Cybersecurity: een kwestie van basismaatregelen

Liesbeth Holterman 2020

(Door Liesbeth Holterman, Cyberveilig Nederland) Cybercriminaliteit is een wereldwijd verdienmodel geworden. Op het dark web kun je kant-en-klare programma’s aanschaffen om een website plat te leggen. Volgens de FBI wordt er momenteel meer geld verdiend met cybercriminaliteit dan in de wereldwijd georganiseerde drugshandel. Het CBS meldt in haar veiligheidsmonitor 2019 dat in Nederland cybercrime de traditionele vormen van criminaliteit heeft ingehaald. Cyberincidenten vormen het grootste bedrijfsrisico (39 procent), aldus de Allianz Risk Barometer 2020. Kortom, cybercriminaliteit is een industrie geworden met diepe zakken, eigen R&D-activiteiten en verregaande professionaliteit.

De financiële sector in Nederland is al jarenlang een interessant doelwit voor cybercriminelen. Waar in eerste instantie vooral de banken een interessant doelwit waren (denk aan internetbankieren), zijn dat nu ook steeds meer kleine(re) bedrijven in de sector. Het is de data die deze bedrijven tot een aantrekkelijk doelwit maakt, en niet de bedrijfsomvang. En door de hoeveelheid aan persoons- en bankgegevens is de sector een interessant doelwit. Tel daarbij op dat de meeste ondernemingen een geringe bedrijfsomvang hebben, met weinig eigen cybersecurity expertise, maar wel erg afhankelijk zijn van IT-systemen. Volgens verzekeraar Hiscox staat de financiële dienstverlening dan ook op de tweede plaats van meest getroffen sectoren als het om cybercriminaliteit gaat. Gemiddelde schade: 149.000 euro. Het is dus belangrijk om minder kwetsbaar te zijn voor cybercriminelen. En cybercriminelen werken net zoals inbrekers. Ze kiezen het liefst een bedrijf waar ze de deur niet hoeven forceren en snel weer weg zijn met de buit. Postbus 51 zei het jaren geleden al: ‘Voorkomen is beter dan genezen.’ Zo geldt het ook voor cybersecurity. Wanneer je de juiste voorzorgsmaatregelen (preventie) neemt, ben je uiteindelijk beter uit dan wanneer je als organisatie de gevolgen van een cyberincident moet oplossen. Als organisatie, groot of klein, zijn er een aantal basismaatregelen die je al snel minder kwetsbaar maakt. Een aantal van de belangrijkste maatregelen zijn:

Inventariseer de risico’s in relatie tot je business

Bij het beschermen van data en informatiesystemen is het belangrijk dat je nadenkt over de risico’s in relatie tot je business. Om deze goed in te kunnen schatten zijn drie aspecten van belang. Vertrouwelijkheid, je moet bijvoorbeeld persoonsgegevens afschermen. Integriteit, kun je erop vertrouwen dat de gegevens correct zijn? Denk bijvoorbeeld aan bankrekeningnummers waarvan je niet wilt dat deze worden veranderd. En als derde beschikbaarheid. Hoe erg is het als je systeem uitvalt? Kun je dan nog doorwerken?

Maak medewerkers bewust van de do’s en dont’s op het internet

Bewustwording is heel belangrijk. Je hoeft niet heel veel te weten over cyberrisico’s, maar je moet je er wel van bewust zijn dat er risico’s zijn en hoe deze te voorkomen. Is het bijvoorbeeld zo dat werknemers op hun werktelefoon of tablet van alles mogen downloaden? Hierdoor ontstaat het risico op een datalek omdat er regelmatig apps tussen zitten, waarvan in de voorwaarden staat dat ze toegang hebben tot je adressenlijst en andere informatie op je apparaat. Herkennen je medewerkers een phishing-mail? Controleren zij bijvoorbeeld de links in e-mails, of de afzender? Is meerfactoridentificatie ingesteld om te voorkomen dat CXO-fraude mogelijk is? Zorg voor permanente training van je medewerkers om het bewustzijn hoog te houden en oefen dit regelmatig.

