn met nieuwe hackingtechnieken.

…en voorkomen is beter dan genezen!

Een optimale IT-veiligheid is belangrijker dan ooit. En daarom zetten wij hard in op proactieve beveiliging, sensibilisering én monitoring van IT infrastructuren.

Is de beveiliging van jouw bedrijfsnetwerk al ondoordringbaar of is er werk aan de winkel? Ons team adviseert je graag!

Vraag je vrijblijvende videocall aan!

CEO-fraude herkennen en voorkomen? Hier moet je op letten

Door Omer / 19 januari 2022

CEO-fraude is een vorm van oplichting en identiteitsdiefstal waar zowel grote als kleinere ondernemingen mee te maken krijgen. Wat CEO-fraude juist is, hoe je het kan herkennen en hoe je je onderneming er tegen kan beschermen, leggen we je graag uit in deze blog.

Wat is CEO-fraude?

CEO fraude, ook wel Business Email Compromise (BEC)-fraude genoemd, is een vorm van oplichting en identiteitsdiefstal waarbij cybercriminelen medewerkers van een onderneming contacteren met de vraag een belangrijke betaling uit te voeren. De oplichters nemen vaak de identiteit aan van de CEO, CFO of een vertrouwde persoon binnen het bedrijf en vragen een medewerker om uitzonderlijk een dringende betaling uit te voeren. Aangezien de medewerker de vraag lijkt te krijgen van de CEO, de advocaat, of de voorzitter van de raad van bestuur of een andere vertrouwde persoon uit het bedrijf, is de kans vrij groot dat de betaling effectief wordt uitgevoerd.

Hoe werkt CEO-fraude?

Social engineering

Cybercriminelen gaan op voorhand erg secuur te werk door middel van social engineering. Zo doen ze onderzoek naar de hiërarchie binnen het bedrijf, namen, functies en contactgegevens van verantwoordelijken en andere informatie die hen kan helpen bij hun fraude. Deze informatie is vrij beschikbaar op de website van het bedrijf, alsook social mediakanalen en online in databanken zoals het KBO. Met deze informatie zijn ze in staat om een valse identiteit te creëren. Een tweede stap bestaat erin een gelijkaardige domeinnaam met bijna identieke e-mailadressen te registreren. Is de inzet hoog? Dan kunnen ze zelfs een nieuwe bedrijfswebsite en LinkedIn profiel maken om de identiteitsdiefstal nog overtuigender te maken.

De meest voorkomende social engineering tactieken zijn:

Phishing

Bij phishing proberen aanvallers via e-mail, sms of soms zelfs telefoon delicate informatie te bekomen of je te verleiden om een malafide bijlage te downloaden of op een onbetrouwbare link te klikken.

Spear Phishing

Spear Phising is een zeer gerichte vorm van phishing. De aanval richt zich namelijk op een specifieke persoon of organisatie. Deze aanvallen zijn over het algemeen erg effectief aangezien de e-mail of het berichtje op sociale media verzonden lijkt te zijn door een legitieme afzender. Meestal gaat het hier dan over identiteitsdiefstal van een collega, de werkgever of een bekende.

Pretexting

Bij deze techniek verzint de aanvaller valse omstandigheden om het slachtoffer te dwingen toegang te geven tot beschermde systemen of gevoelige informatie.

Baiting

Bij deze strategie laten aanvallers apparaten geïnfecteerd met malware, zoals usb-sticks, achter op een plek waar iemand anders deze heel waarschijnlijk zal vinden. Onze aangeboren nieuwsgierigheid zal er voor zorgen dat iemand deze USB-stick uiteindelijk aan een toestel zal koppelen en hierdoor zijn computer en misschien zelfs het volledige netwerk infecteert met malware.

Meer succes bij grote bedrijven

Zowel grote als kleinere bedrijven krijgen met dit soort fraude te maken. In grote bedrijven zoals multinationals hebben ze doorgaans meer succes aangezien de boekhouding of administratie vaak in een ander filiaal of bij een dochteronderneming gevestigd zijn. Bovendien kennen deze medewerkers de CEO of CFO niet, durven ze de vraag van een overste niet in twijfel trekken of worden ze zo erg onder druk gezet dat er geen tijd lijkt te zijn om het verzoek verder na te trekken.

We merken echter ook dat kleinere ondernemingen alsook verenigingen en stichtingen meer en meer slachtoffer worden van CEO-fraude.

Spectaculaire stijging

Een onderzoek van het Belgisch Centrum voor Cyberveiligheid toont dat de FBI tussen juni 2015 en januari 2016 een verhoging van 1300% in verliezen voor ondernemingen door dit type van fraude rapporteerde. Dit was in totaal zo’n 3 miljard dollar. CEO-fraude en social engineering zijn dus al enkele jaren aan een sterke opmars bezig. Tientallen bedrijven hebben overal ter wereld – ook in ons land – al een klacht ingediend omdat zij op deze manier zijn opgelicht. In België betaalde een bank enkele jaren geleden zo’n 70 miljoen euro aan onbekende criminelen. Ook Google en Facebook werden al slachtoffer met verliezen tot 100 miljoen dollar. Hallucinant!

Hoe kan je CEO-fraude herkennen?

Vaak zijn medewerkers gelukkig nogal kritisch ingesteld en zullen ze niet zomaar grote bedragen overschrijven. Het is echter wel handig om te weten waar je bij verdachte mails (of telefoontjes) op kan letten om CEO-fraude en identiteitsdiefstal te herkennen en succesvol te voorkomen.

We bezorgen je hieronder graag enkele waarschuwingstekens:

Je ontvangt een ongevraagde of vreemde e-mail of telefoonoproep van een e-mailadres of telefoonnummer dat je niet kent.
Je wordt gecontacteerd door de CEO, CFO of een andere hooggeplaatste persoon binnen je onderneming waar je normaal geen rechtstreeks contact mee hebt.
Er wordt gevraagd om een transactie in het uiterste geheim uit te voeren.
Je wordt gevraagd een overschrijving te doen naar een onbekend rekeningnummer.
Het verzoek dat je ontvangt is in strijd met de interne procedures binnen de onderneming.
Er is een overheersend gevoel van druk en dringendheid.
Je krijgt te maken met beloften of complimenten of zelfs met bedreigingen.
Je ontvangt het dringend verzoek op vrijdagavond of vlak voor een feestdag.
Er wordt een wijziging van de betalingsgegevens van een leverancier gemeld.

Hoe kan je CEO-fraude voorkomen?

Je weet nu al hoe je CEO-fraude en social engineering kan herkennen, super! Hiernaast geven we je ook graag een aantal tips waarmee je CEO-fraude binnen jouw onderneming kan voorkomen. Wanneer jouw bedrijf de juiste maatregelen neemt, heeft CEO-fraude namelijk weinig kans op slagen.

Maatregelen die je als bedrijf kan nemen:

Wees je bewust van de risico’s en zorgt ervoor dat je medewerkers ook op de hoogte zijn en zijn bewust zijn van het gevaar van CEO-fraude en identiteitsdiefstal.
Stel een interne procedure op voor het uitvoeren van betalingen waaraan medewerkers zich dienen te houden. Deze procedures kan je makkelijk opslaan en hanteren in bijvoorbeeld een procedurebibliotheek, zoals Teamify, die voor je medewerkers toegankelijk is.
Voorzie ook een procedure in je procedurebibliotheek om de echtheid van betalingsverzoeken via e-mail te controleren.
Zorg ook voor een meldprocedure binnen je onderneming om oplichting optimaal aan te pakken.
Verbeter de technische veiligheid van je IT-infrastructuur en website.
Herbekijk de informatie die op je website raadpleegbaar is zoals de bedrijfshiërarchie waarvoor cybercriminelen gebruik zouden kunnen maken en perk deze informatie indien nodig in.
Spoor medewerkers aan om steeds voorzichtig om te gaan met het delen van informatie via sociale mediakanalen.

Maatregelen die je als werknemer kan nemen:

Controleer steeds e-mailadressen en telefoonnummers wanneer je aan de slag gaat met gevoelige of vertrouwelijke informatie. Cybercriminelen gebruiken vaak e-mailadressen die enkele letters of tekens afwijken van het echte mailadres.
Volg steeds de interne veiligheidsprocedures voor aankopen en betalingen.
Twijfel je? Vraag dan raad aan een collega. Ook wanneer je gevraagd werd op discreet om te gaan met het verzoek. Better safe than sorry!
Open nooit verdachte bijlagen of vreemde links die je via e-mail ontvangen hebt.
Wees steeds voorzichtig met het delen van informatie op sociale media.
Deel nooit informatie over procedures, veiligheid of hiërarchie met personen die niet in je onderneming actief zijn.
Ontvang je een vreemde oproep of e-mail? Dan meld je dit aan de IT-verantwoordelijke.

Ben je toch slachtoffer van CEO-fraude of identiteitsdiefstal?

Ai! Hebben cybercriminelen toch hun slag kunnen slaan? Dan doe je best het volgende:

Waarschuw onmiddellijk de verantwoordelijke van je onderneming.
Doe aangifte van fraude. CEO-fraude is namelijk een strafbaar feit.
Neem contact op met de persoon of organisatie waarvan cybercriminelen de identiteit gebruikt hebben om fraude te plegen.
Is de betaling al uitgevoerd? Neem dan zo snel mogelijk contact op met je bank om de betaling alsnog tegen te houden.

Zo, nu weet jij alles over CEO-fraude. Maar is jouw onderneming ook optimaal beschermd tegen deze bedreiging? Onze IT-veiligheidsexperts kijken het graag voor je na!

Contacteer ons vandaag nog voor een vrijblijvend gesprek of stel je vraag via de chatfunctie op deze pagina!

Wat is reply-chain e-mailphishing?

Door Danny / 1 december 2021

In november 2021 raakte bekend dat meubelgigant IKEA te maken had met een cyberaanval die zich op de medewerkers van het bedrijf richtte. Cybercriminelen maakten gebruik van reply-chain e-mailphishing. Welke vorm van cybercrime deze “reply-chain e-mail phishing” juist is, hoe het in zijn werk gaat en hoe je jouw bedrijf er preventief tegen kan beschermen, lees je in deze blog.

Wat is reply-chain e-mailphishing?

Reply-chain e-mailphishing is een vrij nieuw type van phishing waarbij medewerkers e-mails ontvangen die als reply (oftewel als antwoord) komen op eerder verzonden e-mailberichten. Hierdoor denken medewerkers dat het mailtje echt afkomstig is van de contactpersoon waar ze eerder al contact mee hebben gehad. Het resultaat is dat ze helaas ook sneller zullen doorklikken op links in deze mailtjes omdat deze als betrouwbaar aanzien worden. En dit met alle gevolgen van dien.

Hoe werkt reply-chain e-mailphishing?

Bij dit type phishing maken cybercriminelen gebruik van gekende kwetsbaarheden in bijvoorbeeld Exchange-servers van Microsoft. Wanneer ze toegang tot de mailserver verworven hebben, gaan ze bestaande zakelijke e-mails onderscheppen en hierop antwoorden met phishingmails. Deze e-mails worden helaas minder snel als verdacht of als schadelijk herkend aangezien deze mails verzonden worden door de interne servers van het bedrijf en ook deel uitmaken van bestaande e-mailcommunicatie. In dit geval is het afzendadres dus een echt e-mailadres en geen e-mailadres dat gelinkt is aan een fake domeinnaam. Ook is het mogelijk dat reply-chainaanvallen opgezet worden na het hacken van e-mailaccounts na een datalek of een bruteforce-aanval. Dit soort aanvallen toont aan hoe slim cybercriminelen zijn geworden. Veel ‘gewone’ phishingaanvallen worden intussen tegengehouden of herkend door medewerkers dankzij sensibiliseringscampagnes. Door deze manier van aanpak wordt het voor werknemers een stuk moeilijker om te herkennen of het om fraude gaat of niet.

Wat is het doel van reply-chain e-mailphishing?

Het doel van reply-chain e-mailphishing loopt gelijk met dat van andere phishing-initiatieven: ransomware en andere malware verspreiden, kostbare data bemachtigen, rekeningen plunderen of losgeld bekomen. Hierbij wordt gebruik gemaakt van malafide tekstlinkjes, zip-bestanden met schadelijke Excel-bestanden of andere schadelijke bijlagen.

Hoe kan je reply-chain e-mailphishing herkennen?

Krijgt je bedrijf te maken met dit type van phishing? Dan is het belangrijk dat medewerkers onmiddellijk op de hoogte gebracht worden. Het kan ook interessant zijn om een voorbeeld van een ontdekte phishingmail te tonen en aan te geven waar werknemers op moeten letten.

Waar je bij ‘gewone’ phishing mailtjes al sneller kan ontdekken of het over malafide mailverkeer gaat door o.a. te kijken naar het mailadres van de afzender, het taalgebruik en eventuele spelfouten in de mail, is dit bij reply-chain e-mailphishing helaas niet het geval. Hier wordt immers gebruik gemaakt van echte mailboxen. Het is dus kwestie van te allen tijde op je hoede te zijn en bij de minste twijfel je contactpersoon even telefonisch te benaderen over het mailbericht dat je ontvangen hebt.

Heb je een vermoeden dat je in je bedrijf te maken hebt met reply-chain e-mailphishing? Dan kan je ook aan je IT-partner vragen om het vrijgeven van e-mails tijdelijk uit te schakelen om te voorkomen dat aanvallers het netwerk verder binnendringen.

Hoe kan je je kmo preventief beschermen tegen reply-chain e-mailphishing?

Laat een IT-audit of Cybersecurity Quick Scan uitvoeren

Alles begint bij een goede basis: zorg dat je een overzicht hebt over je volledige werking en IT-infrastructuur. Je bekomt een helder helicopterzicht door een Cybersecurity Quick Scan (tot 5 medewerkers) of IT-audit (op maat van 5-150 medewerkers) uit te laten voeren. Op basis van dit verslag kan je de nodige optimalisaties doorvoeren om je IT-netwerk volledig op punt te stellen.

Voorzie een IT-veiligheidsbeleid

Zorg er ook voor dat je voorbereid bent op het ergste. Krijg je te maken met reply-chain e-mailphishing of een andere vorm van cybercrime? Dan heb je best een plan B achter de hand. Schrijf een noodscenario uit, bepaal wat er moet gebeuren en wie waar verantwoordelijk voor is.

Investeer in proactieve monitoring

Inzetten op netwerkmonitoring én computermonitoring zorgt ervoor dat je verdachte acties van een cyberaanval in een vroeg stadium kan detecteren. Om de cybersecurity maturiteit van kmo’s te versterken, ontwikkelden we bij Datalink speciale care packs. We combineren in deze packs proactieve anti-virussoftware met extra tools zoals een firewall, surffilter, softwarecontrole en updatebeleid. Zo wordt er voor jou in de gaten gehouden of de belangrijkste apparatuur en diensten voorzien zijn van de laatste softwareversies en kwetsbaarheden d.m.v. beveiligingspatches werden gedicht.

Sensibiliseer je team

Door middel van cybersecurity webinars en zowel in-company als online cybersecurity awareness trainingen help je jouw team om op de hoogte te blijven, waakzaam te zijn en tijdig te handelen in verdachte situaties.

Voorzie back-ups in de cloud

Ook hier geldt: better safe than sorry. Wil je zeker zijn dat je ook na een mogelijke aanval nog steeds toegang hebt tot je kostbare data, gegevens en klantendossiers? Voorzie dan cloud back-ups. Hou hier zeker in het oog dat alles GDPR-compliant verloopt en je data niet zomaar exporteert buiten Europa.

Schakel een gespecialiseerde IT-partner in

Wil jij je vooral kunnen focussen op de werking binnen je kmo? Dan kan je er ook voor kiezen om je IT uit te besteden. Bij Datalink staan onze gecertificeerde DPO, ethical hackers en IT-heroes dagelijks klaar met IT- en cybersecurity-ondersteuning in professionele werkomgevingen.

Is jouw onderneming optimaal beschermd tegen reply-chain e-mailphishing? Onze experts kijken het graag voor je na!

Waarom zijn onderhoud en monitoring van je IT belangrijk?

Door Omer / 25 november 2021

Voorkomen is beter dan genezen. Dit geldt ook voor je IT-infrastructuur. Helaas stellen we vast dat kmo’s in plaats van proactief, net heel reactief omgaan met IT-problemen zoals een hack of een hardware defect. Dit brengt vaak verregaande gevolgen met zich mee. Erg jammer aangezien veel IT issues te vermijden zijn. Waarom je preventief onderhoud en proactieve monitoring van je IT zeker moet overwegen, vertel ik je in deze blog.

Wat is preventief IT onderhoud?

Preventief IT onderhoud houdt in dat je IT-partner op periodieke basis (bijvoorbeeld wekelijks of maandelijks) je IT gaat bijwerken. Preventief onderhoud kan o.a. het updaten en beveiligen van computers, servers en andere apparaten inhouden. Maar ook het uitvoeren van inspecties door middel van tests waaruit blijkt of de IT infrastructuur nog steeds goed presteert.

Wat is proactieve monitoring?

Proactieve monitoring van je IT omgeving houdt in dat je IT partner continu en vanop afstand een oogje in het zeil houdt over bijvoorbeeld de uptime van verbindingen en diensten, en de veiligheid van apparaten. Op die manier kunnen issues en bedreiging razendsnel opgespoord en verholpen worden vooraleer ze zelfs maar zichtbaar zijn voor je onderneming. Proactieve monitoring kan o.a. controles van je server bevatten, check-ups van de back-ups van je data en monitoring van de resultaten van je beveiligingssoftware.

Waarom zijn preventief IT onderhoud en proactieve monitoring zo belangrijk?

Minder last van storingen en pannes

Wanneer je reactief omgaat met IT-issues heeft dit vaak verregaande gevolgen. Dit kan gaan van enkele uren niet operationeel zijn na het installeren van ransomware tot technische werkloosheid die dagen tot weken kan duren. Dit kost enorm veel tijd én geld en kan zelfs leiden tot imagoschade. Wanneer je er voor kiest te investeren in proactieve monitoring en preventief onderhoud van je IT-omgeving zorg je dus automatisch voor een drastische vermindering tot zelfs een volledige eliminatie van pannes en onverwachte storingen.

Verhoogde levensduur van je hardware

Preventief IT onderhoud en proactieve monitoring sporen tijdig haperingen op van je IT-apparatuur. Onderdelen die aan vervanging toe zijn, zijn onmiddellijk zichtbaar. Zo kunnen ze vervangen worden wanneer nodig waardoor het gebruikstoestel hier niet onnodig onder lijdt.

Optimale IT veiligheid

Wanneer je een IT-partner inschakelt om je netwerk en infrastructuur up-to-date te houden en 24/7 te monitoren kan je op twee oren slapen. Bekende bedreigingen worden namelijk onmiddellijk gesignaleerd en geliquideerd vooraleer ze nog maar schade kunnen aanrichten.

Productiviteitsboost

Wanneer je IT-partner je netwerk zorgvuldig in de gaten houdt en er voor zorgt dat al je programma’s, toestellen en software up-to-date zijn, heeft dit ook een positief effect op de productiviteit. Wanneer je team ongestoord kan werken, zal je bedrijf hier zeker de vruchten van plukken.

Kostenbesparend

Wanneer je preventief onderhoud en proactieve monitoring voorziet, zorg je ervoor dat je bedreigingen en storingen vaak voor bent. Onverwachte en dringende reparaties of interventies kosten namelijk heel wat tijd en geld. Denk maar aan de onderdelen, nieuwe hardware en de werkuren van de specialisten die je inschakelt. Denk ook eens aan alle werkuren die je je medewerkers zou moeten betalen waarin ze door een onverwachte panne of defect eigenlijk helemaal niet kunnen werken. Dit bedrag loopt helaas snel op. Het voorzien van monitoring en onderhoud is dus zeker een investering die zich snel terugverdient.

Wil jij proactieve monitoring en preventief onderhoud voorzien voor jouw kmo?

Stuur een e-mail en we maken graag een voorstel op maat. Of ga eens kijken naar onze handige Care Packs!

IT kosten verlagen? 8 manieren om je IT budget te optimaliseren

Door Danny / 15 november 2021

Elke ondernemer is het erover eens: een bedrijf succesvol runnen kost geld. Een aanzienlijk gedeelte van dit budget wordt meestal besteed aan de IT-infrastructuur in de onderneming. Logisch aangezien digitalisering en digitale tools essentieel zijn voor de goede werking van het bedrijf.

Wanneer er kostenbesparingen doorgevoerd moeten worden, nemen veel ondernemers helaas minder logische beslissingen en kiezen ze vaak voor ondoordachte, snelle maatregelen die op korte termijn inderdaad de nodige kosten uitsparen. Denk bijvoorbeeld aan het niet doorvoeren van belangrijke updates en upgrades, het niet vervangen van verouderde toestellen en apparaten of het niet langer uitbesteden van IT-diensten aan een externe partner. Deze kostenbesparende ‘oplossingen’ hebben vaak heel wat negatieve gevolgen zoals een daling van de productiviteit en een serieuze stijging van veiligheidsrisico’s. IT kosten verlagen in je kmo zonder de efficiëntie van je onderneming in gedrang te brengen? Dat kan! Hoe je dit doet, vertel ik je in deze blog.

