OSINT-benchmark Sportbonden: topsportmentaliteit nodig

19 februari 2021 – In een artikel over cybercriminaliteit onder de titel “Geef Hackers geen podiumplaats” riep het NOC*NSF haar leden en alle aan de sport verwante organisaties eind vorig jaar op alert te zijn voor cybercriminelen. Er worden meer en meer incidenten gemeld. Duidelijk is dat de cybercriminelen zich niet alleen meer richten op de grote wereldwijde evenementen, maar dat ook de lokale infrastructuur de aandacht van deze criminelen heeft. Een datalek kan leiden tot imagoschade en verstrekkende financiële gevolgen hebben, zowel voor de eigen organisatie als voor de bij de sportbonden betrokken organisaties (sponsoren, partners, etc.). Wees daarom bewust van de digitale footprint die uw organisatie achterlaat.

Als dienstverlener in de sport heeft Mazars gekeken of de Nederlandse sportbonden zich voldoende hebben gewapend tegen de risico’s die het gevolg zijn van cybercriminaliteit. In hoeverre zijn sportbonden beschermd tegen het oneigenlijk verkrijgen van ledendata? Is de IT-infrastructuur zo ingericht dat voorkomen wordt dat criminelen toegang hebben tot e-mail- en agenda-gegevens?

Om op deze en andere vragen een antwoord te kunnen geven, hebben wij dit op basis van op het internet publiek beschikbare informatie inzichtelijk gemaakt voor sportbonden. De informatie, die ook wel aangeduid wordt als ‘open source intelligence’ (OSINT), hebben wij verwerkt tot een benchmark.   Hiermee willen wij een bijdrage leveren aan een veiligere digitale omgeving in de sportsector. Realisatie hiervan begint met het inzicht in de IT-werkelijkheid.

De belangrijkste bevindingen uit onze benchmark zijn:

Veiligheid

  • Sportbonden hebben meer poorten naar het internet openstaan dan noodzakelijk is. Het werkt hierbij net als thuis; ieder raam of deur te veel open, levert een onnodig verhoogd risico op inbraak.
  • Sportbonden maken onvoldoende juist gebruik van zogenaamde HTTP security headers. Deze headers bieden onder meer waarborgen tegen het ongeautoriseerd ‘omleiden’ van berichtenverkeer en het overnemen van bestaande sessies van gebruikers. Je deelt je informatie dan niet langer met de betreffende sportbond, maar met iemand anders.

Reputatie

  • Sportbonden maken onvoldoende gebruik van een DMARC record. Hierdoor zijn zij kwetsbaar voor het door onbevoegden versturen van mail uit naam van de betreffende bond. Dit wordt het zogenaamde e-mail spoofing genoemd. Hierdoor kunnen leden e-mails ontvangen, waarbij het lijkt alsof dit door de sportbond zelf verzonden is, terwijl dit niet het geval is.

Privacybescherming

  • Sportbonden voldoen niet genoeg aan privacywetgeving omtrent cookies. Cookies zijn noodzakelijk op veel websites. Ze verhogen het gebruikersgemak. Uitzonderingen daargelaten, bepaalde cookies mogen uitsluitend worden geplaatst na expliciete goedkeuring van een gebruiker. Deze goedkeuring ontbreekt vaak nog, de cookies worden direct geplaatst. Daarnaast worden gegevens, vaak onbedoeld en onbewust, gedeeld met bijvoorbeeld de Verenigde Staten. Als gevolg van het recent wegvallen van het privacy shield met de Verenigde Staten welke zorgde voor extra bescherming, kan dit een issue zijn.

Voor de totstandkoming van deze benchmarkrapportage hebben wij beperkte OSINT-onderzoeken uitgevoerd voor de grotere sportbonden in Nederland. De uitkomsten hiervan hebben wij vertaald in een rapportage. In onderstaand rapport leest u alle uitkomsten van onze benchmark.

Hart voor de sport

Mazars heeft hart voor de sport en streeft naar het leveren van topprestaties. Wij hebben ruime ervaring in de sportwereld en bezitten over de juiste expertise en vaardigheden om uw organisatie te ondersteunen bij het beschikken over de juiste systemen, adequate managementinformatie en een goede beveiliging van intellectuele eigendommen, bedrijfsinformatie en persoonsgegevens.

Document

Mazars OSINT Benchmark 2021 - Sportbonden

Want to know more?