Geschreven door: Dave Barneveld

Deel 2: Ben je als bedrijf volledig ontzorgt wanneer je een externe IT-partij(en) in de armen hebt genomen?

In de vorige blogpost, gaf ik al aan dat het met het enkel hebben van een externe IT-partij of een clouddienst, er nog genoeg aanvullende security maatregelen zijn, waar de verantwoordelijkheid bij de organisatie ligt. 

Welke aanvullende maatregelen dit zijn, ga ik in dit deel verder met jullie bespreken. 

De gevaren van phishingmails

Vroeger was een phishingmail makkelijk te herkennen. De berichten stonden vol spelfouten. Maar cybercriminelen sturen tegenwoordig ook betaalverzoeken, WhatsApp en sms-berichten of maken een goed lijkende website na, waarop je ‘zogenaamd’ kan inloggen. 

Het aantal phishingaanvallen blijft daarmee nog steeds toenemen en de aanvallen worden met de dag geavanceerder. Er zijn zelfs relatief goedkope phishing kits verkrijgbaar op het darkweb, die ook makkelijk te gebruiken zijn door iemand met weinig IT-kennis. Het gevaar zit hem daarmee ook niet direct in het openen van de ontvangen phishingmail, maar in het invullen van bijvoorbeeld inloggegevens, wanneer dat wordt gevraagd. 

Cybercriminelen richten zich vandaag de dag ook door social-engineering toe te passen, waarmee ze het menselijk gedrag beïnvloeden. Er zijn voor een cybercrimineel vele manieren en ingangen om een organisatie binnen te komen. Denk bijvoorbeeld aan iemand die zich voordoet als een helpdeskmedewerker of een zogenaamde storingsmonteur, die met jou mee naar binnen loopt. En pas op! Vaak trap je erin, omdat er haast bij is of je druk bent met andere dingen. Je doet het 99x goed en 1x fout, wat al genoeg is voor een kwaadwillende. 

Het downloaden van een imagebestand, in de verschillende bestandsformaten, of het uitvoeren van een uitvoerbaar bestand, ook wel .exe bestand, is ook niet aan te raden als je niet weet waar het van afkomstig is. En al helemaal niet, wanneer je het niet verwacht van iemand. We zien als gevolgd dat ook de bekendere programma’s, waarmee iedereen in eenzelfde document kan werken, ook niet altijd betrouwbaar hoeven te zijn en een kwaadaardige code kunnen bevatten.

Een kwaadwillende die vervolgens succesvol een Phishingmail heeft ingezet, kan dus vrij eenvoudig via deze medewerker, verdere toegang krijgen tot zijn of haar organisatie. Het einddoel kan de plek zijn waar de data wordt opgeslagen. Zoals bijvoorbeeld nu naar de clouddienst waar de weg ernaartoe, nu niet beveiligd is.

Security Awareness, voor het veiligheidsbewustzijn

Uit diverse onderzoeken is gebleken dat “de mens” de nr. 1 kwetsbaarheid is binnen de organisatie. Het gedrag van mensen wordt vaak als de zwakste schakel in de beveiligingsketen gezien, omdat dit gedrag in tegenstelling tot de techniek onvoorspelbaar is en mensen bovendien fouten kunnen maken. Dit betekent dat we allemaal risico lopen wanneer iemand zijn digitale sleutel verliest. Maar, hoe kun je het bewustzijn en gedrag van de medewerker verbeteren in het werken in de digitale wereld? En hoe zorg je ervoor dat ze in staat zijn om zelf een phishingmail te herkennen en daarmee niet zelf hun sleutel afstaan?

De kosten van een geslaagde phishing-aanval en het herstellen van de ransomware (gijzelingssoftware), kunnen oplopen tot zelfs honderd duizenden euro’, afhankelijk van de bedrijfsgrootte. Dit staat los van de downtime en de reputatie/imagoschade, die je als bedrijf ermee ondervindt.   

Een terugverdiende en ook vooral leuke aanvulling, die voor de medewerker zakelijk als privé erg nuttig is, is het volgen van Security Awareness trainingen. Deze trainingen zijn online of klassikaal te volgen.

Implementeren van een Informatiebeveiligingsbeleid

Het inrichten van goede organisatorische processen en dat deze bij iedereen bekend zijn, vallen in het kader van het opvolgen van de Algemene Verordening Gegevensbescherming (AVG). Hieraan moet elk bedrijf of organisatie voldoen. Wanneer je als organisatie hieraan niet voldoet, en er bijvoorbeeld persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben, spreken we van een datalek. Het niet melden van een datalek vormt een overtreding van de AVG. De toezichthouder, in Nederland de Autoriteit Persoonsgegevens (AP), kan in dat geval een boete opleggen van maximaal 10 miljoen euro of 2% van de jaarlijkse wereldwijde omzet van de organisatie. 

Met een ISO 27001 certificering, weet je zeker dat je voldoet aan de eisen van de AVG. Voor de zorgsector geldt de NEN 7510-norm.

Het behalen van een ISO 27001 / NEN 7510 certificering is niet voor elke organisatie weggelegd, gezien het kostenplaatje en het lange traject dat hiermee gemoeid gaat. Gelukkig zijn hiervoor ISO 27001 Assessments ontwikkeld, waarmee er eenvoudig inzicht in de status van het huidige informatiebeveiligingsbeleid wordt gekregen en wat je als bedrijf moet doen, om deze gevonden zwakke plekken te versterken.

Password manager – Nog maar één wachtwoord onthouden!

Een sterk wachtwoordbeleid is ook zo’n proces dat niet overal goed wordt gehanteerd. Het hergebruiken van wachtwoorden op verschillende inlog portalen en websites, is niet veilig. En daar zit ook meteen de uitdaging. De meeste mensen kunnen namelijk geen honderden verschillende wachtwoorden onthouden en veel hacks zijn daarmee dan ook direct te herleiden, naar zwakke of gestolen wachtwoorden. 

Natuurlijk kan je een wachtwoordzin gebruiken, maar een Password Manager is ook een waardevolle aanvulling en biedt meteen ook handvaten op dit stukje beleid. Met een Password Manager krijgt elke medewerker een eigen versleutelde kluis en is het mogelijk om eenvoudig wachtwoorden en aanmeldingsgegevens op te slaan. Net als het op een veilige en vertrouwelijke manier onderling delen van klantgegevens. 

Conclusie

Cybercriminelen zitten nooit stil en ontwikkelen steeds meer nieuwe manieren om toegang te krijgen tot gegevens, waar in dit geval niet de externe IT-partij of clouddienst verantwoordelijk voor is. Door medewerkers goed te trainen, ze de juiste processen te leren hanteren en deze als bedrijf toe te passen, zijn de risico’s op datalekken of aanvallen van buitenaf aanzienlijk te verkleinen. 

Networking4all is een ervaren professional op het gebied van Security. Wij gaan graag met u in gesprek om de mogelijkheden voor uw specifieke situatie te bespreken.

Neem vrijblijvend contact op met ons via +31 (0)20 7881030 / sales@networking4all.com


Deel artikel via: