Het kan jouw eigen pc zijn waarop, zonder dat je het merkt, ransomware wordt geïnstalleerd. En dat is slecht nieuws voor jouw organisatie want de gevolgen kunnen enorm zijn. Wanneer de cybercriminelen die ransomware in werking zetten, worden alle gegevens razendsnel versleuteld. Niet alleen op jouw pc, maar op elke computer van jouw organisatie die besmet raakt.
Niemand kan meer werken, en zonder spreadsheets, mailtjes, rapporten of databases valt een groot deel van de organisatie stil. Ondertussen verschijnen de ultimatums. Data terug? Dan moet je losgeld betalen. Het is net als een ontvoering, en even gewetenloos.
Veel organisaties zijn wekenlang knock-out door zo’n aanval. Want zelfs als je toegeeft, duurt het ontsleutelen eindeloos. En vaak werkt het maar gedeeltelijk.
Zwaktes
Het is duidelijk: ransomware moet je buiten de deur houden. Toch weten de criminelen binnen te dringen, keer op keer. Bij kleine organisaties en ook bij heel grote. Een van de manieren is door zich te richten op de factor mens.
De cybercriminelen weten precies hoe ze in kunnen spelen op onze zwaktes. Onachtzaamheid, haast, zuinigheid en gemakzucht worden uitgebuit om ransomware en andere gevaarlijke software binnen te smokkelen. Hieronder geven wij enkele voorbeelden.
Updates
Kees zit in de keuken achter zijn laptop. Hé, een melding van Microsoft over een update! Er staat dat het kritisch is. Maar Kees zit voor een deadline, dus klikt hij de melding snel weg.
In de daaropvolgende dagen gebeurt dat nog een paar keer. Maar intussen wordt er wel iets anders geïnstalleerd: ransomware. Via de softwarefout die de update moest verhelpen.
Freeware
Communicatiemedewerkers kunnen goed hobby’en. Neem Louise: ze heeft allerlei tooltjes op haar pc. Grafische software, tools voor nieuwsbrieven en enquêtes, noem maar op. Veel daarvan gebruikt ze maar af en toe, dus het mag eigenlijk geen geld kosten. Gelukkig heeft ze online veel freeware kunnen vinden, om maar te zwijgen van de gratis webservices.
Maar gratis bestaat niet. Zo’n handig tooltje kan heel goed software van criminelen bevatten. En dan wordt de prijs voor het bedrijf van Louise heel hoog.
Zoontje
Veel organisaties hebben een stevige beveiliging op hun laptops. Vreemde software komt er niet binnen. Maar Roelof vindt de pc van de baas lastig en en traag. Zijn privécomputer werkt veel sneller en fijner. Hij komt nooit op gevaarlijke websites, dus zet hij met een gerust geweten de bedrijfsdata over.
Maar terwijl hij boodschappen doet, gaat zijn zoontje websurfen op pappa’s computer. Die is niet zo voorzichtig. De gevolgen zijn rampzalig.
Wachtwoord
‘Nee hè! Alweer een nieuw wachtwoord.’ Lucien is niet blij. Dat gedoe altijd. Elke drie maanden moet hij zijn wachtwoord voor het bedrijfsnetwerk vervangen. Daar gaat hij dus niet meer tijd aan verspillen dan nodig is: MotoGuzzi4 wordt MotoGuzzi5. Zo, klaar.
Wat hij niet weet, is dat een hacker op datzelfde moment Luciens Facebook-pagina zit te bekijken. Vol met foto’s van zijn motorfiets: merk Moto Guzzi. En die avond wordt Luciens bedrijfsaccount gehackt.
Wat doe je er aan?
Hoe maak je al die mensen wijzer? Om te beginnen moeten ze weten waar de gevaren liggen. Dus hoort cyberveiligheid aandacht te krijgen in het personeelshandboek. Maar dat zal niet genoeg zijn.
Moet je het dan maar verplicht stellen? Dat is makkelijker gezegd dan gedaan. Want hoe controleer je dat? En de kans is groot dat mensen juist de kont tegen de krib gooien.
Trainen
De beste optie is simuleren: organiseer trainingen die gebaseerd zijn op gegevens over echte aanvallen. Simuleer een crisis, al is het maar op papier. Laat de medewerkers nadenken over de gevolgen voor de organisatie. En doe dit niet één keer, maar regelmatig, want kennis en aandacht verslappen mettertijd.
Uiteraard komt daar wel het een en ander bij kijken. Je kunt een training niet twee keer op dezelfde manier geven. Hij moet ook afgestemd zijn op de doelgroep: een monteur heeft immers niets aan testvragen over facturen. Hij heeft een training nodig die aansluit op zijn werk en zijn denkwijze.
Een simulatie kan ook de vorm hebben van een phishing-campagne: dan stuur je de medewerkers nepmailtjes toe, net zoals hackers dat doen. Wie gaat er klikken op de link in het mailtje? Wie maakt er melding? Werkt het proces?
Zo zijn er allerlei mogelijkheden. Hoe realistischer, hoe beter. Want de praktijk is de beste leermeester. Als je eenmaal hebt meegemaakt wat de gevolgen zijn van een echte ransomware-aanval, kijk je de volgende keer echt beter uit. Maar dan is het leergeld wel erg hoog.