8 manieren om IT kosten te optimaliseren in je kmo

Maak een helicopterzicht van je infrastructuur

Wil je een duidelijk beeld krijgen van je IT infrastructuur om na te gaan welke diensten of apparaten nodig of juist overbodig zijn? Dan laat je best een Quick Scan (tot 5 medewerkers) of IT Audit (van 5 – 150 medewerkers) uitvoeren. Je ontdekt op basis van dit gespecialiseerde nazicht de sterktes en zwaktes van je netwerk alsook welke opportuniteiten er onbenut zijn en welke bedreigingen er op de loer liggen. Op basis van het auditverslag kan je bepalen welke digitaliseringsstappen best prioriteit krijgen en vooral ook welke overbodige apparaten en diensten geschrapt kunnen worden.

Elimineer overcapaciteit

Niet alleen op vlak van hardware of apparatuur merken we dat bedrijven vaak meer in dienst hebben dan nodig. Ook wordt er al eens voor veel meer data-opslag betaald dan werkelijk nodig is. Bekijk dus van alle softwaretools die je in gebruik hebt, of er geen overcapaciteit is.

Zet in op automatisering

Voeren je medewerkers uren aan een stuk repetitieve manuele taken uit? Dan heeft dit hoogstwaarschijnlijk een impact op hun productiviteit. Maak daarom gebruik van softwaretools, scripts en routines om de minder leuke maar noodzakelijke taken te automatiseren. Je kan er ook voor kiezen een webapplicatie op maat te laten ontwikkelen. Het resultaat? Een investering in een tool de zich binnen de kortste keren vanzelf terugbetaalt.

Optimaliseer je licentiebeheer

We merken dat bedrijven vaak verkeerde licenties of meer licenties dan nodig aanschaffen. Gebruikers beschikken zo over toegekende rechten tot software of applicaties waar ze eigenlijk al enige tijd geen gebruik meer van maken. Hieraan gaat dan een groot budget verloren. Het is dan ook verstandig om een inventarisatie te maken van aangeschafte licenties en deze te vergelijken met de daadwerkelijk geïnstalleerde en gebruikte licenties. Zo kunnen gebruikersrechten actief opgeschoond worden en komen er licenties vrij.

Migreer naar de cloud

Nog een efficiënte manier om IT kosten te verminderen is om je werkprocessen te migreren naar de cloud. Online werkplekken kan je eenvoudig toekennen, uit dienst stellen, opschalen of inkrimpen in capaciteit. Bovendien kan je ook gebruik maken van SaaS waarbij je software online aangeboden wordt. De cloud is ook de ideale oplossing om te besparen op dure werktoestellen. Door je medewerkers van een werkplek in de cloud te voorzien, werken ze waar én wanneer ze maar willen en dit op eender welk toestel aangezien je de kracht van de cloudserver zal gebruiken. Wist je dat we bij Datalink zelfs een GPU-gedreven coudoplossing ontwikkeld hebben die het mogelijk maakt om met programma’s zoals Revit, Autocad, Sketchup, en Tekla in de cloud te werken?

Voorzie proactieve monitoring

In een IT-infrastructuur schuilen vaak ook kosten die niet aan het oppervlak zichtbaar zijn. Zo loop je bijvoorbeeld enorm veel risico op cyberaanvallen en langdurige pannes wanneer je niet systematisch inzet op het up-to-date houden van je toestellen. Wil je dus optimaal je (reactieve) IT kosten verlagen? Zoals bijvoorbeeld de zware financiële gevolgen van een hack? Dan voorzie je best proactieve monitoring voor je IT-apparaten.

Voorzie preventief onderhoud

Onderhoud van IT-omgevingen wordt vaak pas uitgevoerd wanneer er een zich een storing of defect voordoet. Dit is echter niet efficiënt voor je IT budget: je verliest namelijk heel wat tijd, je medewerkers zijn een pak minder productief of kunnen zelfs helemaal niet meer werken wanneer er plots een waslijst aan achterstallige updates moet uitgevoerd worden. Bovendien is een reactief onderhoud vaak duurder doordat updates tussentijds getest worden en er bij grote achterstallen incompatibiliteit kan optreden. Een preventief onderhoud van je IT is dus slechts een kleine investering per maand waarmee je plotse grote IT kosten kan besparen.

Sluit een onderhoudscontract of met je partner

Heb je zelf geen ervaren IT-medewerker in huis en heb je geen budget om gespecialiseerde IT’ers aan te werven? Dan ben je niet alleen! Je kan perfect met een professionele, externe IT partner samenwerken. Er zijn heel wat mogelijkheden. Denk aan een ondersteuningscontract voor alle IT-gerelateerde vragen van je medewerkers. Of een on site IT manager of IT expert die een vaste dag van de week ter plaatse komt. Zo geniet je voor een vaste, transparante fee per maand van kwalitatieve (én up-to-date) IT ondersteuning.

Wil jij graag je IT kosten verlagen door te optimaliseren? Of heb je nood aan een meedenkende IT partner voor je kmo?

Stem eens af met ons IT heroes, we helpen je graag verder!

UX design voor gebruiksvriendelijke kmo websites

UX design en gebruikerservaring in kmo websites: 4 voordelen

Door Jelle / 27 oktober 2021

UX of “User experience” is hot en met goede reden. De gebruikerservaring is namelijk allesbepalend voor het succes van je webapplicatie of website. Wat UX precies inhoudt en wat het belang van een goede gebruikerservaring is, lees je in deze blog.

Wat is UX design?

User experience design, ook wel UX design genoemd, is een specialisatie binnen webontwikkeling die deel uitmaakt van het vooronderzoek tot en met de laatste ontwerpfase van een project. Bij UX gaat het er om een ontwerp te maken met een optimale gebruikerservaring. Dit gaat verder dan het visuele ontwerp van een website of webapplicatie. Een UX’er houdt zich niet enkel bezig met ontwerpen maar ook met meer abstracte gegevens om ervoor te zorgen dat de algemene ervaring van de eindgebruiker zo aangenaam en vlot mogelijk verloopt.

Wat is het verschil tussen UX en UI?

Naast user experience design (UX) bestaat er ook nog user interface design (UI). Hoewel ze erg op elkaar lijken, verschillen ze wel degelijk. Waar UX zich vooral richt op de gebruikerservaring en het realiseren van een optimale gebruiksvriendelijkheid, richt UI zich vooral op de gebruikersomgeving van een website of webapplicatie. Ook richt UX zich op de totale gebruikservaring terwijl bij UI de focus specifiek ligt op de interface. Het visuele dus. Een goede interface is het online visitekaartje dat de gebruiker prikkelt, door de website begeleidt en tot actie aanzet.

Een degelijk UI design

Een goede UI draagt natuurlijk ook bij aan de gebruikerservaring van je gebruikers. Een simpel voorbeeld van een goede interface is een kalme pagina die minimalisme uitstraalt, gebruik maakt van heel lichte kleuren en één felgekleurde call-to-action knop. Zo’n webpagina is makkelijk te begrijpen, en de gebruiker weet heel intuïtief wat de volgende stap is aangezien zijn aandacht door de opvallende knop getrokken zal worden.

Gebruikservaring op maat

Je hebt waarschijnlijk al vaak gehoord van “best practices” in webdesign. Terwijl sommige van deze best practices een goed startpunt zijn, moet je altijd weten dat er geen allesomvattende oplossing of trend is die voor elk project ingezet kan worden. Eerst en vooral is het belangrijk om te weten wat belangrijk is voor jouw bedrijf alsook wat jouw gewenste doelpubliek nodig heeft en wat hen zal aantrekken. Het is belangrijk om te weten waarom je iets toepast: Waarom geef je een knopje een bepaalde kleur? Waarom voeg je extra tekst toe? Welk doel wil je bereiken?

Een goed voorbeeld is een contactformulier. We vertrekken vaak vanuit het idee dat een contactformulier best zo beknopt mogelijk is zodat je potentiële klant niet overweldigd wordt nog voor deze begint met het invullen ervan. Maar wat als je B2B-klanten wilt aantrekken die net heel goed weten wat ze nodig hebben en liever zoveel mogelijk informatie onmiddellijk via je contactformulier overbrengen om een telefoontje uit te sparen?

Vertrek vanuit de noden van je gebruikers

Wil je een optimale user experience in je website of webapplicatie voorzien die echt zijn werk doet? Dan kan het nuttig zijn om input te verzamelen van je doelgroep. Is je website volgens je doelgroep te ingewikkeld of onoverzichtelijk? Of vindt je doelgroep jouw website misschien zelfs frustrerend om in te werken? Dan kan een mogelijke oplossing zijn om de inhoud te herbekijken. Misschien mis je structuur, of is de inhoud net teveel onderverdeeld in kleine stukjes? Bekijk zeker ook je sitemap en bijhorende navigatiemenu(‘s). Daar moet de gebruiker al snel zijn weg vinden.

Voordelen van goed UX design

Een optimaal UX design brengt verschillende voordelen met zich mee, zowel voor de surfer als voor jezelf.

UX design zorgt voor een hogere klanttevredenheid

Wanneer je website of webapplicatie makkelijk te navigeren is en de surfer optimaal gidst van homepagina tot contactname of aankoop, heeft dit een positief effect op de klanttevredenheid. We leven in een wereld waar alles snel moet gaan en onmiddellijk beschikbaar moet zijn. Een website waar de surfer niet moet zoeken naar informatie maar heel snel vindt waar hij naar op zoek is, is dan ook het ideaalbeeld.

UX design leidt tot verhoogde conversies en omzet

Ondernemers denken vaak dat een opfrissing van hun website of applicatie en een optimalisering van de gebruikerservaring weinig impact zullen hebben. Think again! Wanneer gebruikers gemakkelijk kunnen navigeren, gaan ze ook sneller overgaan tot actie. Dit zorgt voor meer conversies en omzet. Een niet te onderschatten voordeel dus 😉

UX design verbetert de organische vindbaarheid van je website

Zoekmachines worden steeds slimmer. Naast SEO-vriendelijke content op je website zijn elementen zoals de laadsnelheid en de user experience ook van belang voor haar ranking in de zoekmachines. Hiernaast hecht Google ook veel waarde aan mobielvriendelijkheid. Wil je dus optimaal opgepikt worden door de zoekmachines? Think mobile first waar nodig en maak het de surfer zo makkelijk mogelijk.

