14 februari staat sinds jaar en dag in het teken van de liefde. De dagen ervoor staan in het teken van het kopen van een cadeautje of cadeautjes voor een geliefde. Dit soort dagen, waarbij ook de websitebezoeken en het aantal online aankopen sterk toenemen, zijn ook populair bij cybercriminelen. Krijg je te maken met dit soort ongewenste online bezoekers, bijvoorbeeld doordat een kwaadwillende met gestolen gegevens inlogt, dan kun je maar beter een aantal voorzorgsmaatregelen hebben getroffen. Maatregelen om de criminele interesses zo snel mogelijk in de kiem te smoren.
Online shoppen
Online shoppen is het nieuwe normaal. Mede vanwege de lockdowns werden organisaties gedwongen te investeren in zaken als een website, webshop, een online portaal en apps. Alles om de klant ondanks de beperkingen toch efficiënt te kunnen bedienen. Keerzijde van deze ontwikkelingen is dat deze middelen toegang geven tot de grote liefde van menig cybercrimineel: data. Persoonlijke data zijn gewilde gegevens, oftewel het nieuwe goud. Met persoonlijke data ontstaan mogelijkheden zoals identiteitsdiefstal, fraude, chantage of het plunderen van een bankrekening. De hoogste tijd om ervoor te zorgen dat de cybercrimineel zijn liefde niet verklaart aan jouw data.
Train jouw medewerkers
Cybercriminelen maken dankbaar gebruik van nieuwe technologieën en marketingtechnieken. Ze weten dat wij beter reageren als een aanbod precies bij ons past. Je kunt jouw medewerkers wapenen tegen dit soort aanvallen met goede trainingen. Dat wil zeggen: trainingen waarmee ze echt beleven wat er gebeurt bij zo’n aanval. Tijdens zo’n crisissimulatie worden medewerkers geconfronteerd met bjivoorbeeld een ransomware-aanval. Wat doe je als jouw bedrijfskritische data ineens razendsnel wordt versleuteld? Of als cybercriminelen dreigen datasets met gegevens van jouw klanten te publiceren? Net als met een fysiek bedrijfsincident is snel handelen geboden om erger te voorkomen.
De kracht van herhaling
Alles wat je aandacht geeft groeit. Een brandoefening doe je ook vaker. Daarom is herhalen zeer verstandig. Niet alleen om kennis te maken met de nieuwe dreigingen, ook om scherp te blijven. Daarbij gaat het overigens niet alleen om phishingberichten. Wat te denken van cybercriminelen die bellen naar een helpdesk, zich als jou voordoen en proberen om zo jouw wachtwoord te laten resetten? Zo kunnen ze toegang tot jouw account krijgen en vervolgens tot bedrijfsgegevens. Hoe meer informatie er van je bekend is bij de cybercrimineel, hoe makkelijker het wordt om een helpdeskmedewerker te verleiden. Kortom, trainen, toetsen en testen.
Wees voorzichtig met toegangsrechten
Niet iedereen heeft de code van de kluis. Op dezelfde manier zou je idealiter om willen gaan met jouw bedrijfsdata. Zorg dat men alleen bij die data kan die nodig is. Dat noemen we Role-Based Access Control (RBAC). De marketeer hoeft bijvoorbeeld geen toegang tot de leveranciersadministratie of personeelsgegevens. Ook het opsplitsen van het netwerk in verschillende segmenten, zoals een netwerksegment voor de printers, een segment voor de administratie en voor gasten helpt. De cybercrimineel die dan toch binnenkomt, verdwaald dan al snel.
Bewaak de voordeur en zet er een goed slot op
Een wachtwoord alleen is niet meer genoeg om de toegang tot jouw IT te bewaken. Haast alle cyberaanvallen maken gebruik van gestolen of voorspelbare wachtwoorden. Daarom is het belangrijk om multifactor-authenticatie (MFA) in te stellen. Denk aan een app op de smartphone van jouw medewerkers. Als ze willen inloggen, moeten ze dat bevestigen via deze app. Zo zorg je dat jouw medewerkers iets weten (het wachtwoord) en iets hebben (de smartphone). Daarmee werp je een drempel op voor hackers.
Betrek medewerkers
Draagvlak is een belangrijk gegeven. Als men de context achter een maatregel begrijpt zal dat het adoptieproces versnellen. Dus ga je een cybersecuritymaatregel invoeren? Zorg dat jouw medewerkers meegenomen worden in het veranderproces en train hen in het gebruik! Juist tijdens de dagdagelijkse bezigheden beseffen we niet altijd welke gevaren er op de loer liggen. Bijvoorbeeld; we krijgen alleen een verzoek tot authenticatie op onze smartphone bij het inloggen. Zit je dus in een overleg en log je zelf niet in, maar krijg je wel een authenticatieverzoek? Dan is er dus iets aan de hand! Kortom, trainen, toetsen en testen.
Bewaak jouw beveiliging
Professionele cybersecurity vereist permanent aandacht. Ook op het hoogste niveau! Zorg er daarom voor dat cybersecurity ook regelmatig op de agenda van het directieoverleg staat. Cybersecurity is niet alleen een IT-feestje, maar moet gedragen worden binnen de hele organisatie. Het gaat immers om medewerkers, processen en technologie en raakt bovendien alle kritische bedrijfsprocessen. Daarnaast is het belangrijk dat er beleid wordt ontwikkeld en bewaakt. Denk daarbij aan beleid op het gebied van omgaan met bedrijfskritische data of op het gebied van informatiebeveiliging. Welke medewerkers hebben toegang tot welke data, op welke manier en met welke reden? Hoe wordt omgegaan met phishingmails? Welk proces wordt er gevolgd als een medewerker wel op een phishinglink klikt? Allemaal zaken die je graag inzichtelijk wil hebben voordat een cybercrimineel verliefd wordt op jouw data. Zo wordt cybersecurity een steeds grotere factor in het succes en de reputatie van jouw bedrijf.
Bewaak alle in- én uitgangen
Jouw bedrijfsnetwerk bestaat uit talloze verschillende apparaten en diensten. Steeds meer bevinden ze zich buiten de directe controle van het bedrijf: doordat mensen thuiswerken of doordat partnerbedrijven gekoppeld worden aan jouw netwerk. Om contact met klanten efficiënt te houden zijn er verschillende tools, denk aan apps, de webshop en een klantportaal. Laat bijvoorbeeld eens testen of er kwetsbaarheden in verborgen zitten. Op die manier krijg je inzage in de mate van veiligheid en zodoende ook in waar je als organisatie kwetsbaar bent.
Ga jij ook op blinddate met leveranciers?
Net als tijdens een eerste date wil je graag een goed gevoel bij jouw mogelijke partner. Wat is het voor persoon? Kan ik veilig met die persoon een avondje op stap? Of doet de persoon zich online anders voor dat in het echt? Zakelijk is dat ongeveer net zo. Is die ene leverancier echt ter goeder trouw en kun je met een gerust hart zaken doen of is het in feite de cybercrimineel? Hebben jouw leveranciers bijvoorbeeld de cybersecurity basis wel op orde? En heb je die risico’s en afhankelijkheden in kaart gebracht? Of kun je gerust zijn, want er zijn geen risico’s?
Voorkomen is beter dan genezen
Bovenstaande voorzorgsmaatregelen geven je handvatten om de cybercrimineel buiten de deur te houden. Wil je meer weten over preventieve maatregelen of detectie en response mogelijkheden? Neem dan contact op.
