Handen wassen, in de ellenboog hoesten en thuiswerken. De basisregels om de verspreiding van het coronavirus te voorkomen zijn weer volop van kracht. Maar wist u dat in deze tijd van hybride werken de cybervariant van deze basisregels minstens zo belangrijk is?
Het zal je maar gebeuren: dat een medewerker door misleiding een groot bedrag overmaakt naar een buitenlandse rekening. Het overkwam een technische groothandel in producten voor de maakindustrie. Een hacker deed zich voor als de directeur van het bedrijf. Hoewel de bank het geld nog net op tijd kon terugboeken, sluit de eigenaar van het bedrijf niet uit dat zoiets nog een keer gebeurt. Medewerkers zijn kwetsbaar stelt hij. Ze laten systeemupdates niet op tijd uitvoeren of reageren uit naïviteit op e-mails.
Uit berekeningen van het Centraal Bureau voor de Statistiek blijkt dat maar liefst een op de vijf bedrijven te maken krijgt met een cyberincident. De voorbeelden zien we dagelijks in het nieuws voorbijkomen. Grote bedrijven zoals Mediamarkt worden slachtoffer, maar zij niet alleen. Miljoenen ondernemers zijn potentieel doelwit. Hackers en social engineers hanteren een trukendoos waarmee ze feilloos de zwakste schakel weten te breken. En dat is in veel gevallen de mens.
Sympathie opwekken, een relatie opbouwen of zich voordoen als autoriteit of expert, zijn maar enkele voorbeelden van de manipulatietechnieken die kwaadwillenden gebruiken om toegang te krijgen tot informatie en middelen. En naast deze (soms offline) methodes is er nog een heel scala aan online methodes. Zo worden regelmatig ransomware en malware als bijlage aan phishingmails toegevoegd. Het openen ervan kan al voldoende zijn om te worden besmet.
Het ministerie van economische zaken probeert bedrijven door middel van het Digital Trust Center (DTC) wakker te schudden. Door ondernemers tijdig te waarschuwen voor dreigingen en op te leiden. Volgens het centrum is bewustwording een must in deze tijd van hybride werken. De risico’s van thuiswerken zijn aanzienlijk. Gevaarlijke situaties ontstaan bijvoorbeeld op het moment dat een medewerker een onveilige privé-computer gebruikt of als het thuisnetwerk niet goed is beveiligd.
Dat er zoveel bedrijven slachtoffer worden, heeft vooral te maken met struisvogelpolitiek blijkt uit onderzoek van DTC. Bedrijven steken hun kop in het zand. Het centrum pleit daarom voor een cybervariant van de bekende basismaatregelen. Wie deze opvolgt, is veiliger dan bedrijven die dat niet doen. Vergelijk het met twee wandelaars die een beer tegenkomen. Je hoeft niet harder te kunnen rennen dan de beer. Je moet ervoor zorgen dat je harder rent dan die andere wandelaar. De beer kiest de makkelijkste prooi, net als een hacker.
1. Maak een risico-analyse. Inventariseer de apparaten en de technologie en zoek naar kwetsbaarheden.
2. Kies veilige instellingen. Controleer de instellingen van apparatuur, software en internetverbindingen. De leverancier ervan kiest niet altijd de veiligste opties.
3. Controleer of apparaten en software up-to-date zijn. Installeer beveiligingsupdates direct.
4. Beperk de toegang. Bepaal per medewerker welke systemen en data hij moet kunnen gebruiken voor zijn werk.
5. Voorkom virussen en andere malware. Stimuleer veilig gedrag, gebruik een antivirusprogramma en beperk de installatiemogelijkheden van software.
