De securitytip van Tom van der Zwet

In deze serie lichten we de beste securitytip van verschillende HP-experts uit. Dit keer spraken we met Tom van der Zwet, presales consultant bij HP. Voor Tom draait security om het fundament.

‘Als het gaat om security, begin ik altijd helemaal bij de basis. Als je je pc aanzet en op de F10 toets drukt, komt je bij je BIOS. Staat daar geen wachtwoord op? Dan heb je een probleem. PC’s worden zonder wachtwoord op de BIOS geleverd, zodat je als IT nog aanpassingen kunt doorvoeren voordat je de devices aan medewerkers geeft.’

‘Het is wel echt een must om zo’n wachtwoord te gebruiken. Je eindgebruikers kunnen dit zelf doen, maar je kunt het ook centraal remote doen als IT-afdeling.’

Het belang van de BIOS

Een aantal jaar geleden kwamen de eerste virussen in de BIOS. ‘Die kunnen niet gevonden worden door virusscanners, want die komen daar helemaal niet bij’, vertelt Tom. HP Sure Start beschermt de BIOS in real time. Wanneer rootkits of andere malware proberen je BIOS aan te vallen, wordt het device opnieuw opgestart en wordt een ‘gouden kopie’ geladen.

Wil je weten of Sure Start echt aanstaat? ‘Als je binnen de BIOS naar ‘security’ gaat, kun je daar controleren of Sure Start ingeschakeld is. Het staat standaard aan, maar het kan natuurlijk zijn dat iemand het per ongeluk uit heeft gezet.’

Dat ziet er dan zo uit:

Sure Start in BIOS

Securitytip: Sure run

‘Ik ben ook groot fan van HP Sure Run, dat zit in het OS in plaats van de BIOS, maar wordt door dezelfde hardware als Sure Start bestuurd. Wanneer je device wordt aangevallen, proberen hackers de firewall en virusscanner direct uit te zetten. Sure Run garandeert dat deze belangrijke software overeind blijft, hackers kunnen deze dus niet uitzetten’

‘Als je pc wordt aangevallen, geeft Sure Run hiervan rechtsonder in het scherm een melding. Ook wordt het gelogd in je Windows Event log. Als IT-afdeling kun je dit altijd inzien.’

Nist 800-193 veiligheidsnorm

De beveiliging van HP gaat veel verder dan de standaard. ‘Gebruikers mogen van alle fabrikanten verwachten dat een device voldoet aan de NIST 800-147 veiligheidsnorm. In dit geval wordt bij een update van de BIOS alleen gekeken of deze update ook authentiek is.’

‘Bij HP werken we met de NIST 800-193 veiligheidsnorm, deze gaat een stuk verder. Hierbij gaat het om resilience guidelines. Er wordt ook gekeken of er geen ongeoorloofde wijzigingen gedaan worden. Als deze worden opgespoord, worden ze ook hersteld.’

Bescherming tegen diefstal laptops

Tom heeft ook nog een securitytip om dieven het leven zuur te maken: ‘Er is veel overlast van diefstal van laptops, deze worden vervolgens tweedehands verkocht. Stel, mijn laptop wordt gejat. Mijn schijven zijn encrypted, daar hebben ze dus niks aan.’

‘Dan kunnen ze er wel nieuwe schijven in zetten, maar wanneer je een wachtwoord op je BIOS zet en usb booting uitschakelt, hebben dieven helemaal niets meer aan je device. Dan moeten ze toch andere baan gaan zoeken!’

Lees ook