12 veelgemaakte fouten op het gebied van cybersecurity

Het allerbeste flipping artikel over je business beschermen tegen cyberdreigingen in de zomervakantie

‘Nie-mand kan inloggen, dit is ...

Marc Ligthart

Gepubliceerd op 05-07-2022


‘Nie-mand kan inloggen, dit is een RAMP!’ tettert de overslaande stem van de CISO in je oor. Niet echt het telefoontje waar je op zit te wachten.

Geen facturen meer opstellen, geen planningen meer versturen, alles plat. De nachtmerrie van elke directeur. Klinkt misschien als een ver-van-je-bedshow maar dat is het niet. Wij hebben wel eens meegemaakt dat zelfs medewerkers niet betaald konden worden, omdat dit een handmatige handeling was die maar één medewerker uit kon voeren.

De dure waarheid is: juist in de zomervakantie lopen je data en systemen risico om aangevallen te worden door cybercriminelen.

Waarom is de zomervakantie zo’n mooie tijd voor hackers? Wat kan je als directeur, DGA of eigenaar doen om je business te beschermen?

In dit artikel lees je de makkelijkste en meest afdoende manier om hackers en ander gespuis buiten te houden.

Op vakantie inloggen: heel gewoon geworden

In veel sectoren weerklonk een zucht van verlichting dat we post-COVID, in ‘het nieuwe normaal’, gewoon lekker hybrid blijven werken. We zijn het inmiddels al ruim 2,5 jaar gewend, en het gaat prima. Maar het verdwijnen van de scheidslijn tussen privé en zakelijk zorgt voor een nieuwe uitdaging in cybersecurity: je medewerkers nemen de toegang tot jouw data en systemen gewoon met zich mee.

Op hun werktelefoon. Op hun laptop. Op hun tablet. En we vinden het heel gewoon. Waar cybercriminelen dankbaar gebruik van maken.

Voordat we ingaan op hoe je het gespuis buitenhoudt, eerst onze allerbelangrijkste tip die we aan jou willen meegeven.

De nummer één tip bij alles rond cybersecurity: check je noodplan

De belangrijkste tip die eigenlijk het hele jaar door met stip op één zou moeten staan bij elk bedrijf, maar zeker voor de vakantieperiode:

Check of het noodplan dat je klaar hebt liggen nog steeds up-to-date en duidelijk is.

Wij noemen dat ook wel incidentmanagement: hoe manage je incidenten. Want ook al is voorkomen het beste, cybercriminelen zijn slim en snel en hun aanpak verandert om de haverklap.

Hierdoor kun je bij geen enkel cybersecuritybedrijf een 100%-garantie krijgen: dat is simpelweg onmogelijk. Dat is ook waarom een gerenommeerd cybersecuritybedrijf zal pushen op maatregelen voor áls het misgaat: door incidentmanagement (lees: een kant-en-klaar, up-to-date, volledig en uitgebreid noodplan 😉) heb je zelf invloed op hoeveel schade er daadwerkelijk berokkend kan worden.

Terug naar de zomervakantie die voor de deur staat. Let’s dive in.

Vier risico’s die heel gewoon zijn geworden (en maatregelen om ze veilig te maken)

1. Telefoon (tablet en/of laptop) mee op reis

Logisch dat je medewerkers goeie gear krijgen van je. En logisch ook dat die meegaat op reis, dat kun je niet altijd voorkomen. Zeker niet als je medewerkers het apparaat ook privé gebruiken.

Je medewerkers zijn op vakantie in het buitenland maar ook op vakantie in Nederland veelal aangewezen op openbare gelegenheden, zoals koffiehuizen, hotellobby’s, en dergelijke. Niet alleen vanwege de koffie, maar ook omdat er stroompunten zijn en een ‘stabiele’ wifi-verbinding (wij hebben dat op vakantie trouwens nog nooit meegemaakt, jij wel? 😉) waar je gratis gebruik van kunt maken.

