Cybercriminelen weren? Train je team & werp drempels op
Op dagen zoals Valentijnsdag, waarbij ook de websitebezoeken en het aantal online aankopen sterk toenemen, krijg je ook te maken met ongewenste online bezoekers. Bijvoorbeeld als een kwaadwillende met gestolen gegevens inlogt. Dan kun je maar beter een aantal voorzorgsmaatregelen hebben getroffen. Maatregelen om de interesse van cybercriminelen in de kiem te smoren, zodat deze snel voorbij is.
Online shoppen is de laatste jaren in een stroomversnelling gekomen. Ook vanwege de lockdowns werden organisaties gedwongen te investeren in zaken als een website, webshop, een online portal en apps. Alles om de klant ondanks de beperkingen toch efficiënt te kunnen bedienen.
De keerzijde van deze ontwikkelingen is dat deze middelen toegang geven tot de grote liefde van menig cybercrimineel: data. Persoonlijke data, zoals naam, adres, geboortedatum, e-mailadres en rekeningnummer zijn gewilde gegevens. Ze bieden mogelijkheden tot identiteitsdiefstal, fraude, chantage of het plunderen van een bankrekening.
Zo weten de meesten wel dat Pandora sieraden verkoopt. En het is waarschijnlijk dat je rondom Valentijnsdag misschien iets van hen kopen wil. De cybercrimineel denk dat ook, en heeft vorig jaar een Pandora-campagne nagemaakt en op die manier de potentiële doelgroep naar een fake-website www[.]pcharms[.]com gehaald. Terwijl Pandora het [.]com-domein niet heeft. De hoogste tijd om ervoor te zorgen dat cybercriminelen de liefde niet verklaren aan jouw data. Maar hoe?
1. Train je medewerkers
Cybercriminelen kijken niet alleen naar nieuwe technologieën, maar ook naar technieken uit marketing. Ze weten dat mensen beter reageren als een aanbod precies op hen is toegesneden. Je kunt je medewerkers wapenen tegen dit soort aanvallen met goede trainingen.
Dat wil zeggen: trainingen waarmee ze echt beleven wat er gebeurt bij zo’n aanval. Tijdens zo’n crisissimulatie worden medewerkers geconfronteerd met bijvoorbeeld een ransomware-aanval. Wat doe je als je bedrijfskritische data ineens razendsnel versleutelt? Of als cybercriminelen dreigen datasets met persoonlijke gegevens van jouw klanten te publiceren? Net als met een fysiek bedrijfsincident, is snel handelen geboden om erger te voorkomen.
Of wat te denken van een medewerker die per ongeluk klikt op een link in een phishingbericht en zijn gegevens invult. Daarnaast wil je trainingen die zijn afgestemd op het soort medewerker, want mensen denken en reageren verschillend.
Verder moeten je mensen geregeld op herhalingsoefening. Niet alleen om kennis te maken met de nieuwste dreigingen, maar ook om scherp te blijven. Daarbij gaat het overigens niet alleen om phishingberichten. Hoe meer informatie (of data) er van je bekend is bij de cybercrimineel, hoe makkelijker het voor hem wordt om een helpdeskmedewerker te verleiden. Het is dus ook belangrijk dat helpdeskmedewerkers getraind worden op dit soort social engineering-trucs.
2. Wees voorzichtig met toegangsrechten
Niet iedereen heeft de code van de kluis. Op dezelfde manier moet je ook zorgen dat waardevolle bedrijfsgegevens alleen toegankelijk zijn voor de mensen die ze daadwerkelijk nodig hebben. Dat noemen we Role-Based Access Control.
Ben je werkzaam bij de afdeling marketing, dan hoef je geen toegang tot de leveranciersadministratie of personeelsgegevens. Ook het opsplitsen van het netwerk in verschillende segmenten, zoals een netwerksegment voor de printers, een segment voor de administratie en een netwerksegment voor bijvoorbeeld de gasten, helpt. Mocht een cybercrimineel binnenkomen, dan kan hij maar bij een segment en loopt dan tegen een virtuele muur aan.
