OSINT-benchmark Sportbonden: topsportmentaliteit nodig
Als dienstverlener in de sport heeft Mazars gekeken of de Nederlandse sportbonden zich voldoende hebben gewapend tegen de risico’s die het gevolg zijn van cybercriminaliteit. In hoeverre zijn sportbonden beschermd tegen het oneigenlijk verkrijgen van ledendata? Is de IT-infrastructuur zo ingericht dat voorkomen wordt dat criminelen toegang hebben tot e-mail- en agenda-gegevens?
Om op deze en andere vragen een antwoord te kunnen geven, hebben wij dit op basis van op het internet publiek beschikbare informatie inzichtelijk gemaakt voor sportbonden. De informatie, die ook wel aangeduid wordt als ‘open source intelligence’ (OSINT), hebben wij verwerkt tot een benchmark. Hiermee willen wij een bijdrage leveren aan een veiligere digitale omgeving in de sportsector. Realisatie hiervan begint met het inzicht in de IT-werkelijkheid.
De belangrijkste bevindingen uit onze benchmark zijn:
Veiligheid
- Sportbonden hebben meer poorten naar het internet openstaan dan noodzakelijk is. Het werkt hierbij net als thuis; ieder raam of deur te veel open, levert een onnodig verhoogd risico op inbraak.
- Sportbonden maken onvoldoende juist gebruik van zogenaamde HTTP security headers. Deze headers bieden onder meer waarborgen tegen het ongeautoriseerd ‘omleiden’ van berichtenverkeer en het overnemen van bestaande sessies van gebruikers. Je deelt je informatie dan niet langer met de betreffende sportbond, maar met iemand anders.
Reputatie
- Sportbonden maken onvoldoende gebruik van een DMARC record. Hierdoor zijn zij kwetsbaar voor het door onbevoegden versturen van mail uit naam van de betreffende bond. Dit wordt het zogenaamde e-mail spoofing genoemd. Hierdoor kunnen leden e-mails ontvangen, waarbij het lijkt alsof dit door de sportbond zelf verzonden is, terwijl dit niet het geval is.
Privacybescherming
- Sportbonden voldoen niet genoeg aan privacywetgeving omtrent cookies. Cookies zijn noodzakelijk op veel websites. Ze verhogen het gebruikersgemak. Uitzonderingen daargelaten, bepaalde cookies mogen uitsluitend worden geplaatst na expliciete goedkeuring van een gebruiker. Deze goedkeuring ontbreekt vaak nog, de cookies worden direct geplaatst. Daarnaast worden gegevens, vaak onbedoeld en onbewust, gedeeld met bijvoorbeeld de Verenigde Staten. Als gevolg van het recent wegvallen van het privacy shield met de Verenigde Staten welke zorgde voor extra bescherming, kan dit een issue zijn.
Voor de totstandkoming van deze benchmarkrapportage hebben wij beperkte OSINT-onderzoeken uitgevoerd voor de grotere sportbonden in Nederland. De uitkomsten hiervan hebben wij vertaald in een rapportage. In onderstaand rapport leest u alle uitkomsten van onze benchmark.
Hart voor de sport
Mazars heeft hart voor de sport en streeft naar het leveren van topprestaties. Wij hebben ruime ervaring in de sportwereld en bezitten over de juiste expertise en vaardigheden om uw organisatie te ondersteunen bij het beschikken over de juiste systemen, adequate managementinformatie en een goede beveiliging van intellectuele eigendommen, bedrijfsinformatie en persoonsgegevens.