Bescherming tegen cybercrime – stap 2
In de vorige blog keken we naar het hang- en sluitwerk. Dat wil zeggen: een aantal technische middelen om uw organisatie te beschermen tegen cybercrime. In dit vervolg kijken we naar de menselijke kant van de verdediging. Want dat is waar vaak de meeste problemen ontstaan.
Voor hackers is e-mail de digitale hoofdingang van uw bedrijf. Uw medewerkers zien dagelijks talloze mailtjes binnenkomen. Vaak vragen die om een snelle reactie. Maar tegelijk worden uw mensen afgeleid: door collega’s die even langs komen lopen, door ruziënde kinderen of gewoon door andere beslommeringen.
Ze zijn dus niet op hun qui-vive. En dat is gevaarlijk! Want dat maakt ze extra kwetsbaar voor misleiding door nep-mailtjes.
Phishing en meer
Geen wonder dus dat hackers vooral langs deze weg binnenkomen. Ze sturen een bericht dat afkomstig lijkt van bijvoorbeeld een leverancier of een bank. In het bericht staat een link waar de ontvanger op moet klikken. Doet hij dat, dan komt hij op een site die al even nep is. Daar moet hij vervolgens gegevens invoeren. En met die gegevens kan de hacker vervolgens binnenkomen op uw bedrijfsnetwerk.
Een alternatief is dat het mailtje een bijlage heeft die een virus bevat. Ook dan begint de ellende op het moment dat uw medewerker zich laat verleiden om op het bestand te klikken.
Deze vormen van misleiding met e-mail noemen we phishing. Ook phishing-aanvallen worden steeds geavanceerder. Vroeger kon je deze mailtjes meteen herkennen aan de taal- en spelfouten. Maar tegenwoordig is ook de misdaad geprofessionaliseerd. Alleen als je heel goed kijkt naar het afzender-adres, en heel kritisch leest, zie je dat er iets niet klopt.
E-mail wordt ook gebruikt voor andere vormen van oplichting. Dan is het bericht zogenaamd afkomstig van de CEO of het hoofdkantoor: of er maar snel geld kan worden overgemaakt naar een ‘leverancier’. Je zou denken dat niemand daarin trapt, maar toch gebeurt het.
De menselijke factor
Een deel van de phishingmailtjes zal door een gewoon spamfilter al worden afgevangen. Er bestaat speciale software die daar nog wat slimmer in is. Maar de criminelen houden daar ook rekening mee. Net als gewone marketeers stemmen ze hun berichten steeds beter af op de ontvangers. Zo worden hun mailtjes steeds ‘echter’.
Dus uiteindelijk hangt alles af van de menselijke factor. Zijn uw medewerkers klaar om de cyberoplichters te betrappen?
Maatwerk in trainingen
Alles begint met kennis. Uw mensen moeten weten hoe je phishing herkent. Wat ze met zo’n mailtje moeten doen – en vooral, wat niet. En wat de beste uitweg is als ze toch hebben doorgeklikt naar die verdachte website.
Antwoorden op die vragen zijn te vinden op deze poster en handout. Maar u krijgt uiteraard meer resultaat met een gedegen trainingsprogramma. De opzet daarvan zal niet voor elk bedrijf en elke functie hetzelfde moeten zijn. De aard van de risico’s verschilt immers. Maatwerk is dus wenselijk.
Het aanbod van Tesorion is dan ook breed en gevarieerd. Het begint bij een grote bibliotheek met multimediale modules voor e-learning. U kunt ze gemakkelijk inpassen in uw eigen learning management system (LMS).
Verder zijn er trainingen. Die zijn er in series met een uitgekiende opbouw, zodat het bewustzijn van uw mensen steeds verder wordt versterkt. Interactief werken staat centraal, zodat ze leren van hun fouten.
De trainingen kunnen ook in de vorm van games worden gegoten. Want onderzoek leert dat we in spelsituaties niet alleen met meer plezier, maar ook sneller en makkelijker leren.
Tot slot kunt u ook een simulatie van een cyberincident inzetten. Tijdens een crisissimulatie ervaren mensen hoe een cyberaanval in zijn werk gaat. Dat zullen de deelnemers niet snel vergeten.
Cybersecurity begint met bewustzijn
en met de gratis Tesorion 'Herken phishing' posters
We zijn altijd verbonden met elkaar. Via verschillende kanalen komen er berichten binnen. Herkent u phishingberichten? Natuurlijk klikt u nooit op onbekende links? Soms is het ook wel lastig om echt en nep te herkennen.
Om u en uw collega’s op weg te helpen hebben wij een poster gemaakt met handige tips. Voor de thuiswerkende collega’s hebben we een handout. Zo helpt u mee aan een cyberveilige werkomgeving en een veiliger Nederland.
Herhalen
Het is niet voldoende om uw medewerkers één keer een training te geven. Dan ebt het effect snel weer weg. Zowel de kennis als het bewustzijn moeten periodiek worden opgefrist.
Geregelde, maar afwisselende, trainingen maken uw mensen vertrouwd met de principes van veilig werken. Ze leren phishing herkennen. Maar ook voorzichtig te zijn met het delen van informatie en het gebruik van USB-sticks, om maar een paar voorbeelden te noemen.
Meten is weten
Natuurlijk wilt u weten of die trainingen effect hebben. Dat kunt u meten, door dit geregeld te testen. Herkennen uw mensen bijvoorbeeld die phishing-link die we hen sturen? Ook andere ‘zwakke plekken’ in de menselijke verdediging kunnen met assessments worden opgespoord. Bijvoorbeeld door een ‘mystery guest’ in te zetten.
De volgende stap
Nu weet u wat uw medewerkers kunnen doen om de organisatie te beschermen – of juist in gevaar te brengen. En wat u kunt doen om hen te helpen in hun beschermingstaak.
In de volgende blog kijken we naar de organisatie van de verdediging: hoe u het netwerk zo inricht dat hackers overal voor een dichte deur komen te staan.