3. Zet een goed slot op de deur
Een wachtwoord alleen is niet meer genoeg om de toegang tot je IT te bewaken. Haast alle cyberaanvallen maken gebruik van gestolen of voorspelbare wachtwoorden.
Daarom moet je extra elementen toevoegen aan de toegangscontrole. Dat heet multifactor-authenticatie. Een goede optie is een app op de smartphone van je medewerkers. Als ze willen inloggen, moeten ze dat bevestigen via die app. Zo moeten ze dus iets weten (het wachtwoord) en iets hebben (de smartphone). Daarmee werp je een drempel op voor hackers.
Ga je zo’n maatregel invoeren, zorg er dan voor dat medewerkers meegenomen worden in het veranderproces en train hen in het gebruik! In de praktijk blijken medewerkers niet altijd te beseffen dat ze alleen een verzoek tot authenticatie krijgen bij het inloggen. Zit je dus in een overleg en log je zelf niet in, maar krijg je wel een authenticatieverzoek? Dan is er dus iets aan de hand!
4. Bewaak alle ingangen
Anno 2022 bestaat een bedrijfsnetwerk uit talloze verschillende apparaten en diensten. Steeds meer bevinden ze zich buiten de directe controle van het bedrijf, doordat mensen thuiswerken of doordat partnerbedrijven gekoppeld worden aan je netwerk. Of wat te denken van allerlei mooie fancy apps? Het ontwikkelen van een app kost tijd en geld.
Daarnaast willen de meeste Nederlanders bij voorkeur gebruikmaken van gratis apps en niet voor een app betalen. De combinatie van deze factoren brengt het risico met zich mee dat er bij de ontwikkeling van de app stukken code worden hergebruikt, zonder dat de herkomst van de code duidelijk is. Dat kan een app kwetsbaar maken voor hackers.
Tegelijk zijn die app, net als onder andere de webshop, het online portal, de router en de PC thuis, elementen die zijn verbonden met internet en dus kwetsbaar. Laat je apps, webshop en portal bijvoorbeeld eens pentesten. Met een pentest (voluit penetratietest genoemd) zoeken ethical hackers handmatig en geautomatiseerd op een zo breed mogelijke manier naar zwakheden in je IT-omgeving. Een pentest geeft dus inzage in de mate van veiligheid en zodoende ook in waar je als organisatie je kwetsbaar bent.
5. Kijk uit met wie je zakendoet
Net als tijdens een eerste fysieke date wil je graag een goed gevoel bij je mogelijke partner. Wat is het voor persoon? Kan ik veilig met die persoon een avondje op stap? Doet de persoon zich online anders voor dat in real life? Of is alles koek en ei? Steeds meer bedrijven willen weten of hun zakenpartners wel veilig werken. Logisch: als je miljoenen investeert in aandelen van een bedrijf, wil je niet het risico lopen dat de beurswaarde keldert door een cybercrisis.
Maar het speelt ook steeds vaker bij de keuze van leveranciers. Een cyberaanval kan immers weken duren en al die tijd wordt er niet geleverd. Bijkomend risico is bovendien dat als je toeleverancier geraakt wordt door een cyberincident, dit jou mogelijk ook kwetsbaar maakt. Los van deze directe schade heb je als organisatie ook nog te maken met naam- en reputatieschade. De Kamer van Koophandel, de politiewebsite met malafide handelspartijen maar ook een NEN 27001-certificaat of een branchespecifieke NEN-normering kunnen hier helpen om te bepalen of een organisatie in zekere mate betrouwbaar is.
Wapen je tegen cybercriminelen: bewaak je beveiliging
Professionele cybersecurity vereist permanent aandacht. Ook op het hoogste niveau! Zorg er daarom voor dat cybersecurity ook regelmatig op de agenda van het directieoverleg staat.
Allemaal zaken die je graag inzichtelijk wil hebben voordat cybercriminelen verliefd wordt op je data. Zo wordt cybersecurity een steeds grotere factor in het succes en de reputatie van je bedrijf.