Cybersecurity: een kwestie van gezond verstand en discipline

Als je het over cybersecurity hebt, zijn begrippen als malware, phishing, ransomware en hacks doorgaans het eerste waar je aan denkt. Op zich logisch, want daarover lees en hoor je ook het meest. Veel minder aandacht gaat uit naar andere, minstens zo belangrijke zaken die ook nauw samenhangen met cybersecurity. VVP sprak met Jeroen Smit, Chief Technology Officer bij de Nationale Hypotheekbond, over de vele alledaagse risico’s en wat we zelf kunnen doen aan beveiliging van data. Vaak heel simpel, maar het vraagt het wel om discipline.

Smit: “Om met de deur in huis te vallen, het gaat bij cybersecurity globaal over de volgende zaken: beveiliging, wachtwoorden, updates, back-ups, systeemkeuze, providerkeuze, databeveiliging en welke impact het heeft als data op straat komen te liggen of geblokkeerd worden door kwaadwillende cybercriminelen.”

Wat Smit wil zeggen, dit zijn zaken waar je zelf veel aan kunt doen. Daarbij komen nog zaken als falende apparatuur, of gedrag van collega’s dat de organisatie schaadt. “Denk aan de medewerker die het klantenbestand per ongeluk wist, terwijl er geen back-up van is, of de bekende USB-stick die in de trein blijft liggen. Ook daar is het nodige tegen te doen, mits je goede afspraken maakt en je je er vervolgens ook aan houdt. Zonder discipline is er schijnveiligheid.”

Een simpel voorbeeld toont aan hoe snel het verkeerd kan gaan. Veel ondernemers maken regelmatig een back-up, maar als deze back-up vervolgens in een kluis op kantoor wordt bewaard loop je nog steeds het risico dat bij brand alle data verloren gaan. Of de backup die in de auto ligt en wordt gestolen, dat levert mogelijk een groot datalek op. “Allemaal zaken waar je grondig over moet nadenken en vervolgens consequent moet uitvoeren. Ik zou er sowieso voor kiezen om alle data realtime in de cloud te bewaren. Dan heb je daar geen omkijken naar. Het gekke is dat iedereen dat wel weet, maar niet iedereen dat ook doet.” En dat terwijl volgens Smit de grote clouddiensten zeer betaalbaar en ongelofelijk veilig zijn, zeker als je er een kiest die onder EU-regelgeving valt.

Voordeur consequent op slot

Hoewel veel van de risico’s van binnenuit komen, wil Smit de risico’s van buiten zeker niet bagatelliseren: “Die zijn er zeker en op bepaalde gebieden zijn de aanvallen geautomatiseerd. Je hoort regelmatig van ondernemers dat ze zijn getroffen door ransomware of phishing mails. Dat zijn geen gerichte aanvallen zoals waar grote ondernemingen mee te maken kunnen krijgen, maar veelal programma’s die op het web zoeken naar lekken in jouw beveiliging. Zie het als iemand die even kijkt of je voordeur op slot zit, en dan naar de vol gende deur gaat. Consequent de voordeur op slot doen is de oplossing. Veel ellende is dus al eenvoudig te voorkomen als je je beveiliging maar op orde brengt en ook houdt.”

‘Zonder discipline is er schijnveiligheid’

Dan de risico’s van binnenuit, welke onderscheid je? Smit: “De ISO-standaard met betrekking tot beveiliging kent drie aandachtsgebieden: beschikbaarheid, integriteit en vertrouwelijkheid. De eerste, beschikbaarheid, gaat over de vraag: kan ik bij mijn data komen, heb ik nog toegang? Denk aan uitval van systemen, brand of ook ransomware. De tweede, integriteit, gaat over de vraag hoe je voorkomt dat de data niet corrupt raken, of ten onrechte worden aangepast. Dat heeft te maken met de software, maar ook met de rechten die je collega’s toekent om de data te benaderen of te bewerken. En dan rest vertrouwelijkheid, zijn mijn data veilig en liggen ze niet op straat? Wie is bevoegd ze in te zien?

Dat risico zit een klein hoekje, bijvoorbeeld een gerichte mailing aan klanten over de aanpak van hypotheken die onder water staan die wordt verzonden via de cc en niet via de bcc. Dat mag niet gebeuren, je geeft niet alleen prijs wie je klanten zijn, maar lekt ook informatie over de financiële situatie van deze klanten. Daar kun je een hoop gedoe mee krijgen!”

