• Diensten
  • Over Hupra
  • Klantenservice
  • Contact
  • Diensten
  • Over Hupra
  • Klantenservice
  • Contact

Hupra helpt verder

Telefoon

0318 528 528

E-mail

info@hupra.nl Maak afspraak →

banner_cyberbewustwording

Altijd & overal

BEWUST VAN CYBERCRIME

Cybersecurity

Cybercrime bewustwording
in 5 stappen.

Nathalie-1-1-1

Bij cybersecurity is de mens de zwakste schakel. Veel medewerkers onderschatten de risico’s en vormen een gemakkelijke ingang voor cybercriminelen. Hoe zorgt u voor meer bewustzijn binnen uw bedrijf?

Corinne werkt als receptioniste bij een transportbedrijf. Als ze terugkomt van de lunch ligt er een usb-stick op de balie. Ze besluit om te kijken wat erop staat, want misschien is iemand de usb-stick wel kwijtgeraakt. Wat Corinne niet weet, is dat de usb-stick besmet is malware. Twee dagen later worden alle computerschermen zwart: het bedrijf is gehackt. Hackers eisen 90.000 euro aan Bitcoin als losgeld.

  • Cybercrime kan ook jou overkomen.
  • Ieder bedrijf is kwetsbaar
  • Pluis het uit & werk veilig!
Wat zijn veel voorkomende vormen van cybercriminaliteit en welke impact hebben ze?
‘Cybercrime ontwikkelt zich in rap tempo en komt in allerlei vormen voor.’

De menselijke factor bij cybersecurity

Bij cybersecurity is het in de basis van belang om de technische kant op orde te hebben. Maar dat is niet genoeg. Vanwege de grote rol die mensen spelen, is het niet effectief om alleen maar technische maatregelen te treffen. Het grootste deel van de cybercrime-incidenten is namelijk toe te schrijven aan menselijke fouten.

Cybercrime risico’s zijn toegenomen

Nu er vaker thuisgewerkt wordt, zijn de risico’s extra toegenomen. Denk aan slecht
beveiligde wifi-netwerken en het gebruik van privé computers. Geregeld hebben medewerkers te maken met phishing mails en malware. Allemaal pogingen van hackers om toegang te krijgen. Bovendien is steeds meer informatie online te vinden, iets waar cybercriminelen dankbaar gebruik van maken.

cybercrime1-1

Maar zijn medewerkers hier wel van bewust?

Medewerkers zien vaak de gevaren niet. Ze klikken op een link, downloaden een geïnfecteerd bestand of geven onbedoeld vertrouwelijke informatie af. Cybercriminelen pakken dat zeer geavanceerd aan met social engineering: psychologische trucs om u te misleiden.

Wat is social engineering?

Social engineering is het gebruik van manipulatie en bedrog om vertrouwelijke informatie te verkrijgen. Criminelen proberen persoonlijke gegevens of wachtwoorden te achterhalen of mailware te installeren. Daarbij gebruiken ze trucs die inspelen op de menselijke psyche. Zoals nieuwsgierigheid, vertrouwen, angst, onwetendheid en hebzucht. Op dit moment wordt het gezien als een van de grootste bedreigingen voor informatiebeveiliging.

Cybercriminelen worden steeds beter

Voorheen was het vaak makkelijk te herkennen. Vreemde telefoontjes, rare sms-berichten en e-mails die slecht vertaald waren. Maar tegenwoordig zijn veel berichten amper meer van echt te onderscheiden. Het lukt criminelen goed om te doen alsof ze iemand anders zijn. 

Door gegevens via social media te verzamelen maken cybercriminelen hun verhaal geloofwaardiger. Ook gebruiken ze tools, waardoor bijvoorbeeld het telefoonnummer van uw bank verschijnt als ze bellen. Zelfs video en audio deep fakes worden al ingezet. Meestal spelen ze in op emoties of creëren ze tijdsdruk. Daardoor denkt het slachtoffer niet meer helder na. 

cyber2-1
cyber3-1

Hoe groot is de kans dat het u overkomt? 

Uit verschillende onderzoeken blijkt dat zeker de helft tot drie kwart van de bedrijven te maken heeft gehad met cyberincidenten. In een internationaal onderzoek van Mimecast geven zelfs 4 van de 5 IT-professionals aan dat hun organisatie afgelopen twee jaar door ransomware getroffen is. Waarbij de Nederlandse bedrijven op 87% uitkomen.

Helaas gaat het dus niet langer om de vraag of het u overkomt, maar wanneer. Juist het mkb is kwetsbaar, omdat specialistische kennis over cybersecurity vaak ontbreekt en er minder maatregelen worden getroffen.

