Goede manieren om je organisatie te wapenen tegen hackers

1. 15 september 2020, door Maria Genova
2. 0 reacties

Bedrijven en organisaties denken vaak dat ze niet interessant genoeg zijn om gehackt te worden. Maar zo kieskeurig zijn de hackers niet. Vaak komen ze ergens per toeval binnen, bijvoorbeeld omdat Marike van de administratie of accountmanager Pieter op een phishingmail hebben geklikt. Of omdat collega Marc een website heeft bezocht die besmet bleek te zijn met een virus, of omdat directeur Jan Verkerk Winter2020 als wachtwoord heeft gebruikt of gewoon Welkom123.

Slachtoffers

Inmiddels is meer dan 60 procent van de kleine en middelgrote bedrijven in Nederland slachtoffer geworden van cybercrime. Vorig jaar werd ook een recordaantal particulieren slachtoffer: meer dan vier miljoen mensen. Nederland is vanwege de goede digitale infrastructuur een doelwit voor cybercriminelen uit de hele wereld. Omdat we veel zaken digitaal regelen, valt er hier ook heel veel te halen. Ook bij bedrijven en organisaties die denken dat ze niet interessant zijn. Een voorbeeld is het Interprovinciaal Overleg (IPO) dat een datalek bij de Autoriteit Persoonsgegevens meldde: een medewerker had op een phishinglink geklikt, accountgegevens ingevoerd en vervolgens werden vanaf haar mailadres valse mails verzonden. Zo’n hack is niet opmerkelijk, wel de reactie van hun woordvoerder. Hij zei desgevraagd dat IPO-medewerkers niet worden getraind om phishingmails te herkennen. De reden? “Wij zijn slechts een kleine organisatie met ongeveer dertig medewerkers. Vooral de ICT-afdeling houdt zich bezig met dit soort zaken.” Deze woordvoerder snapt blijkbaar niet dat de ICTafdeling niet kan voorkomen dat de medewerkers op phishingmails klikken en hun wachtwoorden invoeren. En dat als de ICT-afdeling dat niet kan voorkomen, hun computers gehackt worden.

Slap excuus

Een kleine organisatie is een slap excuus om de medewerkers niet op te leiden op digitaal gebied. Want bij elke organisatie valt wat te halen. Bij IPO is vooral het netwerk van hun partners interessant. Als je zo’n kleine organisatie hackt en namens haar een phishingmail stuurt naar de partners, dan trappen die er waarschijnlijk wel in. Wie de partners zijn, staat op hun website. Het Interprovinciaal Overleg behartigt de gezamenlijke belangen van de provincies en deelt veel kennis met andere organisaties. “Het IPO beschikt hiertoe over een uitgebreid netwerk en onderhoudt contact met onder andere het kabinet, het parlement, de ministeries, de Europese Unie en maatschappelijke organisaties.”

Nou, dat zijn nogal wat interessante doelen.

Identiteitsfraude

Veel medewerkers denken dat de ICT-afdeling in staat is om te voorkomen dat een hacker via bijvoorbeeld een kwaadaardige mail het computernetwerk binnendringt. Dat is vaak niet het geval. De ICT-afdelingen van veel bedrijven weten dat er kwetsbaarheden zijn in de gebruikte software, maar voeren de updates niet op tijd uit. Thuis werken updates meestal zonder problemen, maar niet op de ingewikkelde computersystemen van bedrijven. Daar moet eerst alles uitgebreid getest worden zodat systemen niet uitvallen. Dat duurt vaak veel langer dan nodig. De ene keer is het gebrek aan tijd door onderbezetting, een andere keer slordigheid. Een mooi voorbeeld is de grote hack van kredietbureau Equifax. De persoonlijke gegevens van zo’n 143 miljoen klanten werden daarbij gestolen. Katie van Fleet kreeg na de hack vijftien verschillende kredietaanvragen op haar naam en was maandenlang bezig met het herstellen van haar kredietreputatie. Equifax werd gehackt door het niet oplossen van een kwetsbaarheid die volgens het interne beleid binnen 48 uur gedicht moest worden. Soms is het gebrek aan capaciteit, maar de ICT-afdeling was best ruim bezet met 255 IT-specialisten in dienst.

Losgeld

Veel bedrijven denken dat ze na een hack gewoon de back-up terug kunnen zetten om verder te werken, maar heel vaak blijkt de back-up ook besmet of gewoon vergrendeld. Dat was recentelijk het geval bij de Universiteit Maastricht. Omdat niemand meer kon werken, besloot de organisatie 197.000 euro aan de hackers te betalen om weer toegang te kunnen krijgen tot haar eigen computers. Hoeveel weken kan jullie bedrijf zonder computers werken? En stel dat de back-up besmet is en je bent alles kwijt, ga je wel of niet de cybercriminelen betalen?

Bedrijven die niet voor dat soort dilemma’s willen komen te staan, proberen het risico op hacks en datalekken te verkleinen. Omdat technische maatregelen niet alles kunnen oplossen, is het handig om bij de bron te beginnen. Toen ik research deed voor mijn boek Komt een vrouw bij de h@cker vroeg ik aan diverse hackers wat de makkelijkste manier was om binnen te komen. “De medewerkers,” zeiden ze. “Bedrijven verzinnen allerlei tools om het computersysteem veilig te houden, maar a fool with a tool is still a fool .”

Fools

Hoe komt het dat de medewerkers volgens de hackers zulke ‘fools’ zijn? Vaak heeft niemand de moeite genomen om ze op een simpele manier en door middel van voorbeelden uit te leggen hoe ze zichzelf en het bedrijf tegen hackers kunnen wapenen. Tijdens mijn lezingen Komt een vrouw bij de h@cker en interactieve webinars over privacy en cybercrime, merk ik aan de reacties dat het voor de meeste mensen allemaal vrij nieuw is: hoe werken de hackers precies, waarom zijn ze zo succesvol, hoe herken je de betere phishingmails, waarom is een berichtje in Whatsapp net zo gevaarlijk, hoe werkt factuurfraude precies, hoe onthoud je honderd verschillende wachtwoorden, wat is de simpelste manier om je computer en mobiel tegen hackers te beschermen, wat valt er precies onder een datalek, waar moet je als thuiswerker op letten…? Online veiligheid is een van de meest boeiende onderwerpen, omdat iedereen van ons vroeg of laat ermee te maken krijgt. Investeren in awareness hoeft helemaal niet duur te zijn, terwijl het een miljoenenschade en ook veel reputatieschade kan voorkomen.

Op basis van de meest gestelde vragen tijdens honderden lezingen heb ik een e-learning in quiz-vorm gemaakt, met elke maand een nieuw thema op het gebied van privacy en cybersecurity. Een aantal tests stel ik gratis beschikbaar. Hackers gebruikten bijvoorbeeld veel phishingmails over corona en kwaadaardige corona-wereldkaarten en apps om binnen te komen. Wil je je kennis testen? Stuur een mail naar genova@casema. nl, dan mail ik je de corona cyberquiz. Slechts vijf van de tien vragen worden gemiddeld goed beantwoord, terwijl alle voorbeelden uit de praktijk komen. De quiz mag kosteloos door bedrijven gebruikt worden om de medewerkers te trainen de toenemende digitale gevaren te herkennen.

 

Maria Genova

Reactie toevoegen

Naam

E-mailadres

Reactie

Organisatie

Telefoonnummer

VVPVIP HypothekenVVP Innovatie PlatformVIP SchadeVVP Twitter

Toevoegen 

Meer over

• VVP-special Cyber
• Maria Genova