Fysiek gescheiden

De drie hoofdgroepen zijn duidelijk, beschikbaarheid, integriteit en vertrouwelijkheid. Wat kunnen we volgens Smit doen om ons op deze vlakken te beveiligen? “Qua beschikbaarheid: zorg dat je goede back-ups hebt, het liefst op fysiek gescheiden locaties, zodat je altijd bij je data kunt. Bijvoorbeeld via een standaard cloudoplossing. Dan is het vaak veel beter geregeld dan je het zelf zou kunnen organiseren.

“Bij integriteit gaat het erom dat je data kloppen en niet ten onrechte vervuild raken door er verkeerde gegevens aan toe te voegen of onterechte mutaties. Beschrijf heel goed wie welke rechten heeft om ze in te zien, te muteren, verplaatsen en welke controles daarop plaatsvinden. De onervaren stagiair kan zomaar twee bestanden verkeerd koppelen. Ook hier zijn recente back-ups van belang voor als het toch misgaat. Dan zijn de juiste gegevens terug te zetten.

“Ook op het gebied van vertrouwelijkheid is er veel zelf te doen. Gebruik voor alle systemen en programma’s verschillende wachtwoorden, laat de wachtwoorden niet rondslingeren, schrijf ze niet allemaal in een notitieboekje dat in je lade ligt, plak ze niet op de computer. Dat is hetzelfde als een touwtje uit je voordeur.

Ook kun je instellen dat je meerdere malen per dag moet inloggen of dat je computer automatisch blokkeert als je een bepaalde tijd niet actief bent. Beveilig USB-sticks en laptops goed met wachtwoorden. Je kunt ook per medewerker de toegangsrechten tot systemen vastleggen. Allemaal zaken om te zorgen dat je data vertrouwelijk blijven. Zorg er ook voor dat je systemen altijd up-to-date zijn, de besturingssystemen van je computers maar ook van de zakelijke mobiele telefoons, zo ben je verzekerd van de laatste beveiligingen. Dus klik die update waarschuwing niet weg en stel automatisch updaten in waar mogelijk. Maak gebruik van tweestapsverificatie. Het zijn allemaal kleine stappen die samen veel opleveren. Ontwikkel hier goed beleid voor en zorg dat het wordt nageleefd, het draait immers om de discipline dat beleid ook echt uit te voeren, anders is het een papieren tijger. Spreek je collega’s daar ook op aan en leg ze het belang ervan uit. Of haal gewoon eens een grap uit bij een collega die zijn scherm niet vergrendeld heeft, dat blijft vaak beter hangen!”

De ontwikkelingen gaan snel en je kunt bijna onmogelijk alle relevante informatie bijhouden. Het is volgens Smit daarom raadzaam om als organisatie tijd te reserveren om hiermee bezig te zijn. Smit: “De vraag is natuurlijk, wil je als adviseur met je klanten of met je systemen bezig zijn? Ik denk het eerste, maar het laatste is ook van groot belang. Heb je er zelf te weinig tijd of kennis voor kijk dan naar een partij die je kan ontzorgen. Houd iedereen scherp en zorg dat de aandacht niet verslapt. Wees alert en gedisciplineerd. Dat voorkomt veel ellende.”

Reactie toevoegen

Meer over

Tanden zetten in thema’s klimaat, cyber en letselschade

In een Tour d’Horizon met Verbondsdirecteur Richard Weurding bespreekt VVP in VVP 6 de belangrijkste uitdagingen voor de financiële sector. Wat er nu...

Branche-initiatief Actief Klantbeheer positief over AFM-principes

De negen partijen verenigd in het branche-initiatief Actief Klantbeheer zijn positief over de AFM-principesdoorlopende ondersteuning van klanten en zien de principes...

Perfect Day voorziet meer cyberaanvallen via ketenpartners

Phishing e-mails worden nog lastiger te onderscheiden en meer cyberaanvallen via ketenpartners. Dat zijn enkele van de trends die Perfect Day ziet op cybervlak....

Waar blijft de Bitcoin-polis?!

(Uit Katern Cyber in VVP 5-2021) Cryptogeld rukt op. Maar waar blijft de Bitcoin-polis?! Of is zo’n verzekering misschien helemaal niet zo’n goed idee?...

Adviesalerts! Cyber

(Uit Katern Cyber in VVP 5-2021) Welke ontwikkelingen zijn er bij cyberrisicomanagement en cyberverzekering? VVP praat u bij middels een aantal adviesalerts! Het...