Kleiner bedrijven zijn vaker doelwit

In 2021 was social engineering het meest voorkomende cybersecurityincident. Kleinere bedrijven blijken daar een gewild doelwit voor te zijn. Medewerkers van een kleiner bedrijf (minder dan 100 werknemers) hebben gemiddeld met 3,5 keer meer social engineering-aanvallen te maken dan bij een grotere organisatie.

 

AdobeStock_237161628

Wat zijn veelgebruikte methodes?

Bij bijna elke cyberaanval zetten criminelen social engineering in. Laten we eens kijken
naar 3 belangrijke vormen van cybercrime, waarbij sprake is van psychologische misleiding.

Phishing berichten zijn tegenwoordig bijna niet van echt te onderscheiden. Van alle vormen van cybercrime worden bedrijven hier dan ook het vaakst door getroffen. Via e-mail, een tekstbericht of telefonisch doen oplichters zich voor als iemand anders. Zoals een bank of een andere officiële instantie. Vervolgens proberen ze persoonlijke informatie te verkrijgen.

Malware is kwaadaardige software (malicious software). Virussen, wormen, ransomware en spyware zijn allemaal vormen van malware. Malware dringt binnen en kan gegevens stelen, versleutelen of verwijderen. Het kan ook wijzigingen aanbrengen in functies of activiteiten bespieden. Met psychologische trucs zorgen criminelen ervoor dat u op een link klikt of een bestand downloadt. Ook verspreiden ze besmette usb-sticks.

Ransomware is gijzelsoftware, die binnenkomt via spam of phishing mails, malware of een lek in uw software, zoals een browser. Het gijzelt uw bestanden door versleuteling. In ruil voor een flink geldbedrag, losgeld dus eigenlijk, krijgt u weer toegang. Als de hackers zich tenminste aan hun woord houden.

Cybersecurity

Wat zijn de gevolgen van een cyberaanval?

AdobeStock_102302256-1-1

Op slinkse wijze kunnen cybercriminelen uw computer of andere devices infecteren. Dat kan u zelf een keer overkomen, of een van uw collega’s. Misschien heeft u wel helemaal niet door dat het gebeurd is, totdat ze uw systeem blokkeren en data gijzelen.

Een cyberaanval heeft nare gevolgen. Het kost veel geld en tijd om alles te herstellen. In de tussentijd kunt u klanten niet helpen en ligt uw bedrijf stil.

Wat betekent een cyberaanval voor uw bedrijf?

  • Kostbare downtime (gemiddeld 19 dagen.)
  • Hoge herstelkosten en losgeldbedragen
  • Gegevensverlies en gegevensdiefstal
  • Imagoschade en eventuele boetes voor een datalek
onbewustbekwaam-1

Van onbewust onbekwaam naar bewust bekwaam

Cybersecurity kun je op 3 punten beoordelen: de mens, de organisatie en de techniek. Vaak is de mens de zwakste schakel. Toch ziet de gemiddelde medewerker zichzelf niet zo. Dat is misschien ook wel precies het probleem: het ontbreekt aan het bewustzijn.

Voorkom dat uw medewerkers de grootste bedreiging vormen, door daar iets aan te doen. Medewerkers weten niet wat ze niet weten. Daar begint het dus bij. De leercurve van Maslow laat zien hoe je van onbewust onbekwaam naar bewust bekwaam gaat.

Cybersecurity als onderdeel
van de bedrijfscultuur

Laat medewerkers inzien dat cybersecurity iets is dat iedereen aangaat. Juist omdat de
menselijke factor zo groot is, mag niemand het zien als enkel een ICT aangelegenheid.
Er zijn 5 stappen die we adviseren om te nemen.

Cybersecurity is een vak apart. Ontwikkelingen gaan snel en zijn niet bij te houden als het niet uw expertise is. In eigen beheer met een interne security manager is dat vrijwel onmogelijk. Er zou een complete afdeling voor nodig zijn met hoogopgeleide IT-specialisten met een brede set aan vaardigheden. Die vervolgens continu bijgeschoold moeten worden.

Door cybersecurity uit te besteden maakt u gebruik van de kennis en kunde van een organisatie die gespecialiseerd is in ICT veiligheid en de ontwikkelingen op de voet volgt. Dat betekent dat u een hogere kwaliteit in huis haalt dan u zelf zou kunnen bereiken. Bovendien doet de ICT-partij ervaring op bij verschillende bedrijven. Al die ervaring komt uw organisatie weer ten goede.

