Het Probleem
Cyber bedreigingen zijn overal. Dagelijks is het wel in het nieuws. Hackers, scammers en Cyber criminelen werken over om in uw onderneming in te breken. Zij hebben een groot arsenaal van gereedschappen en samenwerkingen tot hun beschikking. Van vol automatische bots (“robots” die op internet alle IP adressen afgaan om uit te vinden of er zwakke punten zijn) tot malware verspreidende reclames.
Er is één belangrijk stuk gereedschap dat u kunt inzetten: uw medewerkers.
De meeste denken dat hackers van buiten naar binnen proberen te komen door middel van malware en “brute-force” aanvallen (hacking in de traditionele zin). Hackers zijn echter echte IT’rs, liever lui dan moe. Zij vinden het dan ook heel prettig als anderen het werk voor hun doen.
Als zij dus uw medewerkers voor de gek kunnen houden en voor hen aan het werk kunnen zetten, zullen ze dat niet nalaten. Op een linkje klikken in een Phishing email of ongeoorloofde software installeren op een bedrijfscomputer (of via hun thuis computer naar het zakelijke netwerk). Lekker achterover leunen en toekijken dus. En het ergste is, dat uw medewerkers niet weten dat zij contra productief zijn voor uw onderneming. En dat is een groot onderdeel van het probleem.
Hoe Dat Te Stoppen
Ook al is alles keurig in orde, firewall, segmentering, AV software, backups. Dat zal allemaal niet afdoende zijn als uw medewerker gerekruteerd wordt. Training is eigenlijk de enige oplossing om uw medewerkers IT-Security savvy te maken. De training moet bestaan uit de volgende onderdelen:
- Identificeren van Phishing emails
De ontwikkelingen rondom Phishing staan nooit stil. Vroeger herkenden we een Phishing mail vanuit de verte door de grammaticale fouten, taalkundige fouten en grafische fouten in logo’s. Daarbij was de afzender vaak een onbekende. Dat is tegenwoordig echt wel anders.Heden zijn Phishing emails veel meer sophisticated. Afzenders lijken bekenden te zijn door de onbekende email adressen uit het zicht te houden. De grafisch opmaak en de tekst zijn spik en span.
Nog steeds is een Phishing email te herkennen. Bijvoorbeeld door (kleine) afwijkingen in de url’s in een email. Bijvoorbeeld “uwbank.net” in plaats van “uwbank.nl”. Goede training helpt uw medewerkers hier standaard op te letten.
- Voorkomen van Malware of Ransomware aanvallen
Eén reden waarom deze aanvallen slagen is omdat uw medewerker op een link klikt. Wellicht denken ze dat ze een valide programma op hun zakelijke PC installeren, maar nee.Malware wordt op verschillende manier verspreid. Bijvoorbeeld via Phishing emails maar ook via advertenties op het Internet of doordat een andere computer in uw netwerk het verspreidt. Denk aan een privé USB stick die in een zakelijke computer gebruikt wordt.
Daarom moet iedere computer in uw netwerk voorzien zijn van de juiste beveiligingsapplicaties. Denk aan een firewall en detectie van malware- en virus infecties. Medewerkers die op afstand werken, mogen dat alleen met zakelijke apparatuur met een VPN connectie op uw netwerk. En voortdurende training van uw medewerkers om IT beveiliging hun eerste concern te maken. Ze weten dan beter wat er gebeuren kan en hoe het te herkennen.
- Vervang slechte en/of oude wachtwoorden
Hoe makkelijk willen we het de boefjes maken? Heel makkelijk blijkbaar want 75% van de geslaagde digitale inbraken zijn succesvol omdat inlog codes op Darkweb te vinden zijn. Samen met zwakke en slechte wachtwoorden is dat zelfs 81%!Wachtwoorden als “qwerty”, dat kan echt niet! Maar ook “qwerty123” of ieder andere variatie kan niet. Alle variaties van elk wachtwoord is uit den boze. Te makkelijk voor de boefjes. Kijk eens naar deze top 100 wachtwoorden lijst en schrik! In 2020 was het meest populaire (en dus gevonden) wachtwoord “123456”!!! Gebruik dus voor iedere locatie een uniek wachtwoord, natuurlijk met 2FA als dit beschikbaar is.
Het gebruik van goede wachtwoorden moet een onderdeel zijn van de training. Verplicht daarbij uw medewerkers om een wachtwoorden kluis te gaan gebruiken. Het is dan makkelijk om op iedere locatie een ander wachtwoord te gebruiken. En goede wachtwoorden kluis zal ook naar gelang van (een instelbare) tijd aangeven dat een wachtwoord aangepast moet worden. Centraal management van een wachtwoorden kluis omgeving is een niet te onderschatten aspect van wachtwoorden management.
Conclusie
Laat uw medewerkers niet de zwakste plek zijn. Dat is voor uw onderneming slecht, maar ook voor de medewerker die onbedoeld de aanstichter is van een geslaagde digitale aanval. In deze blog staan slechts een paar voorbeelden, de realiteit is nog veel enger. Dus neem actie. Contact ons want wij hebben precies de juiste middelen om uw onderneming en uw medewerkers hiermee te helpen.
