Verbeter je cybersecurity Cybercrime Cybercrime, computercriminaliteit, digitale criminaliteit: verschillende termen voor misdaad die zich richt op computers of andere systemen zoals mobiele telefoons en pinautomaten. Deze criminaliteit treft niet alleen banken en grote organisaties: volgens schattingen van de politie is ongeveer 40 procent van de Nederlandse ondernemers afgelopen jaar slachtoffer geweest van cybercrime. [bron: www.mkbservicedesk.nl] Advies Inventariseer op welke plaatsen informatie van en over jouw bedrijf is opgeslagen Inventariseer hoe de beveiliging van die informatie is geregeld Welke zwakke plekken en risico s zie je en hoe zwaar wegen die? Neem vervolgens passende maatregelen om de beveiliging op niveau te brengen Doe altijd aangifte bij de politie wanneer je bedrijf te maken krijgt met cybercrime, bijvoorbeeld wanneer gevoelige informatie gestolen is, om later de geleden schade te kunnen verhalen. 1
Voorkom schade en schande Cybercriminaliteit kan ernstige gevolgen hebben voor bedrijven. Computers, servers en software zijn immers vaak onmisbaar voor het goed functioneren van je onderneming. Virussen of andere kwaadaardige software kunnen niet alleen de gang van zaken ernstig verstoren, maar ook economische en reputatieschade veroorzaken.bovendien kan er allerlei informatie verloren gaan of op straat komen te liggen, waarbij mogelijk ook nog eens specifieke wetgeving op van toepassing is. Zo wordt de Wet bescherming persoonsgegevens per 1 januari 2016 uitgebreid met de meldplicht datalekken en een boetebevoegdheid voor de toezichthouder (het College bescherming persoonsgegevens). Dat betekent dat iedere ondernemer in Nederland voor de privacygevoelige data in zijn organisatie en bij overtreding een boete tegemoet kan zien. Zorg voor een goed beveiligde digitale werkomgeving. Daarmee voorkom je dat bedrijfsinformatie in handen komt van je concurrentie of van criminelen Voldoe ook aan je wettelijke verplichtingen op het gebied van databeveiliging. Een datalek van privacygevoelige informatie levert niet alleen reputatieschade op, maar kan ook een hoge boete tot gevolg hebben. Deze boete kan oplopen tot een bedrag van 810.000,- Stel een draaiboek op voor het geval je toch met cybercrime te maken krijgt: hoe vang je het uitvallen van bedrijfskritische systemen op, wie schakel je in om de problemen op te lossen, en wie moet je in welke volgorde waarschuwen? Beveilig je digitale werkomgeving Je digitale werkomgeving bestaat uit de ICT-middelen die binnen je bedrijf worden gebruikt, zoals PC s en laptops, en de servers en netwerken die deze ICT-middelen met elkaar en met de buitenwereld laten communiceren. Ook de software en applicaties die jij en je medewerkers gebruiken en de data die daarbij worden gebruikt, verzameld en opgeslagen, zijn onderdeel van het digitale domein van je bedrijfsnetwerk. Let bij de inventarisatie van je beveiligingssituatie op deze drie hoofdpunten: - Systeembeveiliging - Gegevensbeveiliging - Mensen Zorg voor een structurele en systematische aanpak bij het beveiligen van je bedrijfscomputers en netwerk Schakel een externe partij in wanneer je zelf niet de benodigde kennis en vaardigheden in huis heeft om de beveiliging van je computers en netwerk te garanderen Verdeel je bedrijfsinformatie in drie categorieën en neem passende beveiligingsmaatregelen per categorie: Rood: informatie die echt vertrouwelijk of geheim is. Oranje: informatie die je liever niet op straat ziet liggen, terwijl het ook weer geen grote ramp is als dat toch zou gebeuren. Groen: informatie die niet vertrouwelijk is en in de openbaarheid mag komen. 2
ICT-middelen Om informatie uit te wisselen zet je binnen je bedrijf verschillende apparaten (hardware) in. Het gaat om: - apparatuur noodzakelijk om verbinding te maken met internet, zoals routers en servers; - apparatuur die je gebruikt om informatie op te roepen, te ontvangen en te versturen zoals computers, laptops, tablets en smartphones; - apparatuur die je gebruikt om informatie mee op te slaan, zoals USB-sticks, geheugenkaarten en externe harde schijven. De apparatuur verschaft de gebruiker toegang tot de netwerken en gegevens van het bedrijf. Ook als er op de apparatuur zelf misschien geen belangrijke bedrijfsinformatie staat, kunnen cybercriminelen zich bijvoorbeeld met software op de laptop of tablet ongeautoriseerd toegang verschaffen tot de data die opgeslagen zijn op het bedrijfsnetwerk. Bescherm toegang tot je bedrijfsnetwerk met een wachtwoord - eventueel in combinatie met een systeem waarbij bijvoorbeeld een kaartlezer de authenticatie bevestigd Heel veel bedrijven maken gebruik van draadloos internet. Scherm jouw internetverbinding af met een wachtwoord om ervoor te zorgen dat buitenstaanders er geen gebruik van kunnen maken. Ook zou je specifiek kunnen instellen welke apparaten toegang mogen krijgen tot jouw draadloze