Dreigingsprofiel: IT professional en sysadmin
Je beheert systemen van anderen. Dat maakt jou een aantrekkelijk doelwit — niet voor je eigen data, maar voor de toegang die je hebt. Jouw persoonlijke beveiliging is organisatiebeveiliging.
Dreigingsprofiel: IT professional en sysadmin
Dit profiel is voor sysadmins, DevOps engineers, developers, IT-beheerders en iedereen met bevoorrechte toegang tot systemen van anderen.
Het fundamentele verschil met andere profielen: jij bent geen eindpunt, je bent een schakel. Aanvallers zijn niet in de eerste plaats geïnteresseerd in jouw persoonlijke data — ze willen de toegang die je hebt tot systemen, infrastructuur, en data van anderen.
Dat maakt jouw persoonlijke beveiliging een professionele verantwoordelijkheid.
Dreigingsanalyse
Supply chain aanvallen Een gecompromitteerde sysadmin kan toegang geven tot honderden systemen. Aanvallers investeren meer in het targeten van IT-professionals dan in het direct aanvallen van systemen — het is efficiënter.
Social engineering is geavanceerder Aanvallers weten dat jij technisch bent. Ze impersoneren vendors, collega’s van IT-teams bij andere organisaties, of leveranciers. De phishing-mails die op jou gericht zijn, zijn geen platte “je pakket is niet bezorgd” varianten — ze imiteren Terraform Cloud alerts, GitHub security notifications, of tools die jij specifiek gebruikt.
Privilege creep Sysadmins krijgen rechten “even voor dit project” die nooit worden ingetrokken. Na een jaar heb je admin-toegang tot tientallen systemen waarvoor je de helft niet meer weet waarvoor ze dienen. Elke actieve credential is een aanvalsoppervlak.
Thuisnetwerk als aanvalspad Als jij SSH-toegang hebt tot productieomgevingen vanaf thuis, is je thuisnetwerk onderdeel van de aanvalsoppervlakte van je werkgever. Een gecompromitteerd thuisnetwerk is een lateraal pad naar de infrastructuur die jij beheert.
Checklist
Credentials en toegang
- Unieke wachtwoorden overal — een gedeeld wachtwoord tussen persoonlijk en werk is een directe aanvalsvector
- Hardware 2FA (YubiKey) voor alle kritieke systemen — phishing-resistent door design
- SSH keys beheren: weet welke keys actief zijn, gebruik altijd een passphrase, roteer regelmatig
- API tokens en secrets: sla op in een secret manager, nooit in .env-bestanden in repos
- Verwijder toegang actief als een project eindigt — wacht niet tot iemand het voor je doet
Scheiding werk en privé
- Gebruik een apart apparaat voor werk admin-taken, of minimaal een aparte browser-profile met aparte sessies
- Privé-browsen niet via dezelfde sessie als werk-infra-beheer
- Persoonlijke wachtwoordmanager niet gedeeld met werk-credentials — als je persoonlijk apparaat wordt gecompromitteerd, mag dat niet doorlekken naar werk
Thuisnetwerk
- VLAN-segmentatie thuis: IoT-apparaten (smart TV, camera’s, thermostaat) op een apart segment van werkverkeer
- Router firmware up-to-date — jij weet hoe, dus geen excuus
- DNS-filtering op thuisnetwerk (AdGuard Home, Pi-hole) — blokkeert ook malware-domeinen
- Als je VPN naar werkinfrastructuur hebt: de machine waarvandaan je dat doet moet schoon zijn
Code en repositories
- Scan repos op hardcoded secrets voor je pusht (truffleHog, git-secrets)
- Signed commits — niet alleen voor integriteit, ook voor non-repudiation
- Dependency audits — je bent verantwoordelijk voor wat je importeert
Incident response voor jezelf
- Weet hoe je snel credentials intrekt als je een apparaat verliest
- Heb een plan voor als je gehackt wordt: wie bel je, wat trek je in, in welke volgorde
- Documenteer je eigen toegangen — je zou nu moeten kunnen opnoemen welke systemen jij admin-rechten op hebt
Het principe van minste privilege — ook voor jezelf
De neiging om jezelf volledige toegang te geven “omdat het makkelijker is” is begrijpelijk. Maar het is ook een risico. Als je account wordt gecompromitteerd, bepaalt jouw eigen privilege-niveau hoeveel schade een aanvaller kan aanrichten.
- Gebruik root of admin-rechten alleen als het echt nodig is — dan de sessie sluiten
- Aparte admin-accounts voor beheertaken, dagelijkse account voor alles anders
- Least privilege geldt voor jezelf net zo hard als voor gebruikers die je beheert
NIS2 en Nederlandse context
De NIS2-richtlijn (van kracht in de EU vanaf oktober 2024) verplicht essentiële en belangrijke entiteiten tot aantoonbare beveiligingsmaatregelen. Als IT-professional bij een organisatie die onder NIS2 valt, draag je directe verantwoordelijkheid voor compliance.
Het NCSC (Nationaal Cyber Security Centrum) publiceert dreigingsanalyses en advisories specifiek voor Nederlandse sectoren — nuttig om bij te houden als je in kritieke infrastructuur werkt.
Tools
| Doel | Tool | Opmerking |
|---|---|---|
| Hardware 2FA | YubiKey | Voor kritieke systemen en SSH |
| Secret management | HashiCorp Vault / 1Password Secrets | Niet in .env in repos |
| DNS-filtering thuis | AdGuard Home / Pi-hole | Blokkeert ook malware-domeinen |
| Secrets scannen | truffleHog / git-secrets | Pre-push hooks |
| Netwerksegmentatie thuis | GL.iNet + OpenWrt / OPNsense | VLAN voor werk/privé/IoT |
| Veilige communicatie | Signal | Voor incident response met collega’s |
Zie ook:
- Dreigingsprofiel: hoog risico — voor de hoogste dreigingsniveaus
- YubiKey vs Nitrokey review — hardware authenticatie
- Netwerksegmentatie: VLANs thuis — thuisnetwerk hardening
- AdGuard Home review — DNS-filtering thuis
- GL.iNet Beryl AX review — voor netwerksegmentatie thuis