De belangrijkste les voor ondernemers is niet dat grote techbedrijven fouten maken, maar dat hun fouten een blauwdruk vormen voor je eigen beveiligingscontroles. Menselijke fouten, zoals verkeerd geconfigureerde systemen, zijn de grootste dreiging, en die kun je vandaag nog aanpakken met eenvoudige processen.

Wat er aan de hand is

In één week tijd maakte AI-specialist Anthropic twee ernstige datablunders, zo blijkt uit een nieuwsoverzicht van Computable. Eerst werd per ongeluk de volledige broncode van de programmeertool Claude Code online gezet, bestaande uit ongeveer 1.900 bestanden en ruim 512.000 regels code. Een securityonderzoeker ontdekte dat de code publiek te downloaden was, waarna kopieën snel op GitHub verschenen. Het bedrijf noemt het een menselijke fout. Eerder diezelfde week werd ook interne documentatie over een nieuw AI-model, genaamd Mythos, openbaar door een verkeerd geconfigureerde databank. Deze fouten geven concurrenten inzicht in vertrouwelijke werking en ontwerpkeuzes. In hetzelfde overzicht kondigt HP een nieuwe LaserJet-lijn aan met nadruk op quantum-resistente beveiliging en AI-gestuurde workflowoptimalisatie, en waarschuwt het Nationaal Cyber Security Centrum (NCSC) voor besmette softwarepakketten.

Wat dit betekent

De incidenten bij Anthropic illustreren dat de grootste kwetsbaarheid in elk bedrijf vaak niet in geavanceerde hackers zit, maar in alledaagse menselijke fouten en configuratieproblemen. Voor MKB’ers betekent dit dat investeren in dure securitysoftware zinloos is als de basis niet op orde is: wie heeft toegang tot welke data, en zijn die toegangsrechten correct ingesteld? De nieuwe HP-printers met geavanceerde beveiliging tonen een trend: beveiliging wordt steeds meer een standaard onderdeel van alledaagse bedrijfsapparatuur, niet alleen van servers. De waarschuwing van het NCSC bevestigt dat de dreiging ook via de softwaretoeleverketen binnenkomt, via ogenschijnlijk onschuldige tools en bibliotheken die je team gebruikt.

Hoe je dit kunt toepassen

De praktische toepassing hangt af van jouw situatie. Je kunt de blunders bij grote bedrijven gebruiken als aanleiding om je eigen processen tegen het licht te houden, zonder direct grote investeringen te doen.

Als je gevoelige klant- of bedrijfsdata in de cloud bewaart… controleer dan wie er toegang heeft. Vaak staan mappen of databases per ongeluk op ‘publiek’ of zijn oud-medewerkers nog niet uit de systemen verwijderd. Plan een half uur om de toegangsrechten van je belangrijkste cloudopslag (zoals Google Drive, Dropbox of Microsoft 365) te controleren. Dit is de digitale variant van het controleren of de deur op slot zit.

Als je samenwerkt met externe developers of freelancers… stel dan duidelijke afspraken op over hoe zij met broncode of bedrijfsinformatie omgaan. Laat je niet verleiden om hen volledige toegang te geven ‘voor het gemak’. Gebruik waar mogelijk tijdelijke toegangspassen of beperkte rechten. Vraag na een project expliciet of alle testdata en broncode van hun systemen zijn verwijderd.

Als je printers of andere netwerkapparaten gebruikt… verander dan het standaardwachtwoord. Veel beveiligingslekken beginnen bij verouderde firmware of apparaten die nog met ‘admin/admin’ te benaderen zijn. Overweeg bij een vervanging, zoals de nieuwe HP LaserJet-lijn, of ingebouwde security-functies een argument kunnen zijn, maar besef dat de grootste winst vaak in basisconfiguratie zit.

Als je softwarepakketten gebruikt voor je website of interne tools… wees alert op waarschuwingen zoals die van het NCSC. Abonneer je op de nieuwsbrief van een betrouwbare security-partij of het NCSC zelf. Wanneer er een kwetsbaarheid wordt gemeld in een tool die je gebruikt, weet je dit direct en kun je actie ondernemen voordat het een probleem wordt. Dit is een laagdrempelige manier om proactief te zijn.

Bron: Computable