netwerk Installeer een firewall om je netwerk te beschermen tegen virussen en allerlei andere van buitenaf geïnitieerde activiteiten die schade opleveren voor je bedrijf. Dit is specialistisch werk, en zeker voor kleinere organisaties is het raadzaam dit werk uit te besteden aan een beveiligingsspecialist Eventueel kan het bedrijfsnetwerk geheel of gedeeltelijk elders worden ondergebracht in de vorm van een cloud oplossing. De cloud-aanbieder zorgt hierbij voor onderhoud en beveiliging. Kijk voor meer informatie over het kiezen van een geschikte clouddienst of aanbieder op: MKB Servicedesk Met een pincode of een wachtwoord op apparatuur en informatiedragers kun je een eerste eenvoudige barrière opwerpen tegen misbruik van je apparatuur Gebruik minimaal acht karakters per wachtwoord, zo weinig mogelijk bestaande woorden en zoveel mogelijk cijfers, symbolen, kleine en hoofdletters door elkaar. Vernieuw je wachtwoorden regelmatig. Kijk hier voor meer informatie. Pas encryptie toe om vertrouwelijke informatie optimaal te beschermen. Door de informatie op de apparatuur gecodeerd op te slaan, is deze extra beveiligd. 3
Applicaties en software Hoe langer een softwarepakket op de markt is - en hoe populairder een programma is - des te groter de veiligheidsrisico s zijn. Hackers vissen immers het liefst in een zo groot mogelijke vijver, want daar hebben ze de meeste kans om iets te vangen. Het updaten en upgraden van je bedrijfssoftware is daarom een belangrijk onderdeel van een goede beveiliging tegen cybercrime. Softwareontwikkelaars brengen regelmatig updates uit en periodiek komt een upgrade op de markt. Daarmee vergroten ze niet alleen het gebruiksgemak en de productiviteit, maar worden ook veiligheidslekken gedicht. Bij een update blijft de oorspronkelijke applicatie intact, maar worden waar nodig kleine fouten in de software bijgewerkt. De gebruikerservaring blijft daarbij grotendeels hetzelfde. Een upgrade daarentegen, is veel ingrijpender. De software wordt vanaf de basis opnieuw geïnstalleerd en vaak worden er wijzigingen in functionaliteit en gebruikersinterface doorgevoerd. Bij een upgrade verandert het versienummer van bijvoorbeeld 1.0 naar 2.0, bij een update van 1.0 naar 1.1. Voer updates altijd door, het liefst zo snel mogelijk nadat ze beschikbaar zijn gekomen. Zorg dat de officiële updates van de (beveiligings)software van je laptop, tablet, maar ook van je mobiele telefoon up-to-date blijven. Het aantal mobiele virussen is de afgelopen tijd schrikbarend toegenomen Zorg er daarnaast voor regelmatig te upgraden, zeker als je populaire software gebruikt. Dat geldt in het bijzonder natuurlijk voor antivirus- en firewallsoftware Upgrade ook regelmatig de firmware van je draadloze netwerkapparatuur. Firmware is eigenlijk gewoon software, en kan dus ook kwetsbaarheden bevatten Informeer je medewerkers regelmatig over alle zaken die de beveiliging van het bedrijfsnetwerk kunnen ondermijnen, zoals virussen, rechten, software en wachtwoordkeuze. Vraag medewerkers oplettend te zijn en maak een procedure voor het melden van incidenten die mogelijk op cybercrime duiden. 4
Medewerkers Als ondernemer wil je dat je werknemers overal hun werk kunnen doen. Of ze nu een dag per week op locatie bij een klant werken of een dag thuiswerken. Je wilt dat ze overal draadloos kunnen werken en toegang hebben tot bedrijfsinformatie met hun computer, tablet of smartphone. Als je niet veilig draadloos werkt, loop je de kans dat anderen toegang krijgen tot bedrijfsinformatie. Medewerkers maken bovendien thuis, onderweg en op het werk steeds vaker gebruik van eigen apparaten, zoals tablets en smartphones. Deze trend wordt Bring Your Own Device genoemd, vaak afgekort tot BYOD. Het gebruik van een privéapparaat voor zakelijke doeleinden kan veel voordelen hebben voor je werknemers. Zij kunnen efficiënter werken met vertrouwde software, waardoor hun productiviteit en toeneemt. Maar ze zijn zich waarschijnlijk niet bewust van alle veiligheidsrisico s die zij lopen en hoe deze risico s je bedrijf kunnen rakken. Denk hierbij aan apps die privé- en bedrijfsgegevens doorsturen of het afvangen van het toestel via openbare wifi-netwerken. Zorg dat je op de hoogte bent van de gebruikte apparaten binnen je bedrijf. Hiermee voorkom je verrassingen. Inventariseer welke toestellen worden meegebracht, hoe ze beveiligd zijn en waarvoor ze gebruikt worden Maak duidelijk aan je medewerkers wat wel en niet mag. Onderwerpen die je in een BYOD-beleid kunt opnemen zijn bijvoorbeeld afspraken over het gebruik van het apparaat, de beveiliging, aansprakelijkheid en toegestane modellen en support Creëer een zwarte lijst van niet-toegestane apps, of een witte lijst met toegestane apps. Zorg ervoor dat je de mogelijkheid hebt om op afstand zakelijke data te verwijderen van een verloren of gestolen toestel of apparaat. 5
Notities: Acties: 6