Ransomware-aanvallen komen steeds meer voor. Bedrijven gaan er soms failliet aan. Wie ze wil voorkomen stuit al gauw op een oude wijsheid: veiligheid draait vooral om mensen.
Het kan uw eigen pc zijn. Zonder dat u het merkt, wordt er ransomware op geïnstalleerd. En dat is slecht nieuws voor het bedrijf! Want als de cybercriminelen die ransomware in werking zetten, worden alle gegevens razendsnel versleuteld. En dus onleesbaar gemaakt. Niet alleen op uw pc, maar op elke computer van het bedrijf die besmet raakt.
Niemand kan meer werken. Zonder spreadsheets, mailtjes, rapporten of databases valt alles stil. Ondertussen verschijnen de ultimatums. Data terug? Dan moet het bedrijf losgeld betalen. Het is net als een ontvoering, en even gewetenloos.
Veel bedrijven zijn wekenlang knock-out door zo’n aanval. Want zelfs als je toegeeft, duurt het ontsleutelen eindeloos. En vaak werkt het maar gedeeltelijk.
Zwaktes
Het is duidelijk: ransomware moet je buiten de deur houden. Toch weten de criminelen binnen te dringen, keer op keer. Bij kleine bedrijven en ook bij heel grote. Veelal door één en dezelfde zwakke plek. En dat is de mens.
De cybercriminelen weten precies hoe ze in kunnen spelen op onze zwaktes. Onachtzaamheid, haast, zuinigheid en gemakzucht worden uitgebuit om ransomware en andere gevaarlijke software binnen te smokkelen. Hieronder geef ik enkele voorbeelden.
Updates
Kees zit in de keuken achter zijn laptop. Hé, een melding van Microsoft over een update! Er staat dat het kritisch is. Maar Kees zit voor een deadline, dus klikt hij de melding snel weg.
In de daaropvolgende dagen gebeurt dat nog een paar keer. Maar intussen wordt er wel iets anders geïnstalleerd: ransomware. Via de softwarefout die de update moest verhelpen.
Freeware
Communicatiemedewerkers kunnen goed hobby’en. Neem Louise: ze heeft allerlei tooltjes op haar pc. Grafische software, tools voor nieuwsbrieven en enquêtes, noem maar op. Veel daarvan gebruikt ze maar af en toe, dus het mag eigenlijk geen geld kosten. Gelukkig heeft ze online veel freeware kunnen vinden, om maar te zwijgen van de gratis webservices.
Maar gratis bestaat niet. Zo’n handig tooltje kan heel goed software van criminelen bevatten. En dan wordt de prijs voor het bedrijf van Louise heel hoog.
Zoontje
Veel bedrijven hebben een stevige beveiliging op hun laptops. Vreemde software komt er niet binnen. Maar Roelof vindt de pc van de baas lastig en en traag. Zijn privécomputer werkt veel sneller en fijner. Hij komt nooit op gevaarlijke websites, dus zet hij met een gerust geweten de bedrijfsdata over.
Maar terwijl hij boodschappen doet, gaat zijn zoontje websurfen op pappa’s computer. Die is niet zo voorzichtig. De gevolgen zijn rampzalig.
Wachtwoord
‘Nee hè! Alweer een nieuw wachtwoord.’ Lucien is niet blij. Dat gedoe altijd. Elke drie maanden moet hij zijn password voor het bedrijfsnetwerk vervangen. Daar gaat hij dus niet meer tijd aan verspillen dan nodig is: MotoGuzzi4 wordt MotoGuzzi5. Zo, klaar.
Wat hij niet weet, is dat een hacker op datzelfde moment Luciens Facebook-pagina zit te bekijken. Vol met foto’s van zijn motorfiets: merk Moto Guzzi. En die avond wordt Luciens bedrijfsaccount gehackt.
Wat doet u er aan?
Hoe maakt u al die mensen wijzer? Om te beginnen moeten ze weten waar de gevaren liggen. Dus hoort cyberveiligheid aandacht te krijgen in het personeelshandboek. Maar dat zal niet genoeg zijn.
Moet u het dan maar verplicht stellen? Dat is makkelijker gezegd dan gedaan. Want hoe controleert u het? En de kans is groot dat mensen juist de kont tegen de krib gooien.
Trainen
De beste optie is simuleren: organiseer trainingen die gebaseerd zijn op gegevens over echte aanvallen. Simuleer een crisis, al is het maar op papier. Laat de medewerkers nadenken over de gevolgen voor de organisatie. En doe dit niet één keer, maar regelmatig, want kennis en aandacht verslappen mettertijd.
Uiteraard komt daar wel het een en ander bij kijken. Je kunt een training niet twee keer op dezelfde manier geven. Hij moet ook afgestemd zijn op de doelgroep: een monteur heeft immers niets aan een testvragen over facturen. Hij heeft een training nodig die aansluit op zijn werk en zijn denkwijze.
Een simulatie kan ook de vorm hebben van een phishing-campagne: dan stuur je de medewerkers nepmailtjes toe, net zoals hackers dat doen. Wie gaat er klikken op de link in het mailtje?
Zo zijn er allerlei mogelijkheden. Hoe realistischer, hoe beter. Want de praktijk is de beste leermeester. Als je eenmaal hebt meegemaakt wat de gevolgen zijn van een echte ransomware-aanval, kijk je de volgende keer echt beter uit. Maar dan is het leergeld wel erg hoog.