UX design zorgt voor kostenbesparing

Wanneer gebruikers zelfstandig hun weg vinden, zullen ze minder snel (meermaals) contact opnemen met jou of je customer support dienst met vragen, twijfels en onduidelijkheden. Hierdoor dien je minder medewerkers in te schakelen voor het behandelen van deze vragen en zal je operationele efficiëntie de hoogte in gaan. Bijkomend kan je kosten besparen indien je vanaf de start van je project de nodige aandacht besteedt aan UX en UI. Het is een pak effectiever om een fout te voorkomen in plaats van deze later op te lossen. Schakel aan het beginstadium van de ontwikkeling van je website of webapplicatie dus zeker een UX designer in om hier op lange termijn rendement van te genieten.

UX in jouw bedrijfswebsite?

Zoals je ziet, is UX design onmisbaar voor een moderne, aantrekkelijke website of webapplicatie. En dat weten wij ook bij Datalink. Daarom vormt UX een belangrijke focus bij onze projecten.

Wil ook jij genieten van de vele voordelen van een optimale gebruikerservaring op jouw bedrijfswebsite of webapplicatie? Of heb je nog vragen over UX of UI? Ik sta klaar om je verder te helpen!

kostprijs webapplicatie laten bouwen op maat

Wat is de kostprijs van een webapplicatie op maat?

Door Wouter / 6 september 2021

Wil je efficiënter gaan werken of operationele uitdagingen digitaal oplossen?
Wil je een klantenplatform, cursusplatform of intranet voorzien?
Of heb je een geniaal idee waarvoor een webapp op maat wilt laten bouwen?

Dan is de eerste vraag die je je stelt: Wat is de kostprijs van een webapplicatie op maat? Dat is een terechte vraag. En daarbij eentje waar geen standaard antwoord voor is.

De kostprijs van het ontwikkelen van een webapplicatie op maat is afhankelijk van een aantal factoren zoals de vorm van de applicatie, de gevraagde features, de app-gebruiker, de bouwers van de app en het onderhoud. We vertellen je er graag alles over in deze blog.

De vorm van je webapplicatie

De vorm van je app is als het ware het fundament waarom de rest van je platform gebouwd zal worden. Het is dus belangrijk dat je heel goed nadenkt over wat je nodig hebt.

Moet je app draaien op Android of iOs?
Wil je een webapp, native app of hybrid app laten ontwikkelen?
Wil je de applicatie kunnen gebruiken op PC, tablet of smartphone?
Moet de webapp gekoppeld worden aan een databank of aan interne software?
Heb je een CMS nodig?
…

De features van je webapplicatie

Ook de mogelijkheden of ‘snufjes’ die je in je app wilt integreren drukken hun stempel op de kostprijs. Denk vooraf best al even na van welke features je gebruik wilt maken.

Locatievoorziening via GPS
Optimale beveiliging door encryptie van gevoelige data
Push notificaties buiten de app
Makkelijke communicatie door middel van een chatfunctie
Logins voor klanten of medewerkers
E-commerce mogelijkheden om aankoopmogelijkheden via de app te voorzien
…

De gebruiker van je webapplicatie

De werking van de webapplicatie van je kmo is natuurlijk afhankelijk van de uiteindelijke gebruikers. Deze mag je dus zeker niet uit het oog verliezen. Bepaal dus op voorhand wie je gewenste doelpubliek is en hoe ze met de app aan het werk zullen gaan.

Is je webapplicatie bedoeld voor gebruik binnen je eigen organisatie of is de app gericht op het grote publiek?
Is het de bedoeling dat gebruikers producten bij je gaan aankopen?
Moet de gebruiker kunnen scrollen, klikken of swipen?
Hoe simpel of uitgebreid moet de applicatie worden?
…

Het onderhoud en de doorontwikkeling van je webapplicatie

Zodra je webapp gelanceerd is, is hij volledig klaar, toch? Niets is minder waar. En dat vergeten klanten nogal eens. Zodra je maatwerk applicatie in gebruik is, dient deze op regelmatige tijdstippen onderhouden te worden om de vlotte werking, veiligheid en gebruiksvriendelijkheid ervan te waarborgen.

Bovendien is dit ook goed nieuws voor jouw portemonnee. Zo kan je de kosten voor de ontwikkeling van je webapplicatie spreiden over verschillende sprintjes waar de webontwikkelaar nadien verder op kan bouwen in een volgende fase. Zo bepaal je zelf wat op dat moment in de ontwikkeling haalbaar is.

Het team achter je webapplicatie

Last but not least: ook het team experten dat je webapplicatie maakt, bepaalt mede de prijs.
Niet enkel de webontwikkelaar houdt zich namelijk bezig met het bouwen van je webapplicatie op maat. Ook de app designer, app copywriter en app projectmanager zetten hun schouders onder je project.

De besparing dankzij een webapplicatie op maat

Zo, nu weet je waar de kostprijs van een webapplicatie op maat afhankelijk van is, weet je waar je goed over moet nadenken vooraleer je een webbouwer inschakelt.
Heb jij er ook al eens bij stil gestaan hoeveel je met behulp van je webapplicatie gaat kunnen besparen? Denk bijvoorbeeld aan verspillingen in tijd en kosten en werk dat nu vaak dubbel uitgevoerd wordt.
Door je werking te digitaliseren, vallen deze kosten weg waardoor je zodra je applicatie in gebruikt neemt. Je investering is dus snel terugverdiend 😉

De exacte kostprijs van je webapplicatie op maat?

Die berekenen we graag voor je na een grondige kennismaking en analyse van jouw wensen en noden. Klinkt dit interessant?

Contacteer ons vandaag voor een vrijblijvende prijsofferte.

Wat is een API en wanneer is een API koppeling nuttig?

Door Wouter / 3 september 2021

We willen dat onze businesprocessen vlot en gestroomlijnd verlopen, en dat de informatie die we gebruiken en uitwisselen steeds up-to-date is. Om dit te realiseren rekenen we op onze ondersteunende digitale tools. Maar voor je ’t weet heb je een grote hoeveelheid aan softwaretools parallel in gebruik. Gelukkig bestaan er API’s!

Wat is een API?

Wikipedia definieert een API als volgt: “Een application programming interface (API) is een verzameling definities op basis waarvan een computerprogramma kan communiceren met een ander programma of onderdeel.”

Eenvoudig gesteld wil dit zeggen dat een API het mogelijk maakt om te communiceren en informatie uit te wisselen van de ene softwaretool naar de andere.

Wanneer is een API koppeling nuttig?

Investeer je in software? Dan is het slim om meteen te checken of deze tool een API beschikbaar heeft. In dat geval weet je immers dat het mogelijk is om andere software eraan te linken, of zelf een uitbreiding te laten ontwikkelen op maat. In dit laatste geval hoeft je softwarepartner geen volledig nieuw systeem te bouwen. Met behulp van een API-koppeling laat je enkel de gewenste extra functionaliteiten programmeren.

Denk bijvoorbeeld aan:

Airbnb die gebruikt maakt van de API van Google maps voor de geolocaties van hun verblijven te bepalen;
Exact Online die een link heeft met Graydon waardoor nieuwe klanten kunnen toevoegd worden aan de hand van een btw-nummer;
Of de weersvoorspelling die toegankelijk is op je smartphone.

Hier worden steeds API’s gebruikt om externe data op te halen, en dit zonder dat je er als eindgebruiker iets van merkt. Want waarom moeilijk doen en op verschillende plaatsen opzoekwerk doen wanneer het ook makkelijk kan? 😉

Ook in het bedrijfsleven zien we dat API’s steeds meer aangewend worden. Stel dat je bijvoorbeeld werkt met een CRM-pakket waarin de e-mailadressen terecht komen van prospecten. Wens je hen aan te schrijven via een mailing? Dan kan je e-mailmarketingsoftware koppelen aan je CRM-pakket zodat je e-maillijst automatisch up-to-date is. Of werk je met een facturatiepakket maar gebeurt het debiteurenbeheer nog manueel? Dan kan je een softwaretool laten ontwikkelen die deze extra functionaliteit voor je invult. In beide gevallen kan je dus door middel van een API-koppeling gegevens automatisch van de ene tool inladen in de andere.

Gebruik van API’s in de praktijk

Bij Datalink is het onze missie om van digitale tools groeiversnellers te maken. Daarom gaan we continu op zoek naar manieren om operationele processen voor onze klanten te vereenvoudigen. Zo ontwikkelden we een online platform met ledenportaal voor VCOV. Hierin worden gegevens opgehaald uit Microsoft Dynamics, het CRM-systeem van de organisatie, om vervolgens toegang te geven tot afgeschermde ledenrubrieken op de website.

Ook gingen we aan de slag met een calculatietool voor bouwbedrijf Lenaers. Voor dit bedrijf bouwden we een webapplicatie waarbij klanten via een geavanceerd formulier offertes kunnen genereren en daarnaast ook automatisch stuklijsten voortrollen. Dankzij een koppeling met CRM-systeem AFAS kan ook dit bedrijf werken met één centrale tool.

API’s, ook populair bij overheidsdiensten

Werken met API’s wint aan populariteit, en niet alleen binnen de kmo-markt. Overheidsdiensten en agentschappen hebben jarenlang hun eigen ‘data-eilandjes’ samengesteld. Informatie Vlaanderen, het digitaliseringsagentschap van de Vlaamse overheid, stimuleert nu het delen van overheidsinformatie door te werken met API’s.

Zo wordt hinder- en kaartinformatie momenteel al bezorgd aan partijen zoals Waze en Google Maps. En zo biedt Social Security reeds de mogelijkheid om medewerkersinformatie via een API aan hen door te sturen.

API security

API’s doen deuren opengaan voor developers die kmo’s en organisaties helpen om te digitaliseren. Wel is een kritisch oog voor cybersecurity cruciaal. Websites en online softwareplatformen worden immers dagelijks gehackt. En de GDPR stelt dat je als organisatie zelf verantwoordelijk blijft over het goede beheer van de data. Kies dus voor een samenwerking met een verwerker of softwarepartner die kennis van zaken heeft op het gebied van gegevensbeveiliging.

Zo is het belangrijk dat de bouwer van de webapplicatie gebruikt maakt van meerdere beveiligingslagen (multi factor authentication) zodat de informatie in de databank niet zomaar geraadpleegd kan worden. Daarnaast is het ook belangrijk dat de communicatie tussen de website of webapplicatie en een derde software altijd via een veilige https-verbinding gebeurt. Bovendien dienen kritieke gegevens geëncrypteerd te worden opgeslagen in de softwaredatabank. Bij Datalink maken we gebruik van een zeer gedetailleerde webapp security checklist om ervoor te zorgen dat we alles in het werk hebben gesteld om een cyberveilige gebruikservaring te creëren. Daarin zit bijvoorbeeld de OWASP Top 10 opgenomen.

