Mogelijk heeft u gemist dat het vorige maand European Cyber security maand was. Het is belangrijk dat u zich bewust bent van de risico’s die uw organisatie loopt op het gebied van cyberveiligheid. Deze zijn doorgaans groter dan gedacht. De potentiele schade is aanzienlijk: deze wordt berekend op 500 miljard euro wereldwijd.
Naast een adequate inrichting van technische maatregelen tegen cyber aanvallen, zoals intrusion opsporing – en monitoring systemen, is het essentieel u en uw medewerkers op de hoogte zijn van de diversiteit aan cyberbedreigingen en wat eraan gedaan kan worden. Immers, u en uw medewerkers vormen de zwakste schakel en cybercriminelen weten dit.
Charco & Dique geeft praktische tips voor een goed werkend “human firewall’ in uw organisatie en nodigt u uit voor het doen van een IT quick scan.
Cyberbedreigingen zijn er in vele vormen en met verschillende doelen. Feit is dat hackers altijd de zwakste plek van de organisatie opzoeken voor hun criminele handelingen: wij als mensen zijn gemakkelijk te manipuleren. Phishing is lucratief, omdat het goedkoop is en de kans op slagen hoog. Inmiddels gaat het bij cyberaanvallen al lang niet alleen meer over het onderscheppen van een spookfactuur. Ook meer doordachte aanvallen vormen een reëel risico. Zoals het installeren van malware zonder uw weten die vervolgens uw bestanden corrumpeert, of het gebruik van uw identiteit om een phishing aanval voor iemand anders op te zetten.
Creëer awareness bij uw medewerkers
Meestal ligt de expertise van uw medewerkers niet op het gebied van cyber security. Dat hoeft ook niet. Wel is het van belang om op hoofdlijnen te weten welke bedreigingen bestaan en hoe deze kunnen voorkomen. Het verhogen van bewustzijn is via trainingen te organiseren. Ook is het mogelijk om een gespecialiseerd bedrijf te vragen een nep-phishing mail naar uw medewerkers rond te sturen. Van belang is dat bepaalde veiligheidsmaatregelen onderdeel van een gedragsautomatisme worden. Denk aan het ‘locken’ van de computer bij het tijdelijk verlaten van de werkplek, of het gebruik van opslagmedia anders dan bijvoorbeeld de persoonlijke USB-sticks. Bij een aanpak voor verbetering van informatiebeveiliging zal awareness integraal onderdeel moeten zijn.
Argwaan is goed
Iedere e-mail, Whatsapp, sms-bericht of telefoontje kan met argusogen worden bekeken als het gevoel bestaat dat deze het gedrag proberen te beïnvloeden. Zo is het beter als uw medewerkers een opdracht tot uitbetaling van een fors bedrag verifiëren bij hun leidinggevende voordat ze daadwerkelijk tot betaling overgaan.
Een phishing bericht kan op meerdere manieren worden herkend. Eén van de manieren is om kritisch naar het bericht en afzender te kijken. Aangezien deze tot doel hebben om iemand naar een malafide website te sturen, staat er meestal een link in het bericht. Check – zonder te klikken!- eerst de bron waar het bericht vandaan komt (controle op e-mailadres) – en wel specifiek het deel achter het @-teken. Daar zitten meestal de aanwijzingen dat het gaat om een malafide bericht.
Zorg voor wachtwoorden
Iedereen weet dat het niet verstandig is om hetzelfde wachtwoord voor meerdere websites te gebruiken. Toch is dit verleidelijk. Er zijn meerdere apps op de markt verkrijgbaar die wachtwoorden op een veilige manier voor u bewaren en bijhouden. Als uw telefoon gebruik maakt van vinger- of gezichtsherkenning, dan is dat ook in te stellen. Kijkt u eens naar de oplossingen van LastPass, 1Password of Dashlane.
Ook is het aan te bevelen om een sterke twee-factor authenticatie te implementeren voor bedrijfsapplicaties. Mocht uw wachtwoord toch gestolen worden, dan kan men daar niets mee zonder uw telefoon, token, vingerafdruk of combinatie hiervan. Maakt u gebruik van Office 365? Dan is het bijvoorbeeld eenvoudig door uw ‘administrator’ in de settings als functionaliteit toe te voegen. Vervolgens zijn geen aparte tokens nodig maar werkt het bijvoorbeeld prima met de app van Microsoft of die van Google (Authenticator).
Vermijd het gebruik van openbare Wifi
Telefoons of laptops zijn slimme apparaten die graag werk voor uit handen nemen. Zo onthouden ze ook de naam van het wifi-netwerk en, afhankelijk van uw instellingen, maken ze later automatisch opnieuw verbinding met dat netwerk. Helaas weten hackers dit ook en zetten juist op die plekken wifi-netwerken op. Daar waar de telefoon denkt in de Starbucks te zijn, kan in werkelijkheid verbinding worden gemaakt met internet via het wifi-netwerk van een hacker.
Gebruik liever de telefoon als hotspot, en surf via 4G. Nog veiliger is het om abonnement af te sluiten voor een VPN service. Hiermee wordt het dataverkeer via encryptie afgeschermd.
Up2date
Zorgt u er altijd voor dat de meest recente versies van applicaties geïnstalleerd zijn. Elk moment van de dag worden nieuwe virussen en malware uitgevonden die inspelen op foutjes in veelgebruikte software. Een phishing bericht maakt hier maar al te graag gebruik van. Leveranciers van software brengen vaak updates uit om dergelijke gaten in de beveiliging zo snel mogelijk te dichten, maar is hierbij wel afhankelijk of u deze ook werkelijk installeert. Veel bedrijven hebben hun IT en kantoorautomatisering uitbesteed. Heeft u hierover ook afspraken gemaakt met uw leverancier? Wat staat er precies in uw Service Level Agreement?
Wettelijke kaders
Uiteraard zijn er meer tips en adviezen met betrekking tot cyber security en informatiebeveiliging. Ook vanuit wet- en regelgeving zijn er normen waar uw organisatie aan moet voldoen. Denk hierbij aan het hebben van een informatiebeveiligingsbeleid, -plan en risicoanalyse, en het ‘ in control’ zijn van processen met een security component. DNB heeft al enige tijd de good practice informatiebeveiliging voor vergunninghouders. In mei 2019 heeft de AFM een marktconsultatie met principes voor informatiebeveiliging uitgevoerd.
Onze IT Quick Scan
In samenwerking met een expert op het gebied van informatiebeveiliging, (cloud) uitbestedingen en IT Beheersing hebben wij een IT Quick Scan ontwikkeld. Door middel van een korte vragenlijst, aangevuld met enkele interviews heeft u al na één dag een indruk van uw mate van compliance op het gebied van IT en Informatiebeveiligingsvereisten. Op basis van de praktische adviezen die daaruit volgen, kunt u passende maatregelen nemen.