Zorg voor goede back-ups

Financieel dienstverleners hebben veel data waar ze mee werken. Hierdoor zijn financiële dienstverleners extra kwetsbaar voor bijvoorbeeld een ransomwareaanval. Ransomware (‘gijzelsoftware’) is kwaadaardige software waarbij een slachtoffer afgeperst wordt, nadat de digitale systemen of bestanden met een code op slot zijn gezet. De aanvaller biedt de code tegen losgeld aan, zodat het slachtoffer er weer bij kan. Door een goede, recente (offline) back-up wordt de schade die een ransomware kan aanrichten minimaal. Zorg er dus voor dat van je belangrijkste gegevens en documenten back-ups gemaakt worden. Mochten er toch persoonsgegevens verloren gaan, dan heb je mogelijk een datalek. Dat moet je melden bij de Autoriteit Persoonsgegevens.

Voer updates uit

Producenten van software zijn doorlopend bezig om hun producten veiliger te maken. Ontdekte kwetsbaarheden of een betere beveiliging worden via updates aangeboden. Dit zijn security patches. Cybercriminelen maken vaak gebruik van al bekende kwetsbaarheden om binnen te komen. Installeer dus in elk geval altijd direct de meest recente patches zodat je organisatie zo goed als mogelijk beveiligd is.

Kies veilige instellingen

De software die systemen aanstuurt (zoals bijvoorbeeld voor Windows10) wordt met standaard instellingen geleverd. Sommige van deze instellingen zijn niet veilig. Controleer dus altijd de instellingen van je apparatuur, software en netwerk- en internetverbindingen. Pas altijd de standaardinstellingen aan en kijk kritisch naar functies en diensten die automatisch ‘aan’ staan, want misschien heb je ze niet nodig en kun je ze ‘uit’ zetten.

Gebruik antivirus

Malware is kwaadaardige software die computersystemen verstoort, informatie verzamelt of versleutelt. Er zijn verschillende manieren waarop malware toegang krijgt tot een computer, smartphone of netwerk. Een gebruiker kan een geïnfecteerde e-mail (of bijlage) openen, een foute website bezoeken of een besmet bestand via bijvoorbeeld een USB-stick openen. Zodra de malware binnen is, verspreidt het zichzelf daarna als een

Cyberveilig nederland

Cyberveilig Nederland is dé belangenorganisatie voor cybersecurity bedrijven in Nederland. We brengen transparantie aan in de sector door de ontwikkeling van een gedragscode en keurmerk. We nemen actief deel aan het publieke debat en zien cybersecurity niet alleen als een risico, maar juist ook als een kans om Nederland te positioneren als een land dat veilige producten en diensten voortbrengt. We gaan het gesprek aan met de overheid en andere strategische partners om onze kennis en kunde van het cybersecurity werkveld voor het grotere belang in te zetten. We brengen verbindingen tot stand, tussen cybersecurity bedrijven onderling, maar ook brengen we vragers en aanbieders samen. We praten met de overheid en politiek om (toekomstige) knelpunten weg te nemen die de digitale weerbaarheid van Nederland in de weg staan. Maar vooral: we doen! We zijn initiatiefnemer en uitvoerder van het Cybersecurity Woordenboek, waarbij ruim 600 cybersecurity termen door professionals verzameld zijn en in begrijpelijk Nederlands zijn opgeschreven (download gratis via www.cyberveilignederland.nl/woordenboek ).

olievlek naar andere apparaten en/of gebruikers. Om je netwerk en je systemen veilig te houden is het belangrijk om antivirussoftware te hebben. Antivirus kan virussen identificeren, tegenhouden en bestaande virussen verwijderen.

Beperk autorisaties

Bepaalde medewerkers binnen de organisatie, zoals de administrator, hebben vaak zeer uitgebreide bevoegdheden om veranderingen aan te brengen op systemen en binnen applicaties. Voor cybercriminelen is het dus zeer interessant om toegang te krijgen tot dit type gebruiker. Zorg daarom dat je zo min mogelijk administrator rechten geeft aan gebruikers en dat je dit account zeer goed beschermt.

