Infosessie Cybersecurity Prevor-dag Vorselaar. Bert Bleukx

Transcriptie

1 Cybersecurity wordt al te vaak aanzien als een zuiver ICT-probleem. Het is zonder twijfel een gegeven waarbij ICT een cruciale rol speelt, maar juist doordat te veel zaakvoerders er op deze manier naar kijken, maken we het voor cybercriminelen vandaag veel te gemakkelijk. Cybercriminelen zijn maar op zoek naar 1 ding: geld. Dat geld vinden ze in ELKE onderneming, ongeacht de sector, en ongeacht de grootte. Sterker nog, juist doordat kleinere ondernemingen veel minder sterk verdedigd zijn op vlak van cybersecurity, zijn ze een zeer lukratieve doelgroep geworden voor hackers. De tijd dat enkel banken en overheden aangevallen werden is definitief voorbij.

2 Factuurfraude werkt via een virus-infectie. Hetzij bij de zendende partij, hetzij bij de ontvangende. De techniek is echter steeds dezelfde: Op één of andere manier vragen ze om het factuurbedrag over te maken op een andere (zogezegde nieuwe) rekening. Tip: doe steeds een cross check. Wanneer je gevraagd wordt op een ander rekeningnummer dan gewoonlijk te betalen: bel (niet via mail!) FACTUURFRAUDE RANSOMWARE Ransomware versleutelt alle gegevens op je PC en netwerk. De laatste versies zoeken zelfs doelgericht naar je back-up schijven om die mee te versleutelen! Dergelijke versleutelde gegevens zijn onbruikbaar geworden. De enige manier om ze terug te kunnen aanwenden is via invoer van een code die je krijgt indien je geld betaalt. Tip: Installeer een degelijke anti-virus, maak back-ups (die niet rechtstreeks toegankelijk zijn) en CONTROLEER de volledigheid van je back-ups. Een cyberaanval begint vaak bij een willekeurige PC in je onderneming. Indien daar geen nuttige gegevens te vinden zijn, verspreidt het virus zich doorheen je netwerk totdat het data gevonden heeft waarmee ze je hetzij kunnen gijzelen (met dreigement om te publiceren) hetzij rechtstreeks mee op de zwarte markt gaan om te verkopen. Tip: Kritische data maximaal scheiden van de rest van je netwerk DATA THEFT (GDPR)

3 Phishing is DE nummer 1 techniek in cyberaanvallen. Door mensen te misleiden zetten cybercriminelen hun eerste stap in uw onderneming. Door hetzij het verkrijgen van paswoorden, hetzij installeren van een virus. Aandacht voor phishing is DE belangrijkste verdedigingsmaatregel die je moet overbrengen aan je medewerkers. Medewerkers in de logica van cybersecurity zijn ALLE mensen die met PC s van je onderneming werken (ongeacht of ze op je payroll staan of niet). Met drie tips doorprik je bijna alle phishing-mails: 1) Een logo of naam van ondertekenaar is geen bewijs van echtheid van de mail. Dit is publieke informatie die je op het internet kan vinden. IEDEREEN kan zo n logo in een mail plakken. Laat je daar niet door misleiden. 2) Kijk naar de afzender en de linken door er even met je pijltje over te blijven hangen. Dan krijg je het afzendadres volledig te zien. Ziet er dat verdacht uit? Onmiddellijk stoppen. 3) De inhoud van de mail: Beloven ze je zaken die TE mooi zijn om waar te zijn? Of zijn het zeer assertieve mails die je onder druk zetten om DRINGEND iets te doen? VERWACHT je zo n boodschap van deze afzender?

4 Paswoorden vormen letterlijk de sleutel tot je onderneming. Toch gaan de meeste mensen hier zeer nonchalant mee om. Om het voor zichzelf gemakkelijk te maken bezondigen ze zich al te vaak aan 2 grote fouten: - Het paswoord is veel te makkelijk te raden. (algemeen bv , of via info op social media bv de naam van kinderen, partner of huisdier) - Herbruiken van dezelfde paswoorden voor verschillende toepassingen of websites Daardoor volstaat het voor een cybercrimineel om je 1x een paswoord te ontfutselen via phishing om via dat paswoord in al je andere toepassingen in te breken. Met eenvoudige geheugentrucjes kan je het leven met paswoorden terug verteerbaar maken. Gebruik paswoordzinnen bv Mijn paswoord van 2018 is geheim geeft als paswoord Mpv2ig als je telkens de 1e letter neemt Of je kiest een lang paswoord dat je goed kan onthouden en vervangt steeds hetzelfde lettertje of lettertjes door een letter van de toepassing of website. (zie voorbeeldje op de slide) Een password-vault app waar je al je paswoorden in bewaart is ook een prima alternatief. Kies wat jou het beste ligt, maar laat ons stoppen met de sleutel van onze PC s zomaar weg te geven aan cybercriminelen.

5 ICT is OOK jouw zaak 1) Bepaal SAMEN de prioriteiten: wat is belangrijk, welk soort aanval vrees je het meest 2) Dubbelcheck je ICT Laat je af en toe (1x per jaar) eens screenen door een 3e neutrale partij Train je medewerkers 1) Geef opleiding in de basics: Phishing, virussen, paswoorden 2) Geef phishing-oefeningen om als manager beeld te hebben hoe sterk je human firewall is en om hen alert te houden 3) BETREK hen. Maak van security geen verplicht nummertje want dan mis je het doel. Mensen gaan ROND de regeltjes proberen te fietsen. Cybersecurity werkt ALS EN SLECHTS ALS de mens MEEwerkt Bereid je voor: ze ZULLEN binnengeraken 1) Oefen je eigen nightmare, doe een simulatie als papieren oefening. Weet je hoe lang het duurt om je ICT volledig opnieuw te laten installeren? Hoe snel zijn je backups teruggezet? Weet je wie je moet bellen? Wat je zal vertellen tegen klanten en leveranciers? 2) Zet monitoring op Detectiesystemen die een hackingaanval detecteren. Op dat moment ZIJN ze al binnen, maar kan je vaak nog veel schade vermijden door snel in actie te schieten. Cybersecurity is een meerlagen model. Je ICT vormt de basis laag. Daar moet je zelf als manager de prioriteiten duidelijk maken. Sommige delen van je onderneming zijn minder cruciaal, anderen zeer kritisch. De ICT verdedigingsmaatregelen moeten daarop afgestemd zijn om het betaalbaar te houden. De mens is een enorm belangrijke schakel geworden de laatste jaren. Quasi ALLE cyberaanvallen beginnen bij het misleiden van de mens. Het is een uitdaging: Cybersecurity heeft een sfeer rond zich van complexiteit en techniciteit waardoor veel mensen zich niet aangesproken voelen. Maar het is wel degelijk een verantwoordelijkheid voor IEDEREEN. Tegelijkertijd hebben de meeste veiligheidsmaatregelen een negatief effect op gebruiksgemak waardoor ze ook nog eens onpopulair zijn. Train je medewerkers, hou hen alert door regelmatig oefeningen te organiseren. BETROKKENHEID creëren is DE voornaamste tip. Mensen moeten beseffen dat het NODIG is en het niet beschouwen als een verplicht nummertje omdat de baas het vraagt Ondanks alle tegenmaatregelen moet je er vanuit gaan dat ze vroeg of laat binnen zullen geraken. Bereid je daarop voor door jezelf te trainen in een crisissituatie en door monitoring.