Wat jij kunt doen:

  • Voorzie beeldschermen van privacy-film, ‘shoulder surfers’ spelen nog steeds een rol in de duistere wereld van hacking, online fraude, etc. Geef ze geen kans!
  • Zorg dat security-updates geïnstalleerd zijn op alle laptops en telefoons en houd dat bij (dus ook tijdens je vakantie), zodat de apparatuur geen makkelijk doelwit wordt voor hackers.
  • Richt beleid in voor het opladen van telefoons en laptops: altijd opladen met eigen kabels, of met een USB data-blocker die je data beveiligt. Gebruik geen openbare of geleende kabels – je weet nooit of je data wordt uitgelezen terwijl jij denkt dat je simpelweg de accu aan het opladen bent op de luchthaven of in het winkelcentrum.
  • Neem maatregelen tegen het gebruik van openbare wifi, vooral in het buitenland. Het is veiliger om gebruik te maken van je eigen 4G of 5G mobiele data. Zorg dat je medewerkers precies weten hoe groot hun databundel is en in welke landen ze deze kunnen gebruiken. Beoordeel samen of deze bundel voldoende is en of deze te gebruiken is in het land van bestemming.
  • Check bij je IT-afdeling of er een bedrijfsbrede policy is op het automatisch synchroniseren van je IT naar de cloud. Laat dit uitzetten. Zeker voor de vakantieperiode.

2. Vanuit het buitenland inloggen op systemen

Je medewerker gaat natuurlijk het internet op, al is het alleen maar om Tripadvisor te bezoeken of een route te zoeken. Op werktelefoons en apparaten die voor de business gebruikt worden, wordt soms ook ingelogd op systemen. In het slechtste geval zelfs automatisch, bijvoorbeeld bij opstarten. Dit betekent dus dat er rechtstreeks vanaf het apparaat toegang is tot systemen, vinden hackers (ook) handig.

Zonder in te loggen kun je geen facturen opstellen voor klanten, betalingen doen aan leveranciers, testen, of onderzoeksresultaten verwerken van patiënten of examenkandidaten. Zelfs om salarissen uit te betalen aan medewerkers en flexkrachten, openen je medewerkers applicaties of programma’s met hun inloggegevens.

Gebruikersnamen en wachtwoorden staan vaak opgeslagen onder de autofill-functie in je browser. 9 van de 10 medewerkers gebruiken vaak dezelfde wachtwoorden voor meerdere logins, omdat dat makkelijker te onthouden is. Maar ook hackers kunnen daarmee in één klap overal in.

Wat jij kunt doen:

  • MFA MFA MFA: maak ALTIJD gebruik van multi-factor authenticatie.
  • Als er in het buitenland gewerkt moet worden, stel dan samen met je IT-afdeling een solide, werkbaar beleid op over veilig werken vanuit het buitenland, waar je noodplan op aansluit.
  • Denk eraan om tijdelijke werknemers, vakantie- of invalkrachten niet meer rechten te geven dan ze nodig hebben voor hun werk en ontneem hun rechten als het werk erop zit. Zo voorkom je dat het account misbruikt kan worden, door henzelf of door mensen van buiten.

3. Phishing mails

Hah! Maar niemand trapt toch meer in phishing mails? Nee, niet die scams met erfenissen van 87 miljoen dollar die een vermogende filantroop zonder nakomelingen aan jou wil nalaten (maar ook die blijken nog te werken 😊). Maar de ‘echte’ nep-mails lijken steeds beter op die van de echte bekende aanbieders van goedkope vliegtickets of andere vakantiedeals.