Maak heldere afspraken met toeleveranciers, zoals je cloud leverancier

Welke afspraken heb je gemaakt met anderen over digitale veiligheid? Wat betekent het voor jou als een ander een dienst niet kan leveren waar jij afhankelijk van bent? Hoe kwetsbaar ben jij dan? Voor financiële adviseurs geldt dit in toenemende mate voor cloud leveranciers. Denk vooraf na over welke informatie je in de cloud wilt zetten, wie daarbij mag en onder welke voorwaarden. Maak ook duidelijke afspraken en leg verantwoordelijkheden vast. Vragen die in ieder geval beantwoord moeten worden door de cloud leverancier zijn: wordt mijn informatie versleuteld? Wie kan er bij mijn informatie? Welke maatregelen worden getroffen om die veiligheid te garanderen en wie controleert dat? Al deze vragen zijn relevant omdat jij altijd controle moet houden over de informatie. Niet alleen omdat je die nodig hebt om te ondernemen, maar ook omdat je je hebt te houden aan wet en regelgeving (bijvoorbeeld de Algemene Verordening Gegevensbescherming).

Liesbeth Holterman: ‘Voorkomen is beter dan genezen.’

Deel ervaringen met elkaar

De eenvoudigste maatregel is het belang van het delen van ervaringen met elkaar. Daarom mijn oproep aan iedereen die zelf slachtoffer is geworden of slachtoffers kent: praat er over. Nog steeds durven maar weinig organisaties openlijk te praten over hetgeen hun is overkomen. Terwijl anderen juist kunnen leren van je incident. Alleen op deze manier voorkomen we dat slachtoffers zich slachtoffer blijven voelen. Wanneer we er een aantal kunnen voorkomen door open te zijn verspreid zich dit als een olievlek en daar worden we allemaal beter van. Zolang de slachtoffers niet openlijk durven te praten over hun ervaringen over de impact van een cybersecurity incident is de financiële sector onaanvaardbaar kwetsbaar. En daar wordt niemand beter van.

Reactie toevoegen

Meer over

Ondernemers beschermen met drietrapsraket

(Kennisartikel Avéro Achmea VVP-special Cyber) Het MKB leunt wat achterover als het om cyberdreiging gaat. Nog geen kwart van de ondernemers maakt...

Dé cyberadviseur van Nederland

(Voorwoord Willem Vreeswijk VVP-special Cyber) Cybercriminaliteit en bedrijfsstilstand worden door ondernemers gezien als belangrijkste ondernemersrisico, zo bleek...

Koudwatervrees niet nodig bij advisering over cyberverzekeringen

(Kennisartikel Turien & Co. VVP-special Cyber) Regelmatig horen onze accountmanagers: ‘ja, daar moeten wij binnenkort wel wat mee doen’, als zij...

Pak als adviseur rol bij beheersen cyberrisico’s

Cyberrisico’s zijn reëel, als financieel adviseur ben je het daarom aan je stand verplicht over deze risico’s met de klant in gesprek te gaan....

Kijk naar de inhoud in plaats van de prijs

(Door Bram Grundmeijer, Klap) Klap verwacht dat cyber tot de kern gaat horen van het verzekeringslandschap. Nu wordt cyber vaak nog als cross-sell mogelijkheid...

Goede manieren om je organisatie te wapenen tegen hackers

(Door Maria Genova) Bedrijven kunnen op veel manieren gehackt worden en dat gebeurt ook dagelijks. Volgens hackers zijn er slechts twee soorten bedrijven: bedrijven...

“Cyber is een nieuw risico dat we samen moeten oppakken”

(Kennisartikel Hienfeld VVP-special Cyber) Over een aantal jaren is een cyberpolis even ingeburgerd als een verzekering voor beroeps-en bestuurdersaansprakelijkheid,...