Wil je twee softwaretools aan elkaar te linken door middel van een API? Of wil je bestaande software binnen de organisatie uitbreiden met extra functionaliteiten? Of misschien wil je wel een API laten ontwikkelen voor je eigen online platform? Geef mij een seintje en samen met onze web ninja’s bekijk ik hoe we ook jouw bedrijfsprocessen kunnen stroomlijnen!

Cloud server voor kmo’s: 8 voordelen

Door Danny / 4 augustus 2021

De dagen dat we uitsluitend op kantoor werkten zijn voorbij. Ondertussen zijn werken op verplaatsing en telewerken zelfs het nieuwe normaal geworden. En time is money! Altijd en overal efficiënt kunnen verder werken én op de digitale continuïteit van je bedrijf kunnen rekenen, vinden we vanzelfsprekend. Gelukkig is er cloud computing! Deze technologie kan ons hierin enorm ondersteunen. Steeds meer kmo’s stappen over naar cloud servers in de plaats van lokale serverparken. Wat een cloud server juist is en wat de voordelen van cloud servers voor kmo’s zijn, vertel ik je in deze blog.

Wat is een cloud server?

Een cloud server is een virtuele server die bereikbaar is via het internet. Doordat je gaat werken in de cloud , heb je via alle werktoestellen die hiervoor geconfigureerd zijn steeds toegang tot je data en je software. Denk bijvoorbeeld aan je bureaublad, de favorieten in je browser, je bestanden en programma’s. Werken met een server in de cloud betekent ook dat er geen fysieke server meer in je bedrijf aanwezig is maar dat je gaat werken op hardware (zoals een fysieke server) en software (zoals Revit, Archicad en dergelijke) in een beveiligd datacenter.

Wist je trouwens dat de gemiddelde levensduur van een server 3,5 tot 5 jaar is? Deze levensduur is o.a. afhankelijk van het aantal draaiuren van de harde schijven, het aantal gebruikers, en de geïnstalleerde applicaties. De meeste bedrijven schrikken hiervan en gaan ervan uit dat ze hun fysieke server veel langer kunnen gebruiken. Vaak blijven servers van die leeftijd ook gewoon in gebruik met storingen, dataverlies en hardwarepannes als gevolg. Door te kiezen voor een cloud server, kan je dit vermijden en zet je in op de continuïteit van je bedrijf.

Cloud server huren of kopen?

Het interessante aan werken met een cloud server is het feit dat je zo’n cloud server kan huren. Doordat je zelf geen grote investeringen moet doen in server-apparatuur en andere hardware of software, komt dit voor veel ondernemingen erg voordelig uit. Bovendien betaal je zo ook enkel voor wat je gebruikt en dit door middel van een jaarlijkse of maandelijkse fee.

Het onderhoud en de updates van de servers en overige hardware zijn meestal inbegrepen in de fee. Het enige waar je bijkomend rekening mee moet houden zijn een eventuele eenmalige setupfee, de aankoop van je eigen softwarelicenties en de configuratie van je werktoestellen.

Wat zijn de voordelen van cloud servers voor kmo’s?

Naast het feit dat je een cloud server kan huren, heeft deze manier van werken nog heel wat andere voordelen.

Cloud servers zijn kostenbesparend op vlak van hardware en software

Zoals ik eerder al heb aangehaald ligt de gemiddelde levensduur van een server tussen de 3,5 en 5 jaar. Vaak is het na deze periode interessanter om in nieuwe technologie te investeren. Door te kiezen voor een server in de cloud, vallen dure investering in lokale hardware en software volledig weg. Bijkomend zijn investeringen in back-uphardware ook verleden tijd aangezien back-ups ook in de cloud zullen plaatsvinden. Is er toch serverhardware defect? Dan wordt deze in het datacenter vervangen. Meestal zonder bijkomende kosten voor jou als eindgebruiker.

Cloud servers zijn kostenbesparend op vlak van personeelskosten

Ook op vlak van personeelskosten is werken met een cloud server kostenbesparend. Zo is het niet nodig om experts in regie aan het werk te zetten voor uitbreidingen of updates van je server. Een extern team zorgt namelijk van op afstand voor het onderhoud, de upgrades en updates van je server. In principe had je hier aparte servicecontracten voor lopen met een externe IT partner, of een interne medewerker voor aangeworven indien je werkte met een lokale server.

Cloud servers zijn plaatsbesparend

Aangezien je niet langer hoeft te investeren in server*apparatuur, bespaar je ruimte in je bedrijfspand waar je iets anders mee kan doen. Denk aan een leuke vergaderplek of een ontspannend koffiehoekje voor je werknemers?

Cloud servers zijn schaalbaar

Is jouw kmo er eentje die nog volop aan het groeien is? Of werk je met freelancers of tijdelijke medewerkers en wisselt het aantal gebruikers regelmatig? Dat is heel gebruikelijk in kmo’s! Met een cloud server is dit geen probleem. De tool is flexibel en groeit met je bedrijf mee. Zo betaal je enkel voor de capaciteit die je écht nodig hebt.

Cloud servers zijn niet afhankelijk van toestel of locatie

Is telewerken de norm binnen jouw kmo? Ben je vaak in het buitenland of verplaats je je van de ene vergadering naar de andere? Dan is een cloud server je beste vriend. Wanneer alle werktoestellen geconfigureerd zijn, krijg je vanop alle locaties toegang tot je virtuele werkplek. Je hoeft je enkel in te loggen en je vertrouwde werkomgeving staat voor je klaar. Bovendien is het ook mogelijk om rechten én toegang te beperken waar en wanneer gewenst.

Cloud servers beschermen je kmo tegen overmacht

Is je desktop computer stuk of werd je laptop gestolen? Vroeger was dit een absolute ramp. Dankzij een cloud server wordt de schade beperkt tot enkel de kost van het fysieke toestel. Je kan je namelijk op je nieuwe toestel in 1-2-3 inloggen met je gekende wachtwoord en je bent weer vertrokken. Werken in de cloud is bovendien ook erg handig in geval van andere overmachtssituaties zoals brand, onvoorziene werken op kantoor en internetpannes.

Cloud servers zijn optimaal beveiligd

In tegenstelling tot een fysieke server waar je afzonderlijk nog moet voorzien in beveiligingsmaatregelen en monitoring, zijn deze diensten bij een cloud server meestal inbegrepen. Hiernaast zijn de datacenters ook sterk beveiligd en wordt er bij professionele partijen een redundancy back-up voorzien. Simpel gezegd betekent dit dat meerdere datacenters elkaars systemen in geval van storing kunnen opvangen zodat jij gewoon kan verder werken.

Cloud servers en GDPR

Ligt het serverpark van je cloud leverancier binnen de Benelux? En wordt er voorzien in actuele beveiligingstechnologie en strenge configuraties? Dan helpt een cloud server je om te voldoen aan de GDPR-wetgeving. Gezien de strenge wetgeving en de monsterboetes van de GBA, geen onbelangrijk element. Bij Datalink werken we enkel samen met tier 4 en ISO gecertificeerde datacenters binnen de Benelux. Cybersecurity staat steeds voorop!

Overweeg jij om met je kmo over te stappen naar de cloud?

Contacteer ons team, we bezorgen je graag een voorstel op maat!

Wat is een thin client?

Door Danny / 28 juli 2021

Meer en meer bedrijven digitaliseren hun werking en maken de overstap naar de cloud. Een van de grote voordelen hiervan is dat je geen krachtige computertoestellen meer nodig hebt om toch vlot te kunnen werken. Je doet immers beroep op de infrastructuur binnen de serverparken. Het ideale apparaat om te werken in de cloud? Dat is een thin client. Wat dit juist is en welke voordelen zo’n toestel heeft, lees je verder in deze blog.

Wat is een thin client?

Een thin client is een kleine computer met beperkte specificaties die verbonden wordt met een netwerk of server. Het verschil met een klassieke desktop computer (ook wel fat client of thick client genoemd), is dat een computer alle hardware én software bevat om er lokaal op te kunnen werken. Zodra de Windows of Linux installatie voltooid is, kan je met het toestel aan de slag. Bij een thin client is dat anders. Zo’n toestel beschikt zelf niet over geheugen, opslagruimte en de nodige computerkracht die nodig is om gegevens op te slaan, applicaties te openen of bestanden te downloaden. Een thin client functioneert in feite als een “lege” desktop die gebruik maakt van de kracht en het vermogen van de server waarmee hij verbonden is. Met een thin client gebeurt al je werk dus op het servernetwerk zelf.

Wat zijn de voordelen van een thin client?

Lagere hardwarekosten

Wil je graag overstappen naar een digitale werking in de cloud en heb je nood aan een nieuw werktoestel? Dan kan je kiezen voor een thin client. Aangezien dit toestel enkel inlogt op de server en de rekenkracht van het serverpark gaat gebruiken om je dagelijkse taken uit te voeren, is het niet langer nodig om te investeren in een dure desktop of zware laptop.

Lagere beheerskosten

Hiernaast kan je ook tot 40% besparen op beheer en onderhoud wanneer je het computerpark van je onderneming vervangt met thin clients. Thin clients zijn bijvoorbeeld vrijwel volledig op de server te beheren. Door de eenvoud van de hardware is er minder kans op defecten.

Lager energieverbruik

Gespecialiseerde thin clients hebben een veel lager energieverbruik dan normale pc’s. Je bespaart niet alleen in energiekosten maar kan in sommige gevallen zelfs de aanschaf of uitbreiding van airconditioning systemen voorkomen.

Thin clients zijn beter te beveiligen

Aangezien je een thin client enkel gebruikt om te verbinden met de server, zorg je er zo voor dat de gebruikersomgeving beter afgeschermd wordt en dat er geen fysieke data op het toestel opgeslagen wordt. Dit zorgt ervoor dat je optimaal beschermd bent tegen malware zoals ransomware en virussen. Bovendien kan de beveiliging centraal op serverniveau geregeld worden.

Thin clients zijn minder diefstalgevoelig

Krijg je te maken met diefstal in je bedrijf? Dan blijft je kostbare data steeds veilig opgeslagen in de cloud. Thin clients zijn buiten hun serveromgeving waardeloos en criminelen zullen langs deze weg dan ook absoluut geen toegang kunnen verkrijgen tot vertrouwelijke informatie of bestanden.