Wat jij kunt doen:
Maak je medewerkers tijdig en periodiek weer bewust van scams/phishing mails met bijvoorbeeld als thema ‘goedkope vliegtickets’, ‘unieke zomerdeals’, ‘Albert Heijn zomerkorting’, of ‘all-in fly&drive aanbiedingen’. Mensen zijn rond de lente-/zomerperiode nou eenmaal wat meer aan vakantie toe, daardoor wat minder scherp en dus eerder geneigd om toch te klikken. Zelfs al gaat het per ongeluk. Laat medewerkers het adres van de afzender en de domeinnaam controleren en dubbelcheck of het e-mailadres overeenkomt met de domeinnaam? Laat ze geen bijlagen of links openen in onverwachte e-mails.

Pro-tip: Wist je dat phishing een van de effectiefste vormen van cybercrime is waarmee cybercriminelen toegang tot je bedrijfsdata kunnen krijgen of malware zoals ransomware op je netwerk plaatsen? Wil je weten hoe bewust je medewerkers zijn van phishing en hoe ze daarop reageren, plan dan een phishing assessment in. Weet je gelijk waar je aan toe bent, zomer of winter. 😉

4. Kantoor leeg, iedereen weg

Juist post-COVID is het heel normaal geworden om niemand op het schip te hebben. Alles kan toch remote? Dat kan, mits je de juiste maatregelen treft. Cybercriminelen snappen dat een IT-probleem niet zo makkelijk opgelost kan worden als iedereen weg is. En wat de urgentie is als ze dan eisen gaan stellen, bijvoorbeeld omdat er ransomware is geïnstalleerd.

Wat jij kunt doen:

  • Zorg sowieso tijdens vakantieperiodes altijd voor voldoende mensen op kantoor. Stuur niet iedereen tegelijk met vakantie, zeker niet degenen die over cybersecurity gaan binnen je bedrijf.
  • Houd automatische ‘out-of-office’ replies oppervlakkig. Als ze te veel informatie prijsgeven kunnen cybercriminelen daar misbruik van maken.
  • Deel geen vakantiefoto’s op social media tijdens de vakantie en vraag medewerkers dit ook niet te doen. Wacht daarmee tot je weer thuis bent. Het verhoogt niet alleen het risico op inbrekers aan je huisadres, maar ook hackers die hiervan gebruikmaken om op je werkaccounts in te breken.

Zomerpakket is het nieuwe kerstpakket

Hoe kun je je medewerkers op een leuke manier bewust maken van cybersecurity, zonder dat ze het gevoel krijgen dat het ze opgelegd wordt? Bedenk iets ludieks als een ‘zomer(vakantie)pakket’ – net als het befaamde kerstpakket, maar dan met cybersecurity als thema.

En dus niet met frisbees, beachvolleybalsetjes of strandballen, maar RFID-pashouders om creditcards en bankpassen veilig in te bewaren.

Geen zonneklep, maar een NFC-protector om ook in het buitenland gewoon veilig contactloos ijsjes en dinertjes te kunnen afrekenen.

Geen sun-blocker factor 55, maar een USB data-blocker zodat je gegevens niet zomaar uitgelezen kunnen worden.

Terug van vakantie? Denk aan een pentest

Tijdens zo’n penetratietest kijkt een cybersecuritybedrijf naar de beveiliging van jouw ICT-omgeving. Je leert daaruit hoe makkelijk of hoe moeilijk het is om gevoelige gegevens van buitenaf te bereiken. Omdat een ethische hacker op dezelfde manier denkt als een kwaadwillende hacker achterhaal je met een pentest precies hoe moeilijk of makkelijk het is om in te breken in jouw systeem, je IT-infrastructuur, je eigen interne digitale snelweg. Zodat je jouw pot met goud hierna nog beter kunt bewaken. Enne… Zo’n pentest is niet alleen ontzettend waardevol om uit te laten voeren na de zomervakantie, maar sowieso 1 à 2 keer per jaar.

Meer weten? Download kosteloos onze Cybersecurity Checklist. Je komt dan ook meteen op de mailinglijst Cyber No Shitshow terecht. Onregelmatig sturen we je dan het meest zuivere signaal in cybersecurityland.

Gerelateerde onderwerpen

Telefoonnummer gekopieerd naar klembord