Zo verklein je het risico op cyberaanvallen

Het is niet de vraag óf cybercriminelen uw volmachtkantoor aanvallen, maar wannéér, zegt Ruben de Groot, business riskmanager bij a.s.r. volmachten. Samen met volmachtauditor Dennis Jansen legt hij uit welke maatregelen u kunt nemen om geen slachtoffer te worden van cybercriminaliteit. “Dat hackers proberen je netwerk binnen te dringen is niet te voorkomen, de kans op een succesvolle aanval kun je wél verkleinen.”

Wist u dat de helft van alle Nederlandse bedrijven op enig moment te maken krijgt met cybercriminaliteit? Dat de totale schadelast voor het bedrijfsleven ongeveer 10 miljard euro per jaar bedraagt en ieder jaar hoger wordt? Ondanks alle voorzorgsmaatregelen die u waarschijnlijk heeft genomen, is de kans dus groot dat ook uw volmachtbedrijf doelwit wordt van cybercriminelen.

De belangrijkste tips van Ruben en Dennis:

  1. Maak dagelijks een back-up van je data en zorg dat de kwaliteit ervan wordt getest door maandelijkse deelrecovery’s en minimaal één keer per jaar een full-recovery.
  2. Test wat er gebeurt als je systeem geheel of volledig door een cyberaanval wordt platgelegd en hoelang de recovery duurt.
  3. Voer één keer per jaar een pentest uit om de zwaktes in je netwerk en bij je mensen te ontdekken.
  4. Breng cyberveiligheid regelmatig onder de aandacht bij je medewerkers.
Datumprikker Om bewustwording te creëren, ontving een deel van a.s.r. vorig jaar via datumpriker.nl (met één k) een fictieve uitnodiging voor de kerstborrel. Best veel medewerkers klikten op de 'besmette link', bekent Ruben. “De mail die wij gefabriceerd hadden, verschilde nauwelijks met een origineel bericht van datumprikker.nl. Het werd meteen duidelijk dat iedereen 'erin kan trappen'.”

Business continuity managementplan Iedere volmacht zou daarom, samen met zijn IT-leverancier, een business continuity managementplan moeten hebben, zegt Ruben. “Daarin staat onder andere beschreven wat de belangrijkste applicaties van het bedrijf zijn, hoe die worden beschermd tegen de bedreiging van een cyberaanval, welke impact een aanval kan hebben op de bedrijfsvoering en hoe daar door de medewerkers van het bedrijf op wordt gereageerd.” Nu steeds meer mensen thuiswerken is voor veilig dataverkeer tussen de thuiswerkplek en het zakelijke netwerk een goede (VPN-) verbinding essentieel. Ruben: “Bespreek met de softwareleverancier hoe de netwerken zijn beveiligd en hoe de performance is geborgd. Is thuiswerken ook nog veilig als er een netwerkstoring is? Vraag medewerkers beschikbare software-updates te installeren, ook als ze met privé laptops werken.”

TLS 1.2 Ruben legt uit dat a.s.r. voor cryptografische protocollen, die voor authenticatie en gegevensencryptie zorgen in het netwerk, TLS 1.2 als minimale eis heeft en TLS 1.3 gewenst is. "TLS is een internationale standaard voor het beveiligen van webverkeer. Weet je niet welk protocol jouw bedrijf heeft, vraag dit dan aan je IT-leverancier.” Ook het delen van (klant)informatie via mail of applicaties als Zoom en Microsoft Teams moet onder de loep worden genomen. “Voldoe je aan de richtlijnen die de AVG stelt aan het beveiligd delen van klantinformatie? Bij a.s.r. gebruiken wij onder andere Teams om informatie met externe business partners te delen. Vooraf bekijken wij of deze partijen een securityplan hebben, hoe ze hun gebruikers beheersen en hoe ze hun netwerkbeveiliging op orde houden”, vertelt Dennis.

