In de media lezen we volop over incidenten bij organisaties als gevolg van cyberspionage en digitale ramkraken. In veel van die gevallen werd het aanvallers gemakkelijk gemaakt door nietsvermoedende medewerkers. Alertheid en gezond verstand kunnen veel ellende voorkomen. Wanneer heeft u voor het laatst de deur open gehouden voor iemand die u niet kende?
Bij datalekken zijn de eigen medewerkers het vaakst de hoofdschuldige. Uit onderzoek van IBM blijkt zelfs dat bij 95 procent van alle hacks sprake was van menselijke fouten. Wat kunt u zoal doen om een cyberincident te voorkomen?
1. Wees op uw hoede met e-mail
E-mail is voor hackers een populair middel om de ontvanger waardevolle informatie zoals inloggegevens te ontfutselen. We noemen dat ‘phishing’. Hackers sturen betrouwbaar ogende e-mails die u leiden naar namaakwebsites en nepformulieren. Doelstelling is zo om u bijvoorbeeld te verleiden uw gebruikersnaam en wachtwoord achter te laten.
Ook veel ransomwareaanvallen verlopen in eerste instantie via e-mail. De hacker voegt dan vaak een betrouwbaar ogend document toe. In werkelijkheid bevat het document een kwaadaardig script dat de malware ongezien binnensmokkelt.
Door bewust en voorzichtig om te springen met e-mail kunt u aanvallen voorkomen. Controleer bij twijfel de identiteit van de verzender. Let op verdachte zaken als afwijkingen in webadressen, taalfouten en verdachte afzenders. En gebruik vooral uw gezonde verstand. Een bank zal u bijvoorbeeld nooit per e-mail vragen naar gevoelige informatie als een pincode of wachtwoord. En klinkt iets te mooi om waar te zijn? Dan is dat meestal ook zo.
2. Een goede wachtwoordhygiëne
Sterke wachtwoorden vormen een eerste verdedigingslinie tegen ongeoorloofde toegang tot gevoelige informatie. Helaas gebruiken we uit gemak vaak eenvoudig te raden wachtwoorden. Het wachtwoord ‘123456’ staat al jarenlang bovenaan alle lijstjes. Ook wachtwoorden schrijven op post-its komt nog voor.
Gebruik liever willekeurige tekenreeksen die bestaan uit cijfers, letters en enkele speciale tekens. Nog verstandiger zijn wachtzinnen, inclusief spaties en leestekens. Die zijn niet alleen haast onmogelijk te kraken, je onthoudt ze doorgaans veel gemakkelijker dan nietszeggende cijfer- en lettercombinaties.
Door grote hacks komen gebruikersnamen en bijbehorende wachtwoorden regelmatig op straat te liggen. Verander wachtwoorden/wachtzinnen dan ook regelmatig en gebruik niet voor ieder account dezelfde wachtzin. Een wachtwoordmanager voorkomt dat je veel lastige wachtwoorden of wachtzinnen moet onthouden.
3. Trap niet in social engineering
Social engineering is een verzamelnaam voor misleidingstrucs die hackers toepassen in het dagelijkse sociale verkeer, zoals gladde praatjes aan de telefoon of overtuigend toneelspel. Een bekende truc is het telefonisch ontfutselen van persoons- of inloggegevens. De hacker belt dan bijvoorbeeld namens het IT-bedrijf met de vraag of u even uw wachtwoord wilt doorgeven.
Soms zijn ze zo brutaal dat ze gewoon op de werkvloer komen. Ze laten bijvoorbeeld usb-sticks slingeren, in de hoop dat nieuwsgierige medewerkers deze in hun laptop steken. Op de stick staat dan bijvoorbeeld malware waarmee de hacker toegang krijgt tot het bedrijfsnetwerk. Of ze doen zich voor als medewerker van de IT-helpdesk en vragen u vriendelijk of ze uw systeem mogen controleren.
Social engineering is lang niet altijd eenvoudig te herkennen. Vraag bij twijfel om identiteitsbewijzen of vraag naar details die alleen de betreffende persoon kan weten. En geef nooit zomaar vertrouwelijke informatie via e-mail of telefoon.
4. Wees zuinig op privacygevoelige informatie
Vrijwel iedere organisatie verwerkt op de een of andere manier persoonsgegevens. Dat is niet zonder risico’s, want een datalek kan duur komen te staan. Hackers zijn dol op deze gegevens, want hiermee kunnen ze bijvoorbeeld identiteitsdiefstal plegen.
Bij het overgrote deel van datalekken komt echter geen hack aan te pas. Medewerkers zijn in het overgrote deel van de datalekken zelf de ‘hoofdschuldige’. Met enige voorzichtigheid en oplettendheid kunt u veel ellende voorkomen. Via bijvoorbeeld verkeerd geadresseerde e-mails kan gevoelige informatie en persoonsgegevens in verkeerde handen vallen.
Kijk ook uit met cloudopslagdiensten en webmail. Deze diensten zijn handig in gebruik, maar hun servers staan veelal op Amerikaans grondgebied. Alle gegevens die u daarop plaatst, verlaten het land. Het is niet altijd wenselijk dat privacygevoelige informatie daar terechtkomt. Soms is het zelfs ronduit wettelijk verboden, of hanteert uw organisatie een privacybeleid waarin dit niet is toegestaan.
4. Mobiele apparaten
Mobiele toestellen zijn onmisbaar, maar brengen verschillende securityrisico’s met zich mee. Gebruikt uw apparaten zoals laptops, smartphones of tablets voor zakelijke doeleinden? Installeer dan altijd direct alle updates, zeker die van het besturingssysteem. Zo verkleint u de kans dat hackers misbruik maken van bekende lekken.
Controleer ook goed welke apps u installeert en welke rechten deze hebben. Apps kunnen vaak bij zaken als het adresboek, de camera en de microfoon. Dat zijn bij verkeerd gebruik regelrechte oorzaken voor een datalek. Zo kunnen apps als Facebook en WhatsApp vaak bij uw volledige adresboek. Vraag uzelf af of dat op een zakelijk toestel geoorloofd is en of hier officieel beleid voor bestaat.
5. Hotspots
Wees extra alert bij openbare wifi-hotspots, in bijvoorbeeld winkels, restaurants, hotels en cafés. Verkeer dat u verstuurt via zo’n verbinding is met eenvoudige middelen te onderscheppen. Verstuur dus nooit gevoelige informatie via een publieke hotspot, maar gebruik in die gevallen altijd een VPN-verbinding.
Hackers zetten soms valse hotspots op om nog eenvoudiger informatie te stelen. Controleer of het draadloze netwerk waarmee u wilt verbinden ook echt de officiële hotspot is. Bijvoorbeeld door bij het personeel na te vragen wat de naam ervan is.
Een extra veiligheidsmaatregel is het gebruik van een SSL-plugin voor uw browser. De communicatie met veel bekende websites is dan versleuteld. Zet ten slotte bestands- en apparaatdeling uit.
Nu zijn menselijk fouten natuurlijk nooit helemaal te voorkomen. Het omgekeerde is ook waar: als u zich bewust bent van de gevaren en weet hoe u moet handelen, bent u de beste verdediging tegen cybercriminelen en verkleint u de kans op lekken door onvoorzichtigheid. Daar kan geen firewall tegenop.