“Dit gebeurt mij niet”

“Impact cyberrisico’s nog altijd onderschat”, “Informatiebeveiliging in de gehele keten nog onvoldoende beheerst”, “De kwaliteit...

Cybersecurity: een kwestie van gezond verstand en discipline

Als je het over cybersecurity hebt, zijn begrippen als malware, phishing, ransomware en hacks doorgaans het eerste waar je aan denkt. Op zich logisch, want daarover...

Cyberalerts!

De ontwikkelingen bij informatiebeveiliging en cybersecurity gaan snel. VVP zet een aantal trends op een rij: Cyberalerts! In deze VVP Special Cyber veel aandacht...

Events

VVP Vakevent Inkomen 2024

2 juli 2024 - 2 juli 2024

Lees meer

Finale VVP Advies Award 2024

1 oktober 2024 - 1 oktober 2024

Lees meer

Quote van de dag

Het was een enorm voorrecht om leiding te geven aan Klap en ik ben ongelooflijk trots op wat we hebben bereikt.

Jorg Roodbeen gaat van Klap naar moeder Ardonagh Nederland

Stelling

CFD adviseert terecht om niet te werken met een fijnmazig gemiddelde

Laatste reacties

Recente editie

VVP 2-2024 introduceert nieuwe gezichten in die o zo leuke rubriek ‘Uit de adviespraktijk’: Christian Dijkhof (Dijkhof & Partners, HypotheekCompany, OvFD), Thomas van Uunen (Thomas verzekert) en Dorthe Verheijden (Bij Verheijden). “Er is zoveel wat beter kan”, aldus Dorthe.

Adfiz-directeur Enno Wiertsema neemt het op tegen ChatGPT. “Zou u boarden in een vliegtuig dat uitsluitend door AI-technologie wordt bestuurd?”

Het vrouwenquotum mag ambitieuzer en zeker breder, zegt Pascale van Heugten (La Confiante) in de rubriek ‘Vrouw & Advies’. Sanne Geerts vertelt hoe Geerts verduurzaamt.

In de praktijkrubriek Ken je vak! onder meer AI in de adviespraktijk, aan de slag met zorgplicht, een eerste bespreking van het OCTAS-rapport en aandacht voor de problematiek van de duurzame drager.

In het katern Pensioen & Vermogen verslagen van de kennissessies op het gelijknamige VVP-event van 19 maart. Uiteraard ook aandacht voor de algemene inleidingen door Theo Gommer ( “Verplichtstelling afschaffen en pensioenplicht invoeren”) en Hubrien Meijaard (‘Kies voor écht duurzaam beleggen”).

Bekijk de inhoud

Special Duurzaam Advies

Duurzaamheid is een onderdeel van modern ondernemerschap. Iedere adviseur zal actie moeten ondernemen. Aldus Kees Dullemond (INSVER) in de special Duurzaam Advies 2024, een nauwe samenwerking van VVP en het instituut voor verduurzaming van de financiële sector. De special barst van de tips, praktijkinfo en handige checklists om verduurzaming in het eigen bedrijf vorm te geven én om de klant aan het verduurzamen te krijgen.

Adviseurs Mieke Dadema, Thomas Paardekooper, Alexander Vugts, André Vugts en Paul Burger vertellen hoe zij duurzaam advies in de praktijk brengen. “Duurzaamheid draait om duurzame relaties”, aldus Dadema.

Verder bijdragen van onder meer Adfiz (‘Advies kan duurzaam gedrag verbeteren”), Fred de Jong (“Duurzaam advies aan mkb is integraal”) en het Verbond van Verzekeraars (“Deze transitie gaat alle klanten raken”).

In een rondetafel stellen kennispartners AnsvarIdéa/Turien &Co.,Evi Van Lanschot, INSVER, MainPlus, Obvion: “De wereld verandert, dat is een gegeven, maar wij kunnen nu samen al de richting bepalen.”

Bekijk de inhoud

Nieuwsbrief

Wil je op de hoogte blijven van het laatste nieuws? Meld je dan hier aan voor de nieuwsbrief!