Pentest Met een pentest ('penetration testing') kan worden gecontroleerd hoe veilig het netwerk nu eigenlijk is. Ruben legt uit hoe een pentest werkt. “Pentesters kruipen in de huid van een hacker en proberen op allerlei manieren en met alle mogelijke middelen toegang te krijgen tot de IT-omgeving om zwakke plekken daarin bloot te leggen. De bevindingen kunnen aanleiding zijn om met gerichte maatregelen deze kwetsbaarheden te verhelpen.” Een andere optie is de vulnerabilityscan, waarbij het IT-systeem via een volledig geautomatiseerde procedure op zwakheden wordt gecontroleerd. Ruben: “De vulnerabilityscan beperkt zich tot bekende beveiligingsfouten en heeft in veel gevallen niet de intelligentie om kwetsbaarheden te ontdekken die van deze bekende patronen afwijken. Ook hiervoor geldt: bespreek met de IT-leverancier wat voor jouw onderneming wenselijk is en wat de mogelijkheden zijn.” Gaat het ondanks alle voorzorgsmaatregelen tóch mis, dan is een goede back-up van je data erg belangrijk, vervolgt Dennis. “Ik voer audits uit bij volmachten en constateer vaak dat er wel een back-up is, maar dat een volledige test of alle data aanwezig zijn ontbreekt. Doe dat minimaal één keer per jaar en kijk ook hoelang je systemen uit de lucht zijn als je digitaal wordt aangevallen.” Social engineering Naast alle 'technische' maatregelen vormt de mens de zwakste schakel in de beveiligingsketen. Bekende manieren om informatie of klantgegevens te verkrijgen zijn de phishingmails en berichten via WhatsApp en sms. Het groeiende aantal thuiswerkers heeft geleid tot een nieuw fenomeen, merkt Ruben. “We zien een toename van social engineering, een techniek waarbij iemand het vertrouwen probeert te winnen door zich voor te doen als een bekende.” Met hun beïnvloedingstechnieken en sociale vaardigheden slagen criminelen erin om bij medewerkers die thuiswerken vertrouwelijke informatie los te krijgen of hen zover krijgen dat ze op een besmette link klikken. “De kans daarop is groter nu er geen collega’s in de buurt zijn die geraadpleegd kunnen worden. Ook kunnen collega’s elkaar niet waarschuwen als iemand aan de telefoon gedetailleerde klantinformatie verstrekt, zonder vooraf een aantal controlevragen te stellen om te verifiëren of ze de juiste persoon aan de lijn hebben. Verder zien we dat criminele organisaties via sollicitanten infiltreren in organisaties. Op één van zijn eerste werkdagen krijgt zo'n persoon dan een phishingmail waarop hij moet klikken, waarmee de criminelen een virus kunnen installeren en activeren op het netwerk.” Medewerkersbijeenkomsten Ruben adviseert bedrijven om hun medewerkers regelmatig te wijzen op de gevaren van phishing en social engineering. “Bespreek het onderwerp in medewerkersbijeenkomsten. Toets of ze nog steeds de juiste controlevragen stellen als een klant belt en hem vragen om zich te identificeren. Deel voorbeelden van phishingmails en laat hen trainingen volgen op het gebied van online veiligheid. Dat kan bijvoorbeeld via https://www.alertonline.nl.” Dennis: “Bij a.s.r. krijgen werknemers één keer per maand bij het inloggen een aantal securityvragen. Voor nieuwe medewerkers is er een workshop cybersecurity, waarin ze onder andere leren om direct de netwerkverbinding te verbreken als ze het vermoeden hebben van een digitale aanval, of als hun PC afwijkend gedrag vertoond na het klikken op een ‘achteraf’ verkeerde link.” Ook het benoemen van een verantwoordelijk functionaris voor cyberrisico’s en ambassadeurs die het kennisniveau binnen de organisatie op peil houden is een goede zet, zegt Ruben, die zelf één keer per maand alle schademensen een bericht stuurt over cyberrisico's. “De ene keer stuur ik een voorbeeld van phishing, de andere keer informeer ik ze over nieuwe ontwikkelingen of procedures.” De aandacht voor cyberveiligheid sorteert effect, constateert hij tevreden. “Uit kennistests is gebleken dat de awareness van onze medewerkers significant is gestegen.” Goede voorzorgsmaatregelen en continu aandacht voor cybercriminaliteit zijn een must, besluiten Ruben en Dennis. “Dat hackers je netwerk proberen binnen te dringen is helaas niet te voorkomen, maar de kans op een succesvolle aanval kun je wél verkleinen.”