Wat moeten uw medewerkers doen: Vraag hen om alles goed te controleren voor ze gegevens of vertrouwelijke informatie verstrekken.

Transcriptie

1 De kosten van dataschending zijn ontzettend hoog. Volgens een onderzoek kreeg 90% van alle grote bedrijven ermee te maken. Een ander recent onderzoek toont aan dat het economische risico van mobiele dataschending voor een onderneming kan oplopen tot wel $ 26,4 miljoen. Helaas wordt de helft van alle ernstige schendingen veroorzaakt door menselijk falen. Werknemers zijn de zwakste schakel in de veiligheid van een organisatie. Onze handelingen zijn gebaseerd op emoties, we hebben altijd haast en nemen niet de tijd om alles grondig te controleren voor we iets doen met de vertrouwelijke data die we onder onze hoede hebben. We klikken blindelings op onbekende links of bijlagen en delen achteloos gevoelige informatie. We benaderen bedrijfsgegevens vanaf onbeveiligde apparatuur. Hoe groter de organisatie, hoe groter het gevaar. U kunt niet iedereen in de gaten houden, u kunt niet elke handeling volgen. Eén enkele werknemer kan al zorgen voor dataschending en daardoor het hele bedrijf benadelen. Wat u wél kunt doen is alle mogelijke voorzorgsmaatregelen nemen om bedrijfsgegevens veilig te stellen. En dat begint met het voorlichten van uw medewerkers. Zorg voor een gedegen voorlichting over cyber security in plaats van alleen te zeggen wat anderen moeten doen. Het is belangrijk dat u uw medewerkers uitlegt welke beslissingen u hebt genomen voor de cyber security van uw bedrijf en waarom u deze hebt genomen. Wees te allen tijde bereid vragen te beantwoorden of stel iemand aan die het vertrouwen van uw werknemers geniet en gemakkelijk toegankelijk is. Onthoud dat een omgeving die gebaseerd is op vertrouwen veel meer veiligheid biedt. Oké, het is de hoogste tijd om spijkers met koppen te slaan: Dit zou u uw medewerkers moeten adviseren 1. Stuur gevoelige informatie niet zomaar weg. De laatste tijd hebben veel grote bedrijven te maken gehad met spear phishing, waarbij de aanvallers zich voordeden als CEO s. Onder de getroffen bedrijven waren Snapchat en Seagate. HR-medewerkers kregen s die ogenschijnlijk van de CEO s kwamen. Zij trapten in de val en stuurden vertrouwelijke gegevens op zonder zich af te vragen of ze wel echt te maken hadden met wie ze dachten. Dit leidde tot het lekken van salarisgegevens van duizenden (oud-) personeelsleden. Bedrijven moeten zich realiseren dat spear phishing een uiterst effectieve vorm van phishing is. Het is niet geautomatiseerd, zoals de meeste andere phishingpogingen, maar het is bijzonder doeltreffend. Dit komt doordat cyberaanvallers de tijd nemen om op voorhand zoveel mogelijk gegevens te verzamelen en zo veel te weten komen over hun doel. De voorbereidingen nemen nogal wat tijd in beslag, maar het is de moeite waard. Wat moeten uw medewerkers doen: Vraag hen om alles goed te controleren voor ze gegevens of vertrouwelijke informatie verstrekken. Laat ze goed nakijken of ze wel op een beveiligde site zitten voor ze gegevens doorsturen. Begint de link met https of http? De extra s is een goed teken. Het betekent dat de website een SSL (Secure Sockets Layer) heeft, een methode die garandeert dat de gegevens die u stuurt en ontvangt versleuteld zijn.

