In onze steeds meer gedigitaliseerde wereld vormen cyberdreigingen een groeiende dreiging voor bedrijven én particulieren. In deze blog vertelt Wesley de Marie, security engineer bij 2source4, wat de meest voorkomende risico’s zijn en hoe je ze kunt minimaliseren door goede cybersecuritygewoonten.
Phishing, wat kun je verwachten?
Phishing blijft een veelvoorkomende tactiek van cybercriminelen, zowel persoonlijk als zakelijk. Cybercriminelen proberen informatie van jete stelen, zoals e-mailgegevens en wachtwoorden, of ze sturen bestanden mee die malware bevatten. Zo krijgen ze toegang tot bestanden of kunnen ze computersinfecteren met kwaadaardige software. Je kunt dit voorkomen door je virusscanner up-to-date te houden en ervoor te zorgen dat je multifactorauthenticatie (MFA) instelt. Zo vorm je een aantal extra beveiligingslagen. Gebruik sterke wachtwoorden en vermijd het gebruik van hetzelfde wachtwoord voor meerdere websites en systemen. Maar ook het inrichten van Microsoft Defender for Office kan een groot deel van de phishing afvangen. Er zit wel een addertje onder het gras: Phishing vindt vandaag de dag ook steeds vaker plaats via QR-codes. Het is enorm verleidelijk om zo’n code even snel te scannen, maar voor je het weet ben je de pineut. Hoe je je tegen specifiek deze vorm van phishing kunt wapenen, vertelde ik al eerder in een blog.
Wat doe je als de CEO je mailt?
CEO-fraude is een andere sluwe vorm van oplichting die steeds vaker voorkomt in zakelijke omgevingen, waarbij digitale boeven je proberen te verleiden geld over te maken naar de verkeerde persoon. Stel je voor: het is een drukke werkdag, je agenda ontploft en je hoofd loopt over. Dan ontvang je een e-mail van je CEO, die vraagt om per direct een grote som geld over te maken naar een externe rekening voor een urgente zakelijke transactie. Alles lijkt legitiem – de toon van de e-mail is herkenbaar én urgent, de instructies zijn duidelijk en het e-mailadres is dat van je CEO.Zonder enige argwaan volg je de instructies op en voer je de overboeking uit. Maar dan, enkele dagen later, wordt duidelijk dat de e-mail niet afkomstig was van je CEO, maar van een cybercrimineel die gebruik heeft gemaakt van een valse identiteit en social engineering om jou te misleiden. Met bewustwordingstraining, slimme e-mailprotocollen en het instellen van strikte beleidsmaatregelen voor geldoverdrachten, kun je de kans op CEO-fraude fiks verminderen.
Eenvoudige gewoonten voor dagelijkse veiligheid, doe jij dit al?
Met een aantal eenvoudige dagelijkse gewoonten kun je je IT-omgeving aanzienlijk veiliger maken.
Vergrendel je scherm
Wat wij bij 2source4 bijvoorbeeld doen, is het vergrendelen van ons beeldscherm wanneer we even weglopen – met de toetsencombinatie Windows-toets + L is het een kleine handeling die echt het verschil kan maken. Verbind er een ludieke actie aan. Bijvoorbeeld: wie zijn werkstation onbeschermd achterlaat, moet trakteren op taart of doneert twee euro in de pot voor het afdelingsuitje.
Check e-mails grondig
Het is ook belangrijk om e-mails grondig te controleren: let op taalfouten, kijk naar het e-mailadres en controleer of de afzender echt is wie hij zegt te zijn. Wees voorzichtig met het klikken op links in e-mails. Bij twijfel: niet doen!
Wees voorzichtig met USB-sticks
Stop niet zomaar een rondslingerende USB-stick in je computer. Hackers laten USB-sticks achter op bijvoorbeeld bedrijfsparkeerplaatsen in de hoop dat er iemand nieuwsgierig is. Zo kunnen ze kwaadaardige software installeren op je computer, zelfs als de beveiliging goed geregeld is. Bij 2source4 scannen we USB-sticks automatisch, voordat we ze überhaupt kunnen openen.
Houd data binnen je bedrijf
Bij 2source4 is de IT-omgeving zo ingeregeld dat onze data binnen het bedrijf blijft. Dat is al een goede beschermingslaag.
Maak je medewerkers bewust
Het is ook belangrijk om bewustwordingstrainingen binnen de organisatie te organiseren. Zo kun je zien hoe mensen reageren op phishing- en CEO-fraude-pogingen en gerichte maatregelen nemen.
Cultiveren van cyberbewustzijn en -verantwoordelijkheid
Een cultuur van cyberbewustzijn en -verantwoordelijkheid kan je op verschillende manieren bevorderen. Een belangrijke stap is het aanscherpen van wachtwoorden of zelfs het overstappen naar wachtwoordloos werken, een innovatie van Microsoft. Met deze methode kun je bijvoorbeeld inloggen met een pincode of biometrische gegevens, in plaats van met een wachtwoord. Single Sign-On (SSO) kan de medewerkerservaring verbeteren, terwijl het gebruik van een wachtwoordkluis, zowel privé als zakelijk, ook extra beveiliging biedt. Met een wachtwoordkluis worden wachtwoorden veilig opgeslagen en automatisch ingevuld. Ook moet je de rechtenstructuur goed inrichten en beheren. Bijvoorbeeld, wanneer een medewerker van afdeling Finance overstapt naar Marketing, heeft hij of zij bepaalde rechten waarschijnlijk niet langer nodig. Hetzelfde geldt voor admin-accounts; binnen de IT-afdeling hebben medewerkers via hun persoonlijke accounts vaak ook admin-rechten. Als een dergelijk account wordt gehackt, heeft de hacker overal toegang toe. Just in Time Access is een slimmere aanpak, omdat medewerkers dan alleen kortdurend toegang hebben tot bepaalde resources, alleen op het moment dat dat nodig is.
Procedures, beleid en cultuur, is iedereen op de hoogte?
Naast deze meer technische maatregelen is het ook van groot belang om procedures en beleid helder te communiceren binnen de organisatie. Medewerkers moeten weten wat het beleid is en bij wie ze moeten zijn als er iets gebeurt, zodat er snel actie kan worden ondernomen in geval van een incident. Het is ook belangrijk om een cultuur te bevorderen waarin het maken van fouten wordt geaccepteerd. Iedereen kan immers een keer de fout ingaan en per ongeluk op een verkeerde link klikken. Het is beter dat medewerkers het incident snel melden dan dat ze het proberen te verbergen. Het motto moet zijn: Wees niet bang om een fout te maken, maar meld het wel. Maar ook als een medewerker een phishingmail ontvangt en er niets misgaat, is het belangrijk om dit te melden. Op die manier kan de afzender worden geblokkeerd en kunnen verdere incidenten worden voorkomen.
Geïnspireerd?
Wil je kwetsbaarheden voorkomen? Ons team kan je helpen met goed doordachte phishingtests of waardevolle gebruikersbewustzijnstrainingen. Dat kan in allerlei vormen, zoals video’s of interactieve inhoud. Maak vandaag nog een afspraak en ontdek hoe je jouw bedrijf veilig naar een hoger niveau tilt! Verder lezen?
Download onze whitepaper.