Thin clients zijn handig in overmachtsituaties

Doordat je gebruik maakt van een desktop in de cloud, kan je bij een defect of overmachtsituatie zoals diefstal of brand gewoon vanaf een andere thin client onmiddellijk weer verder werken. Ook bij thuiswerk zijn thin clients een interessante optie.

Thin clients zijn ideaal voor een clean desk werkwijze

Aangezien thin clients erg klein zijn en weinig plaats innemen, zijn het de ideale toestellen voor bedrijven die een clean desk of clean desktop werkwijze nastreven. Ook voor bedrijven met een beperkte fysieke werkruimte zijn deze toestellen een goede keuze.

Thin clients zorgen voor optimale toegankelijkheid

Aangezien elke thin client toegang verschaft tot dezelfde gecentraliseerde informatie op de server, zorgt dit ervoor dat werknemers niet langer gebonden zijn aan één bepaald toestel of aan een vaste werkplek. Het wordt zo namelijk mogelijk om vanaf een willekeurige thin client in te loggen en te werken. Ideaal voor flexibele werkplekken, eventueel op verschillende vestigingen.

Thin clients zijn minder belastend voor het netwerk bij administratieve taken

Doordat alle werkprocessen op serverniveau worden uitgevoerd, zal een een thin client het netwerk minimaal belasten. Enkel de muisbewegingen, toetsaanslagen en beeldscherminformatie worden van en naar de eindgebruiker verstuurd. Met de juiste en efficiëntere netwerkprotocollen is deze werkwijze al mogelijk bij een bandbreedte van 5Kbps.

Thin clients zorgen voor minder geluidsoverlast

Thin clients produceren bijna geen geluid. Het is de ideale manier van werken indien je rust en stilte nodig hebt. Deze toestellen zijn dan ook erg gegeerd in bijvoorbeeld scholen en bibliotheken.

Wil jij werken in de cloud en wil je overschakelen naar het gebruik van thin clients in jouw organisatie? Of wil je meer weten over deze hardware? Geef dan een seintje via ons contactformulier. We adviseren je graag!

Cybersecurity in de apotheek? Datalink en KLAV slaan de handen in elkaar

Door Karen / 14 juli 2021

Organisaties en bedrijven krijgen meer en meer te maken met cybercrime zoals hacking, phishing, ransomware en CEO fraude. Het Centrum voor Cybersecurity België kreeg in 2020 meer dan 3 miljoen meldingen van verdachte berichten. Dit is bijna een verdubbeling tegenover 2019. Het is dan ook belangrijker dan ooit om zelfs als kmo een goede beveiliging van het bedrijfsnetwerk te voorzien. En dit geldt in het bijzonder voor zorgverleners, medische praktijken en apothekers. Hoe je het niveau van cybersecurity van je apotheek kan laten checken, lees je in deze blog.

Waarom is cybersecurity voor apotheken belangrijk?

Investeren in cybersecurity is belangrijk voor iedere onderneming en organisatie. Aangezien hulpverleners zoals tandartsen, dokters én apothekers dagelijks in contact komen met gevoelige persoonlijke informatie van patiënten en dokters, zou een uitgekiende cyberveiligheid bij hen hoog op de agenda moeten staan. Ook is het van groot belang dat de werking binnen de apotheek of praktijk GDPR-compliant verloopt om datalekken én monsterboetes van de GBA te voorkomen.

• Wordt er gewerkt met een professionele mailbox?
• Is het gastennetwerk optimaal beveiligd?
• Is gevoelige data voldoende afgeschermd voor onbevoegden?
• Zijn er betrouwbare back-up routines?

Apothekers staan hier echter niet altijd bij stil en realiseren zich vaak niet dit verregaande gevolgen kan hebben.

Hoe het niveau van cybersecurity bij apothekers nakijken?

Omdat we bij Datalink graag proactief en ontlastend te werk gaan, vonden we het een schitterend plan om voor deze specifieke doelgroep een cybersecurity check-up in het leven te roepen om zo proactief bedreigingen en opportuniteiten te signaleren. Want net zoals in de zorg is wat betreft cyberveiligheid ‘voorkomen nog altijd beter dan genezen’.

De vraag naar onze GDPR en Cybersecurity Quick Scan voor Apothekers, kwam initieel van het Koninklijk Limburgs Apothekers Verbond (KLAV). De perfecte partner tegen cybercrime voor deze doelgroep.

Hoe gaat de GDPR en Cybersecurity Quick Scan voor apothekers in zijn werk?

Een cybersecurity expert van Datalink gaat gedurende een halve dag langs bij elke apotheek. Hier zal een complete check-up van de systemen van de apotheek doorgevoerd worden.

Zo bekijken we o.a. :

– of de website van de apotheek veilig is en of deze in regel is met de GDPR en de wettelijke verplichtingen.

– of de werktoestellen en de netwerkapparatuur in de apotheek veilig en up-to-date zijn.

– of de nodige maatregelen getroffen worden om digitale continuïteit te garanderen.

Hierna bezorgen we de apotheek een helder rapport met concrete actiepunten met een indicatie van prioriteit. De apotheker kiest zelf of Datalink of een andere partner de aangegeven actiepunten al dan niet verder mag optimaliseren.

Interesse in een Cybersecurity Quick Scan voor jouw apotheek?

Datalink én KLAV staan voor je klaar! De Quick Scan, inclusief verplaatsingskosten binnen Limburg, is beschikbaar voor € 700 euro exclusief btw. Indien je in aanmerking komt voor subsidie van de kmo-portefeuille, kan je mogelijk genieten van maar liefst 30% tussenkomst.

Een Quick Scan aanvragen voor jouw apotheek? Of graag even afstemmen met ons team? Neem dan even contact met ons op!

Hoe een gehackte website herkennen en herstellen?

Door Wouter / 14 juli 2021

Een gehackte website is desastreus voor je bedrijf maar ook zeker voor je klanten én potentiële leads. Gelukkig kan je je tegen hacking beschermen. Hoe je kan herkennen of je website gehackt is, een hacking kan vermijden of in het ergste geval kan herstellen, lees je in deze blog.

Wat is het gevaar van een gehackte website?

De belangrijkste oorzaak van een gehackte website is slecht of ontbrekend onderhoud. Wanneer de broncode van je website en het eventuele beheersysteem onvoldoende beveiligd of bijgewerkt is, krijgen hackers door deze onveilige of verouderde scripts makkelijk toegang tot je websitebestanden. Veel ondernemers met een bedrijfswebsite onderschatten het belang van websiteonderhoud en gaan er van uit dat een website, eens gebouwd, altijd zal blijven draaien. Helaas is niets minder waar. Periodiek websiteonderhoud is wel degelijk nodig om de website onder meer te beveiligen tegen hackers.

Zodra hackers toegang hebben verkregen tot de broncode van je website verbergen ze geïnfecteerde bestanden op moeilijk vindbare plaatsen in je code, of leiden ze de websitebezoekers om naar een nagebootste (valse) website om zo persoonlijke informatie te bemachtigen.

Je vraagt je misschien af waarom websites zo vaak gehackt worden? De meest voorkomende motieven voor het hacken van websites zijn:

het uitvoeren van phishing aanvallen vanuit jouw website;
het versturen van reclamemails vanaf jouw server;
het stelen van waardevolle informatie op jouw server zoals persoonsgegevens en creditcard informatie van je klanten;
het verspreiden van malafide software naar de toestellen van bezoekers van je website;
het omleiden van de bezoekers naar een malafide website en hen daar aanzetten tot valse aankopen.

Hoe kan je een gehackte website herkennen?

Tegenwoordig doen hackers flink hun best om hun inbraak verborgen te houden. Deze signalen kunnen er alvast op wijzen dat je website is gehackt:

Wanneer je je website via Google bezoekt, krijg je volgende melding te zien: “Deze website kan schadelijk zijn voor je computer”.
Er komt een browsernotificatie met een veiligheidswaarschuwing bij het bezoeken van je website.
Je anti-virus programma detecteert infecties bij het bezoeken van je webpagina’s.
Er zit een onbekend stuk JavaScript in de code van één van je webpagina’s.
Er zit een onbekende ‘iframe’ in één van je webpagina’s.
De vertrouwde bestanden van je website zijn verwijderd of vervangen met valse varianten ervan.
Je merkt bestanden op die niet bij de standaard bestanden van je gebruikte CMS pakket horen.
Er zijn plots bestanden aanwezig in je website die je zelf niet hebt geüpload.
Je websitebestanden zijn hernoemd.
Wanneer je de aanmaak- en bewerkingsdatum van je files nakijkt, merk je afwijkende datums op.
Je komt plots veel bestanden tegen die beginnen met een punt. Dit zijn verborgen bestand die geïnfecteerd kunnen zijn.
Je vindt bestanden met vreemde namen of met namen die verkeerd gebruik van hoofdletter, kleine letters en cijfers bevatten of foutieve spelling.

Wat moet je doen als je website gehackt is?

Bestaat het vermoeden dat je website is gehackt? Zorg er dan voor dat je op een snelle en adequate manier handelt. Je kan de volgende acties ondernemen:

Haal je website tijdelijk offline of toon een landingspagina

Wanneer je website geïnfecteerd is, heeft dit niet alleen gevolgen voor je bedrijf. Ook je klanten en andere geïnteresseerden die je website bezoeken kunnen hierdoor in gevaar komen. Om ervoor te zorgen dat andere internetgebruikers in ieder geval geen schade ondervinden, is het verstandig je website tijdelijk offline te halen.

Verander je wachtwoorden

Het feit dat iemand zich toegang heeft kunnen verschaffen tot de broncode van je website, betekent in vele gevallen ook dat er wachtwoorden zijn bemachtigd. Wijzig je wachtwoorden die gerelateerd zijn aan je website om een nieuwe hacking te voorkomen. Zorg ervoor dat je nieuwe, unieke en veilige wachtwoorden instelt.

Scan, herstel en beveilig je broncode

Naast het wijzigen van je wachtwoorden is het ook verstandig om de broncode van je website volledig door te lichten om na te gaan via welke weg de hack heeft kunnen plaatsvinden. Dankzij monitoring kan je nog beter proactief waarschuwingssignalen inbouwen wanneer plots het aantal loginpogingen toeneemt, of het netwerkverkeer stijgt. Je wil immers gewaarschuwd worden vooraleer een dreiging ook maar echt schade heeft kunnen aanrichten.