2 2. Klik nooit op links waarvan je niet weet waar ze naartoe leiden. Wist u dat 15 tot 20% van alle websessies (waarbij een browser wordt geopend) op de werkvloer begint met een klik op een link in een ? Het is slechts een kwestie van tijd voor er een malware-infectie ontstaat (misschien zelfs met ransomware) of er een poging tot phishing wordt ondernomen. Basisregel: als u niet weet waar de link naartoe leidt, of als u er niet om hebt gevraagd, is het veiliger om hem niet te openen. Klik nooit op korte of vreemde links. Kijk uit voor links waarvan de naam lijkt op een vertrouwd adres, maar die net even anders wordt gespeld of een andere domeinnaam heeft. Nooit doen. Deze leiden meestal tot malware-infecties (inclusief ransomware) of phishingpogingen, dus het is het veiligst om er vanaf te blijven. Ze kunnen de link controleren met een short link expander, redirect checker of een remote screenshot maker, om te zien waar de link naartoe leidt. Op deze manier trapt er niemand in de malwareval. 3. Download nooit bijlagen waar u niet om hebt gevraagd. Aanvallers gebruiken bijlagen om computers over te nemen en malware te plaatsen. Dit gebeurt veelal door spam- s, maar het aantal aanvallen via sociale netwerken en instant messaging groeit gestaag. Vraag uw medewerkers om op te letten als ze op hun eigen social media zitten. Kijk kritisch naar alle bestanden die binnenkomen. We hebben het over bestanden van onbekende mensen, maar ook over bestanden van bekenden waar niet om is gevraagd. Zelfs bestanden die onschuldig lijken, zoals van Microsoft Office, bevatten kwetsbaarheden en kunnen worden gebruikt als dragers van malware. Ook is het verstandig om alle macro s uit te schakelen dit is verborgen code die is geschreven in Visual Basic for Applications, en die kan worden gebruikt om gebruikers te infecteren. 4. Gebruik nooit torrents of websites met illegale downloads. We gaan het hier niet hebben over de morele en legale kanten van het probleem. Het enige wat we zeggen is dat torrents en andere illegale downloads een gevaar kunnen vormen voor uw data. Ransomware kan worden verspreid via advertenties op websites, zelfs via grote sites. Het maakt misbruik van de kwetsbaarheden van websites, browsers, browsers plug-ins en verouderde software, om zo uw systeem te infecteren. Het is daarom belangrijk om uw medewerkers te instrueren: 1. Deactiveer nooit de antivirussoftware. 2. Houd de software up to date, vooral de webbrowser. 3. Installeer een adblocker. 4. Schakel kwetsbare browser plug-ins en add-ons uit, zoals Java en Flash Player.

3 5. Meld het onmiddellijk als een pc vreemd gaat doen. Wat betekent vreemd doen eigenlijk? Nou, dat kan van alles zijn: een systeem dat langzamer draait dan normaal, een ventilator die ineens zonder duidelijke reden gaat loeien, of onverwachte foutmeldingen die zomaar ineens verschijnen. Dit kunnen allemaal tekenen zijn die erop wijzen dat uw computer geïnfecteerd is met een vorm van malware of gebruikt wordt in een botnet. Botnets zijn netwerken van computers die door cyberaanvallers worden beheerd en aangestuurd om kwaad te stichten. Ze kunnen worden gebruikt om andere pc's aan te vallen, spam en phishing te sturen, ransomware of spyware te plaatsen, enz. en dat alles zonder dat de gebruiker hier ook maar enig vermoeden van heeft. Kijk goed hoe de apparatuur werkt en meld het onmiddellijk als er iets verdachts voorvalt. Wanneer de beveiliging wordt geschonden, moet men dit ZO SNEL MOGELIJK melden: zo kan de schade beperkt worden gehouden. Natuurlijk kan het zijn dat er geen sprake is van een aanval en dat uw pc gewoon oud is en een update nodig heeft maar voorkomen is beter dan genezen, nietwaar? Helaas is de huidige situatie erg slecht: volgens het CISCO Annual Security Report 2016 behoren adware en browserinjecties tot de moeilijkste aanvallen om op te sporen: ruim 200 uur. Het probleem is dat veel werknemers zich schamen of gewoon de it-mensen niet lastig willen vallen. Het zou goed zijn als iedereen zou beseffen dat hoe eerder een melding wordt gedaan, hoe beter. Laat uw medewerkers weten dat ze niet gestraft worden als ze een melding doen, dus dat ze niet bang hoeven te zijn. Het zou ook helpen als er één persoon zou zijn die alle meldingen verzamelt en die voor iedereen gemakkelijk toegankelijk is. 6. Maak nooit gebruik van onbeveiligde apparaten of netwerken. In de zoektocht naar een optimale werkomgeving en om hun personeel tegemoet te komen, staan veel bedrijven hun medewerkers toe om vanuit huis te werken, vanaf hun eigen apparatuur. Laptops, smartphones, tablets, het maakt niet uit, ze zijn allemaal gevoelig voor een cyberaanval. Door een verhoogde mobiliteit en flexibiliteit gaat ook het veiligheidsrisico omhoog. Een recent rapport toont aan dat 67% van alle organisaties te maken heeft met dataschending als gevolg van het feit dat medewerkers hun mobiele telefoon gebruiken om toegang te krijgen tot bedrijfsgegevens. Daarom is het belangrijk dat medewerkers alleen geautoriseerde telefoons (en pc's) gebruiken om op hun account in te loggen en toegang te krijgen tot vertrouwelijke informatie. Laat de toegang tot gevoelige data alleen lopen via geverifieerde en gecontroleerde apparatuur. Het is niet toegestaan om in te loggen op onbeveiligde, openbare, gratis draadloze netwerken. Vraag uw medewerkers om een VPN te gebruiken dat is een Virtual Private Network dat het internetverkeer beveiligt en versleutelt. Het voegt een extra beveiligingslaag toe en maakt het netwerk minder kwetsbaar voor cyberaanvallen. 7. Gebruik nooit zondermeer een USB-stick of externe harde schijf in de pc of laptop. Ze lijken misschien onschuldig omdat ze zoveel gebruikt worden, maar ze kunnen toch besmet zijn met virussen, malware, trojans of keyloggers.

