Share
Door de exponentiële groei en afhankelijkheid van data, zullen de komende tien jaar steeds meer bedrijven slachtoffer zijn van een cyberaanval. Dat is de voorspelling van hetWorld Economic Forum’s Global Risks Report 2020, die cyberaanvallen als tweede risicofactor noemt in de lijst met grootste zorgen voor bedrijven in het komende decennium. Vaak is de redenering dat er dan nieuwe of verbeterde technische maatregelen moeten worden getroffen, die het risico op een cyberaanval verkleinen. Maar is deze gedachte wel terecht? Of kunt u zich beter richten op uw personeel?
Sinds de uitbraak van de coronacrisis is het percentage cyberaanvallen enorm gestegen. Cybercriminelen richten zich dan vooral op medewerkers en niet zozeer op de fysieke IT-omgeving. De meest voorkomende cyberdreiging bij SMBs is ransomware. Ransomware, ook wel gijzelsoftware genoemd, is een soort malware die ervoor zorgt dat gebruikers of bedrijven tijdelijk geen toegang krijgen tot hun bestanden of systemen. Dit blijft zo tot er losgeld wordt betaald aan de cybercriminelen of hackers die achter de cyberaanval zitten. Vaak begint zo’n ransomware-aanval bij de eindgebruiker die nietsvermoedend op een link klikt en gevoelige gegevens invoert of een geïnfecteerde bijlage opent. In feite maakt het dan niet uit hoe goed uw IT-infrastructuur beveiligd is. Uw bedrijf blijft kwetsbaar, zolang uw medewerkers onbekend zijn met de beveiligingsrisico’s. Daarom investeren veel bedrijven tegenwoordig in security awareness. Wat is security awareness? De term security awareness staat voor de mate waarin medewerkers van een organisatie zich bewust zijn van veiligheidsrisico’s met betrekking tot IT-security. Helaas blijkt dat het personeel vaak nog steeds de zwakste schakel is als het gaat over informatieveiligheid. Veel medewerkers zijn onwetend, gebruiken zwakke wachtwoorden of zijn onachtzaam bij het openen van e-mailbijlagen. Cybercriminelen weten dat als geen ander en bedenken nieuwe, sluwe manieren om het bedrijfsnetwerk binnen te dringen, waar ze vervolgens veel schade aanrichten en kritische bedrijfsgegevens stelen. Hoe vergroot u het bewustzijn bij medewerkers? Personeel bewustmaken van mogelijke risico’s is van essentieel belang bij het veilig houden van bedrijfsdata. Dit gaat meestal in de vorm van een training, waarvoor de hulp van een externe partij wordt ingeschakeld. Dergelijke trainingen zijn vaak effectief, maar werken nóg beter als u security awareness verankert in uw organisatiebeleid en er actief mee aan de slag gaat op de werkvloer. Slaan uw medewerkers bijvoorbeeld wachtwoorden op in tekstbestanden op het bureaublad? Breng dan de mogelijke veiligheidsrisico’s extra onder de aandacht. Wilt u medewerkers enkel informeren over een belangrijke update? In dat geval is uw intranet een prima kanaal. Gaat u liever voor een interactieve vorm waarbij medewerkers vragen kunnen stellen? Dan is een interne infosessie die u via bijvoorbeeld Microsoft Teams organiseert ook een goed idee. Vijf belangrijke tips U kunt een cyberaanval nooit volledig voorkomen, maar als u bewustwording onder het personeel vergroot, verkleint u het risico aanzienlijk. Daarnaast zijn er ook nog een aantal andere maatregelen die u kunt nemen. Zorg voor veilig internetgebruik Databeveiliging begint met veilig internetgebruik. Het is daarom beter als medewerkers geen bijlagen openen van onbekende e-mailadressen, zelfs niet als de afzender een ‘‘betrouwbare’’ bank of verzekeringsmaatschappij is. Bestanden openen van onbekende websites die niet veilig ogen is helemaal uit den boze! Beperk toegangsrechten van medewerkers Toegangsrechten toewijzen aan specifieke medewerkers is in de meeste software mogelijk. Als u de schrijfrechten van medewerkers beperkt tot hun eigen documenten, verkleint u de kans op een datalek. Informeer medewerkers Een cyberaanval begint meestal bij de medewerker, die een malafide e-mailbijlage opent of per ongeluk een plug-in downloadt die afkomstig is van een onbetrouwbare website. Zorg daarom dat u medewerkers structureel informeert over de gevaren en maak hen alert op de mogelijke risico’s. Verplicht het gebruik van sterke wachtwoorden Een sterk wachtwoord is een wachtwoord dat cybercriminelen niet makkelijk raden of kraken. Het heeft ten minste 8 karakters en bestaat uit een unieke combinatie van hoofdletters, kleine letters, cijfers en speciale tekens. Als u hulp nodig heeft bij het bedenken, genereren of opslaan van wachtwoorden, kunt u gebruikmaken van handige tools als 1Password en LastPass. Wees terughoudend in het gebruik van social media Steeds vaker verzamelen hackers informatie via publieke profielen. Deze gegevens worden vervolgens ingezet voor criminele doeleinden. Zo komt het regelmatig voor dat hackers frauduleuze mails sturen naar hooggeplaatste medewerkers en hen op slinkse wijze financiële informatie aftroggelen. Het lijkt dan alsof de afzender een bekende is omdat de mail volledig is gepersonaliseerd op basis van informatie die de cybercrimineel op social media gevonden heeft. Denk daarom twee keer na voordat u informatie plaatst op sociale platformen als LinkedIn, Facebook en Twitter. Omdat het aantal cyberaanvallen elk jaar toeneemt, moeten bedrijven kritisch kijken naar hun eigen beleid op IT-security. Daarbij moet niet alleen aandacht zijn voor technologie, maar ook voor de medewerker. Hoe goed organisaties vanuit technologisch oogpunt beveiligd zijn is niet langer bepalend. De ervaring leert ons dat cybercriminelen voortdurend nieuwe methoden bedenken om bedrijven via medewerkers binnen te dringen en daar schade aan te richten. Daarom is security awareness voor veel organisaties in 2021 misschien wel het belangrijkste security-thema.