Herstel je gehackte website via een back-up

De meeste webbouwers voorzien een back-uproutine voor je website. Je kan bij voorkeur de meest recente back-up van voor de infectie terugzetten nadat je deze broncode hebt nagekeken en geüpdatet. De updates bevatten vaak “fixes” of correcties voor potentiële achterpoortjes die cybercriminelen kunnen binnenlaten op je website. Kies bij voorkeur voor een onderhoudsovereenkomst zodat dit voor jou periodiek wordt gedaan. Heb je geen back-up van jouw website? Dan zal jij of je webbouwer de kwaadaardige code zelf moeten opsporen door alle files na te gaan en handmatig dienen te verwijderen.

Vraag een nieuwe malwarecontrole aan Google

Is je website opnieuw clean as a whistle? Dan vraag je best bij Google een nieuwe malwarecontrole aan zodat je website niet langer als “gevaarlijk” of “misleidend wordt gemarkeerd voor surfers.

Ga na of er sprake is van een datalek

De GDPR stelt dat iedere verwerkingsverantwoordelijke vertrouwelijk en verantwoordelijk moet omgaan met de persoonsgegevens van de websitebezoekers. Is je website gehackt? Dan is het dus uiterst belangrijk dat je nagaat of de hacker toegang heeft gekregen tot deze kostbare data. Dit zal vooral belangrijk zijn voor webshops en website waar klanten zich kunnen aanmelden of inloggen in een portaal. Heeft de hacker persoonsgegevens buit gemaakt? Dan spreken we van een datalek. Volgens de meldplicht datalekken binnen de GDPR moet je in dat geval binnen de 72 uur melding maken van het datalek bij de Gegevensbeschermingsautoriteit. Doe je dit niet? Dan loop je het risico op fikse boetes.

Wist je dat…?

Wist je dat hackers erg fanatiek kunnen zijn en steeds meer gebruik maken van spoofing? Bij spoofing wordt er door de hacker(sbeweging) een bijna identieke kopie van je website, platform of loginscherm gebouwd. Daardoor hebben bezoekers meestal niet door dat het gaat over een valse kopie en zullen ze nietsvermoedend persoonlijke gegevens delen via een formulier. Gezien het in dit geval gaat over een valse kopie van je website, zullen de ingevulde gegevens naar de hacker gaan i.p.v. naar jezelf.

Hoe kan je voorkomen dat je website gehackt wordt?

Voorkomen is natuurlijk altijd beter dan genezen. Om de kans op een hacking van je website te verkleinen volg je best de volgende tips:

Update, update, update! Dit geldt voor alle broncode, modules, plug-ins en externe software die gelinkt is aan je website.
Laat je website proactief monitoren
Voorzie beveiligingsmaatregelen op serverniveau
Gebruik steeds veilige wachtwoorden en waar mogelijk two factor authentication

Heb je het vermoeden dat jouw bedrijfswebsite gehackt is? Ons team staat voor je klaar om de cyberveiligheid van je website onder de loep te nemen.

Veiligheidsrisico’s in webapplicaties vermijden met de OWASP top 10

Door Wouter / 7 juli 2021

Het Open Web Application Security Project, of kortweg OWASP, focust zich op het verbeteren van softwareveiligheid door individuen en organisaties te informeren en sensibiliseren.. Hun top 10 van meest kritische veiligheidsrisico’s bij webapplicaties is erg belangrijk voor professionele webbouwers. Gezien we bij Datalink staan voor toonaangevende en innovatieve online platformen, houden we onze oren en ogen gespitst op vlak van cybersecurity trends. OWASP helpt ons hierbij.

OWASP

Enter OWASP! Het Open Web Application Security Project, of kortweg OWASP, focust zich dus op het verbeteren van softwareveiligheid door het informeren van individuen en ondernemingen. OWASP bestaat uit een open community met een groot aantal beveiligingsexperts. De organisatie verzamelt en analyseert data van organisaties uit verschillende landen om veiligheidsrisico’s op te lijsten en richtlijnen te geven voor platformen.

De OWASP top 10

De OWASP Top 10 is een lijst van de 10 gevaarlijkste en meest voorkomende veiligheidsrisico’s op het internet, gebaseerd op meer dan 500.000 kwetsbaarheden in meer dan 1000 applicaties. Het is volgens het Belgische centrum voor cybersecurity dan ook een krachtig bewustmakingsdocument voor beveiliging van webapplicaties dat webbouwers in acht dienen te nemen om steeds veilige code en software te ontwikkelen. Benieuwd naar de dreigingen die er in de top tien staan opgenomen?

Injectie

Volgens de OWASP zijn injection kwetsbaarheden de grootste risicofactor voor web applicaties. SQL injecties doen zich voor wanneer een cybercrimineel SQL queries op zo’n manier manipuleert dat deze onbedoelde commando’s gaat uitoefenen. Zo’n actie is mogelijk wanneer de query op een onveilige manier is opgebouwd en afhankelijk is van één of meerdere parameters die ingevuld moeten worden door een gebruiker. Verwerft een kwaadwillig persoon toegang tot je query? Dan heeft deze ook toegang tot je data en kan hij deze data wijzigen, corrupt maken of zelfs verwijderen.

Een voorbeeld: een SQL-query ziet er bijvoorbeeld als volgt uit=> “DELETE FROM my_data WHERE ‘id’ = “+inputID;
Stel dat <inputID> kan worden ingevuld met behulp van een formulier op een website of applicatie.
In plaats van een numerieke ID in te vullen, kan de gebruiker eventueel het volgende invullen: 1 OR 1=1
In dit voorbeeld zullen bijgevolg alle records in de tabel my_data verwijderd worden.

Gebroken authenticatie en sessiebeheer

OWASP geeft aan dat applicatiefuncties die te maken hebben met authenticatie en sessiebeheer vaak foutief geïmplementeerd worden. Hierdoor wordt het voor cybercriminelen mogelijk om toegang te verkrijgen tot wachtwoorden sessietokens en ‘sleutels’. In sommige gevallen maakt deze kwetsbaarheid het zelfs mogelijk om tijdelijk of permanent de identiteit van andere gebruikers over te nemen. Onder incorrecte implementatie van sessiebeheer en authenticatie vallen een heel aantal fouten. Dit kan gaan van het niet instellen van een tijdslimiet op gebruikerssessies tot het ontbreken van encryptie bij opslag van data.

Graag een voorbeeldje? Er zijn een aantal manieren om aan “Session hijacking” te doen. Bij “Session Sniffing” kan de aanvaller bijvoorbeeld een sessie vinden genaamd “UserID”. Indien deze data niet geëncrypteerd is kan de aanvaller deze sessie simpelweg aanpassen naar een andere ID om zo toegang te krijgen tot een ander account van de applicatie. Een andere veelvoorkomende manier van Session Hijacking is “cross-site scripting” waarbij de aanvaller een stukje malafide code gebruikt om bestaande sessies te lezen. Zie hieronder.

Blootstelling van gevoelige data

Veel webapplicaties en API’s zorgen volgens OWASP onvoldoende voor een optimale bescherming van gevoelige data zoals financiële gegevens of persoonsgegevens. Gevoelige gegevens enkel afgeschermd opslaan, bijvoorbeeld in een database, is namelijk niet voldoende. Zo wordt deze data in gevaar gebracht door een gebrek aan encryptie tijdens opslag of in transit. Dit heeft als gevolg dat hackers makkelijk toegang kunnen verkrijgen om deze gevoelige data te stelen of aan te passen om credit card fraude te plegen of identiteitsgegevens te stelen.

Graag iets meer uitleg? Bij API’s is authenticatie superbelangrijk. Dit zorgt ervoor dat de derde partij toegang heeft tot de beschikbare data. Indien deze authenticatie niet volgens de huidige normen gebeurt, is de kans groot dat een aanvaller aan de haal kan gaan met data. Oauth 2.0 is de huidige standaard als het aankomt op API authenticatie. De applicatie die de API wilt gebruiken heeft eerst en vooral een “access token” nodig, die enkel kan verkregen worden via de oorspronkelijke applicatie. In het beste geval vervalt deze “access token” ook na een bepaalde tijd. Na het vervallen zal de applicatie die de API wilt gebruiken een nieuwe access token moeten aanvragen met behulp van een “refresh token”, dat ook werd aangeleverd door de oorspronkelijke applicatie.

XML External Entities (XXE)

Veel oudere of slecht geconfigureerde XML processoren evalueren externe entiteitsreferenties binnen XML documenten. Zo’n externe entiteiten kunnen gebruikt worden om interne documenten bloot te stellen.

Ontbrekende of defecte toegangscontrole

Nog een veelvoorkomend probleem is het feit dat toegangsrechten op regelmatige basis onvoldoende worden voorzien of beperkt. Hierdoor verkrijgen hackers gemakkelijk ongeautoriseerde toegang tot bepaalde functionaliteiten en data zoals gebruikersaccount en vertrouwelijke documenten én kunnen ze in veel gevallen zelfs user accounts en toegangsrechten aanpassen.

Misconfiguratie van beveiligingsvoorzieningen

Een webapplicatie bestaat meestal uit een aantal samenwerkende componenten. Zo zijn applicaties uitbreidbaar met plug-ins, thema’s en andere elementen. Elk component houdt risico’s in voor de veiligheid van de webapplicatie. Daarom is het belangrijk dat de standaard instellingen veilig (en dus streng) zijn, zodat het CMS meteen veilig gebruikt kan worden. Dit houdt bijvoorbeeld in dat onnodige features automatisch uitgeschakeld zijn, er geen default accounts en paswoorden aanwezig zijn en dat het tonen van foutrapporten automatisch uitgeschakeld is. Misconfiguratie van beveiliging is meestal het resultaat van onstabiele standaard configuraties, open cloud opslag, incomplete of ad hoc configuraties, onduidelijke foutmeldingen die soms zelfs gevoelige data bevatten. Naast een optimale beveiliging is het ook erg belangrijk dat applicaties, API’s en systemen tijdig gepatched en geüpgraded worden. Bij Datalink voorzien wij bijvoorbeeld strenge onderhoudsroutines.

Cross-Site Scripting aanvallen (XSS)

Veel websites bevatten scripts die uitgevoerd worden door de webbrowser. Cross-Site Scripting stelt een cybercrimineel in staat om zijn eigen script te injecteren in een normaliter betrouwbare website. Aangezien het malafide script vanuit de webpagina zelf wordt uitgevoerd, heeft de browser geen idee dat het script onbetrouwbaar is. Het script zal dus gewoon uitgevoerd worden en geeft toegang tot cookies, sessietokens en andere elementen die in de HTML pagina zitten. Gelukkig bestaan er een aantal methodes om XSS kwetsbaarheden tegen te gaan. Deze methodes houden vooral in dat onbetrouwbare gegevens gefilterd worden afhankelijk van de HTML context waarin ze terecht zullen komen. Ook is het nuttig om input te valideren aan de hand van een aantal verwachte eigenschappen zoals de vereiste dat input numeriek dient te zijn.

Insecure Deserialization

Dit is een vrij recente toevoeging aan de OWASP top 10. Ik verduidelijk even hoe het werkt: in een applicatie wordt voortdurend data uitgewisseld naar bijvoorbeeld een ander script binnen de applicatie of de database. Deze data wordt “serialized” en omgevormd naar een byte stream. De code die deze byte stream ontvangt gaat deze byte stream “deserialiseren” om tot de oorspronkelijke data te komen. Indien de byte-stream niet wordt gevalideerd door de ontvangende software, kan de aanvaller eender welke data doorsturen naar de eindbestemming en op die manier eventueel andere eigen scripts aanspreken. Het is dus zeer belangrijk om alle user-input te valideren om geen onverwachte code uit te voeren.

Het gebruik van componenten met gekende kwetsbaarheden

Externe componenten zoals plug-ins, frameworks en andere modules hebben vaak volledige autorisatie tijdens het draaien van een applicatie. Is één van deze componenten kwetsbaar? Dan brengt dit component de gehele applicatie in gevaar. Onderzoek van Detectify uit 2016 wijst uit dat veel ontwikkelaars zich enkel op de veiligheid van hun eigen code concentreren en vergeten dat ze ook heel wat code hebben geïmporteerd die afkomstig is van derden. Dit blijkt nog vaker het geval bij webontwikkeling met open-source content management systemen. CMS-ontwikkelaars gebruiken in het algemeen namelijk veel verschillende modules, plug-ins of andere extensies die ze niet zelf ontwikkeld hebben. Het is dus van groot belang dat deze toegevoegde componenten worden gecontroleerd wat betreft beveiliging voordat ze beschikbaar worden gesteld aan het publiek.

Onvoldoende loggen en monitoren

OWASP geeft aan dat de gemiddelde tijd waarna een inbraak in een website of webapplicatie opgemerkt wordt meer dan 200 dagen is. Deze inbreuk wordt bovendien meestal door derden gedetecteerd en niet door de interne processen of de monitoring. Het is dus duidelijk dat onvoldoende logging en monitoring in combinatie met ontbrekende of ineffectieve integratie van incident management als gevolg hebben dat cybercriminelen systemen kunnen aanvallen of penetreren en zo gevoelige data kunnen bekijken, wijzigen en vernietigen.

Niet niks hé, die gevaren die er kunnen schuilgaan in de code van websites en webapplicaties? Naast de top 10 zijn er uiteraard nog veel meer risico’s op de loer. Als eigenaar van een website of webapplicatie zorg je er best voor dat je platform, je kostbare data én alle opgeslagen persoonsgegevens best optimaal beveiligd zijn, wil je hacks en natuurlijk ook sancties van de Belgische Gegevensbeschermingsautoriteit vermijden.

Is jouw website of webapplicatie met de grootste zorg gebouwd? Of wil je de veiligheid van je site of platform graag laten nakijken? Als developer met een specialisatie in ethical hacking help ik je samen met ons team heel graag verder! Neem vandaag nog contact op.

Tweestapsauthenticatie (2fa): wat zijn de voordelen en hoe werkt het?

Door Omer / 30 juni 2021

Met alle berichten die de laatste maanden steeds vaker in de media verschijnen over phishing, CEO-fraude, hackings en datalekken is het één ding duidelijk geworden: een goede beveiliging van je kostbare data is van cruciaal belang. Tweestapsauthenticatie is hier een handig hulpmiddel voor. Wat 2FA juist is, hoe het gebruikt kan worden en waarom, vertellen we je graag in deze blog.

Wat is tweestapsauthenticatie?

Tweestapsauthenticatie – ookwel 2FA – is een methode waarbij gebruikers twee stappen moeten doorlopen om zich in te loggen op een website of een applicatie. Tweestapsauthenticatie zorgt zo voor een dubbele beveiliging van je account.

Je kostbare data goed beschermen is geen evidentie: spammails en ransomware-aanvallen vliegen ons om de oren. Maar wist je dat veel datalekken eigenlijk voorkomen van gebrekkig beveiligde software of accounts?

Tweestapsauthenticatie versus tweestapsverificatie

Als het goed is, stel je voor ieder online account een uniek wachtwoord in. Een veilig wachtwoord dat voldoende lang is, en bestaat uit hoofdletters, kleine letters, cijfers en symbolen. Zo zet je alvast de toon voor een veilig accountbeheer aangezien je bij een datalek, het voor de hackers niet noodzakelijk mogelijk maakt om ook andere accountgegevens buit te maken.

Dikwijls volstaat zo één beveiligingslaag (je wachtwoord) echter niet. Het aantal hacks neemt sterk toe, en voor je gevoelige (persoons-)gegevens kan je maar beter bijkomende maatregelen nemen.

Tweestapsauthenticatie is zo’n extra beveiligingslaag die je kan toevoegen. Deze maatregel zorgt ervoor dat hackers of onbevoegde personen moeilijker toegang kunnen verkrijgen tot jouw data, aangezien ze twee maatregelen moeten omzeilen. Gewoonlijk zal je als gebruiker eerst je gebruikersnaam en wachtwoord ingeven. Hierna volgt een tweede stap waar je andere informatie moet indienen zoals een veranderende code (gegenereerd door een authenticator), een vingerafdruk of gezichtsherkenning. Op die manier kan enkel jij toegang krijgen tot je account, zelfs wanneer je login en wachtwoord onderschept zouden zijn.

We maken een onderscheid tussen drie verschillende authenticatiemethodes, namelijk “iets dat je hebt”, “iets dat je bent” en “iets dat je weet”.

Tweestapsauthenticatie vereist twee verschillende soorten authenticatie. Dit kan bijvoorbeeld iets zijn dat je kent (wachtwoord), iets dat je bent (vingerafdruk) of iets dat je hebt (een geverifieerd mobiel apparaat).

Tweestapsverificatie is een gerelateerd begrip. Hierbij kan hetzelfde type van informatie gebruikt worden dat door verschillende bronnen wordt geleverd. Bijvoorbeeld een code in de mailbox + een code in een SMS. Dezelfde categorie kan dus twee keer worden gebruikt.

Een bekend voorbeeld is het Four Eyes Principle. Dit houdt in dat twee individuen een actie moeten goedkeuren vooraleer deze uitgevoerd kan worden. Dit principe wordt daarom ook wel de two-man rule of de two-person rule genoemd. Zo is het bijvoorbeeld vaak vereist dat 2 personen juridische en financiële documenten ondertekenen en zorgen militaire instanties er steeds voor dat bijvoorbeeld raketlanceerders altijd pas door middel van 2 verschillende sleutels bijgehouden door verschillende personen geactiveerd kunnen worden. Sommige data managementsystemen hebben zo ook de vereiste dat 2 verschillende personen belangrijke updates moeten goedkeuren vooraleer deze uitgevoerd kunnen worden.

Tweestapsauthenticatie is veiliger dan tweestapsverificatie, maar beide zijn beter dan vertrouwen op slechts een enkel wachtwoord. Activeer de maatregel dus zeker wanneer ze wordt aangeboden.

Verschillende types van 2FA

Er zijn verschillende types 2FA waarvan je gebruik kan maken om je data optimaal te beschermen:

SMS-based 2FA

Deze vorm van tweestapsauthenticatie bezorgt je een eenmalig wachtwoord via een tekstbericht op je mobiele telefoon. Deze vorm van 2FA is voldoende wanneer het gaat over online activiteit met een laag risico. Voor het beschermen van persoonlijke data raden we een veiligere vorm van 2FA aan.

Voorbeeld: E-mailmarketingprogramma MailChimp maakt hier bijvoorbeeld gebruik van.

Hardware tokens voor 2FA

Deze vorm van 2FA werkt met een klein hardware apparaatje dat iedere 30 seconden een nieuwe numerieke code produceert. Ook bestaan er varianten die je in je computer moet insteken. Heb je de dongle niet bij? Dan kan je je niet aanmelden. Het nadeel van dit type 2FA is het feit dat deze tokens erg kostelijk zijn alsook makkelijk verloren gaan. Bovendien is ook deze vorm van 2FA niet 100% veilig.

Voorbeeld: Softwaredongles

Software tokens voor 2FA

De populairste vorm van tweestapsauthenticatie is een zogenaamd soft-token. Een soft-token is een eenmalig paswoord dat slechts een bepaalde tijd, bijvoorbeeld 1 minuut, geldig is. Dit type 2FA is een veiliger alternatief voor SMS-2FA. Bovendien is het beschikbaar voor mobiele telefoons, draagbare toestellen en desktops.

Voorbeeld: De authenticator app voor Exact Online.

Biometrische 2FA

Dit type 2FA aanschouwt de eigenlijke gebruiker als het token. Toegang tot websites of applicaties kan verkregen worden via vingerafdruk, retina-scans, en gezichtsherkenning. Deze vorm van 2FA is nog volop in ontwikkeling.

Voorbeeld: Het unlocken van je iPhone.

Push notificaties voor 2FA

Dit type 2FA elimineert het ontvangen en ingeven van een token door de gebruiker door ervoor te kiezen een push notificatie te verzenden wanneer iemand probeert in te loggen. De gebruiker kan de authenticatie hierna met één klik goedkeuren of weigeren. Dankzij een directe en veilige verbinding tussen de gebruiker, de 2FA service en het toestel omzeilt dit type 2FA de mogelijkheid tot phishing, ongeoorloofde toegang en man-in-the-middle aanvallen.

Voorbeeld: Facebook Login Alerts

Waarvoor Tweestapsauthenticatie gebruiken?

De veiligheidsexperts van Datalink raden aan om waar mogelijk steeds te kiezen voor beveiliging via 2FA. Je data is nog nooit zo belangrijk geweest. Bovendien legt de GDPR ondernemers de verantwoordelijkheid op om persoonsgegevens passend te beschermen.

Bij Datalink zorgden we ervoor dat tweestapsauthenticatie mogelijk is voor volgende diensten:

De websites die we bouwen
Webapplicaties of online platformen die we op maat bouwen
Onze geëncrypteerde coudopslagmogelijkheid Datasync
Office 365
Teamify
…

Meer weten over 2FA of andere manieren waarop jij je bedrijf optimaal kan beveiligen? Contacteer de veiligheidsexperts van Datalink voor een gericht advies na een quick scan of grondige IT-audit.