4 De veiligste oplossing is om nooit een externe schijf aan het apparaat te hangen. Maar het is onwaarschijnlijk dat uw werknemers zich aan deze regel zullen houden. Wat ze wel kunnen doen is de Auto-Run uitschakelen op het moment dat ze de externe schijf inpluggen en daar een antivirusprogramma overheen laten lopen. 8. Meld het altijd onmiddellijk als een apparaat is kwijtgeraakt of gestolen. Het maakt niet uit of het een laptop is, een smartphone, externe harde schijf of gewoon een simpele USB-stick. Dit is onlosmakelijk verbonden met een van de vorige punten: waarom een werknemer het onmiddellijk moet melden als een apparaat vreemd gaat doen. Het probleem is dat veel mensen geen melding doen omdat ze zich schamen of bang zijn om op hun kop te krijgen. Vertel ze dat ze in een dergelijke situatie het best zo snel mogelijk melding maken, zodat de schade beperkt kan blijven. Een gestolen apparaat kan een indringer toegang verschaffen tot vertrouwelijke en gevoelige data variërend van contracten tot salarisgegevens. 9. Kijk naar de wachtwoorden. Hoewel wachtwoorden niet langer voldoende bescherming bieden tegen de nieuwste, geavanceerde cyberaanvallen, is het toch belangrijk dat uw organisatie een goed wachtwoordbeleid voert. Stel sterke wachtwoorden in. Deze moeten bestaan uit meer dan 14 karakters, met zowel hoofdals kleine letters, symbolen en cijfers. Gebruik niet steeds dezelfde wachtwoorden. Niemand gebruikt een en dezelfde sleutel voor zijn auto, kantoor en huis, en daarom moet men ook voor elke account een verschillend wachtwoord kiezen. Deel de wachtwoorden niet met collega's. Wijzig de wachtwoorden regelmatig. De meeste mensen hebben veel accounts, dus dat kan wel een gedoe zijn. U kunt hiervoor een wachtwoordbeheerprogramma gebruiken zoals LastPass of KeePass. Hiermee hoeft u maar één wachtwoord te onthouden, het hoofdwachtwoord voor het LastPassaccount. Vertel uw medewerkers dat ze wachtwoorden nooit moeten opschrijven of in een bestandje op hun bureaublad mogen zetten, in een sms of mail op hun telefoon laten staan, of als concept op een mailaccount opslaan. Als het even kan, kunnen ze het best een two-factor authentication voor hun account activeren. Dit geeft naast de wachtwoorden een extra beveiliging.

5 Conclusie Weet u wat het probleem is met wat we hier hebben geschreven? Veel mensen weten wel waar het in theorie over gaat. Ze weten alles over een goede beveiliging en privacymaatregelen. Het gaat fout bij het toepassen van al die kennis. Er bestaat een enorme kloof tussen weten wat we moeten doen om onze data te beschermen en datgene wat we echt in de praktijk brengen. Help uw medewerkers te beseffen hoe dichtbij het gevaar eigenlijk is. Vraag uzelf af: Hoe groot is de kans dat we te maken krijgen met dataschending of worden getroffen door een ransomwareaanval? Realiseren we ons wel wat de gevolgen kunnen zijn als we een bepaalde veiligheidsmaatregel niet toepassen? Origineel blog van Cristina Chipurici, content marketer bij Heimdal Security.