Serie Actief Klantbeheer, deel 11: mensen helpen, juist ook in slechte tijden

Er komen tal van wijzigingen af op huiseigenaren die gevolgen kunnen hebben voor de betaalbaarheid van de hypotheek. "Het is dan ook van belang om klanten op tijd...

Doe mee aan onderzoek 'Beste Geldverstrekker 2021' (advertorial Nationale Hypotheekbond)

Door uw stem uit te brengen maakt u duidelijk welke aspecten van hypotheken voor u en uw klant belangrijk zijn. We gebruiken uw input om met geldverstrekkers in...

Hypotheek met duurzaamheidskorting levert oversluiter hoogste besparing op

Van 107.191 onderzochte dossiers levert oversluiten voor één op de vier een netto besparing op. In bijna 40 procent van de gevallen realiseert de consument...

Serie Actief Klantbeheer, deel 10: van modern visitekaartje naar slim actief beheer

"Wie weet wat er loopt bij z’n relaties en daar proactief op inspeelt, blijft ertoe doen: er valt wat te besparen op de hypotheek, het verzekeringspakket...

Groen licht voor opleiding Actief Klantbeheer

De opleiding Actief Klantbeheer gaat na een geslaagde pilot officieel op 2 december 2021 van start. De opleiding is ontwikkeld in het kader van het initiatief...

Events

VVP Vakevent Inkomen 2024

2 juli 2024 - 2 juli 2024

Lees meer

Finale VVP Advies Award 2024

1 oktober 2024 - 1 oktober 2024

Lees meer

Quote van de dag

Je kunt je hele leven door rood rijden maar dat betekent niet dat het dan legaal is.

Adviseur Dorthe Verheijden in VVP 2

Stelling

Wet toekomst pensioenen niet meer ter discussie stellen

Laatste reacties

Recente editie

VVP 2-2024 introduceert nieuwe gezichten in die o zo leuke rubriek ‘Uit de adviespraktijk’: Christian Dijkhof (Dijkhof & Partners, HypotheekCompany, OvFD), Thomas van Uunen (Thomas verzekert) en Dorthe Verheijden (Bij Verheijden). “Er is zoveel wat beter kan”, aldus Dorthe.

Adfiz-directeur Enno Wiertsema neemt het op tegen ChatGPT. “Zou u boarden in een vliegtuig dat uitsluitend door AI-technologie wordt bestuurd?”

Het vrouwenquotum mag ambitieuzer en zeker breder, zegt Pascale van Heugten (La Confiante) in de rubriek ‘Vrouw & Advies’. Sanne Geerts vertelt hoe Geerts verduurzaamt.

In de praktijkrubriek Ken je vak! onder meer AI in de adviespraktijk, aan de slag met zorgplicht, een eerste bespreking van het OCTAS-rapport en aandacht voor de problematiek van de duurzame drager.

In het katern Pensioen & Vermogen verslagen van de kennissessies op het gelijknamige VVP-event van 19 maart. Uiteraard ook aandacht voor de algemene inleidingen door Theo Gommer ( “Verplichtstelling afschaffen en pensioenplicht invoeren”) en Hubrien Meijaard (‘Kies voor écht duurzaam beleggen”).

Bekijk de inhoud

Special Duurzaam Advies

Duurzaamheid is een onderdeel van modern ondernemerschap. Iedere adviseur zal actie moeten ondernemen. Aldus Kees Dullemond (INSVER) in de special Duurzaam Advies 2024, een nauwe samenwerking van VVP en het instituut voor verduurzaming van de financiële sector. De special barst van de tips, praktijkinfo en handige checklists om verduurzaming in het eigen bedrijf vorm te geven én om de klant aan het verduurzamen te krijgen.

Adviseurs Mieke Dadema, Thomas Paardekooper, Alexander Vugts, André Vugts en Paul Burger vertellen hoe zij duurzaam advies in de praktijk brengen. “Duurzaamheid draait om duurzame relaties”, aldus Dadema.

Verder bijdragen van onder meer Adfiz (‘Advies kan duurzaam gedrag verbeteren”), Fred de Jong (“Duurzaam advies aan mkb is integraal”) en het Verbond van Verzekeraars (“Deze transitie gaat alle klanten raken”).

In een rondetafel stellen kennispartners AnsvarIdéa/Turien &Co.,Evi Van Lanschot, INSVER, MainPlus, Obvion: “De wereld verandert, dat is een gegeven, maar wij kunnen nu samen al de richting bepalen.”

Bekijk de inhoud

Nieuwsbrief

Wil je op de hoogte blijven van het laatste nieuws? Meld je dan hier aan voor de nieuwsbrief!