Bespreek samen met uw IT-partij regelmatig wat de risico’s voor uw bedrijf zijn. Besteed niet alleen aandacht aan de technische kant, maar ook aan de menselijke factor. Organiseer samen trainingen voor medewerkers. Of laat een test uitvoeren om te kijken of u en uw medewerkers alert genoeg zijn.

Veilig gedrag bevordert u door medewerkers goed te faciliteren. Zeker nu er veel thuisgewerkt wordt, is het belangrijk daar aandacht aan te besteden. Als medewerkers inloggen op een privé device of slecht beveiligde wifi hebben, bent u extra kwetsbaar.

Zorg daarom dat medewerkers goed gefaciliteerd zijn. Stel budget en middelen beschikbaar waarmee ze veilig kunnen werken. Het voorkomt dat ze uit gemak of kostenoverwegingen naar oplossingen zoeken die niet veilig zijn.

Een voorbeeld van medewerkers goed faciliteren is de Hupra Online Werkplek. Via deze werkplek kunnen medewerkers altijd en overal veilig werken. De gegevens zijn versleuteld en beter beveiligd, ongeacht het netwerk en het gebruikte apparaat.

Maak intern afspraken over veilig gedrag. Probeer het zo dicht mogelijk bij iedere medewerker te brengen, zodat medewerkers het niet afschuiven als iets voor ICT. Misschien werkt het binnen uw organisatie heel goed om het te bespreken tijdens het teamoverleg. Bij een ander bedrijf kan het weer beter werken om trainingen of e-learning in te zetten. Of een poster op te hangen bij het koffieapparaat.

Concrete tips voor het maken van afspraken:

  • Leg vast wie toegang heeft tot welke gegevens.
  • Verwerkt uw bedrijf veel persoonsgegevens, dan is een functionaris gegevensbescherming verplicht.
  • Vergeet de flexibele schil niet: zorg dat ook stagiairs, vakantiekrachten, ingehuurde zzp’ers en uitzendkrachten weten hoe ze veilig werken.
  • Spreek af om computers te vergrendelen als iemand van zijn werkplek afgaat.
  • Maak een social media gedragscode met concrete do’s en dont’s.
  • Gebruik een papierversnipperaar of een afgesloten vuilcontainer. Ook ogenschijnlijk onbelangrijke informatie kan gebruikt worden.
  • Spreek af om bij enige twijfel over iemands identiteit, altijd zelf terug te bellen naar het algemene nummer van het bedrijf dat u benaderd heeft. Zo kunt u nagaan of een verzoek daadwerkelijk van die persoon of instantie afkomstig is.
  • Spreek af om bij wijzigingen, bijvoorbeeld een nieuwe bankrekening, altijd te bellen ter check. Ook al krijgt u het bericht van iemand die u vertrouwt

We noemden het al eerder: laat medewerkers trainen. Organiseer cyber awareness trainingen, zodat medewerkers de methodes leren herkennen. Welke psychologische trucs gebruiken cybercriminelen om u te verleiden? In de praktijk zijn er vele varianten, maar ze zijn vaak gebaseerd op dezelfde principes. Als medewerkers hier bewust van zijn, kunnen ze een poging beter herkennen.

Lees Cybercrime: trappen uw medewerkers in de trucs? en ontdek 10 veelgebruikte psychologische trucs. 

Slachtoffers van cybercrime schamen zich soms dat ze zich hebben laten verleiden. Dat maakt het niet makkelijk om een melding te maken of voor een fout uit te komen. Het is daarom goed om binnen uw bedrijf te zorgen dat er geen taboe op ligt. Cybercriminelen gaan zo sluw te werk, dat het tegenwoordig iedereen kan overkomen.

Er open over praten met elkaar, zorgt ook voor meer bewustzijn. U kunt bijvoorbeeld zorgen voor een plek waar valse e-mails, facturen en andere verdachte zaken gedeeld worden. Zo waarschuwen collega’s elkaar en zien ze hoe de technieken in de praktijk gebruikt worden.

Cybersecurity

Gedragsverandering is een proces

cyber4

Een lijstje met afspraken maken, zorgt er nog niet voor dat medewerkers hun gedrag aanpassen. Echte gedragsverandering is een proces. Dat begint bij kennis: mensen goed informeren en misinformatie wegnemen. Vervolgens gaat het om een positieve houding: zien medewerkers het belang ervan in? Wegen de voordelen op tegen de nadelen? Daarna zal gedrag pas echt veranderen.

Gaat u aan de slag met een bewustwordingscampagne binnen uw bedrijf? Kijk dan hoe u in elke fase kunt zorgen voor de juiste informatie, trainingen en tools.

Fase 1: Kennis

  • Informatie bieden en kennis aanvullen
  • Verkeerde opvattingen wegnemen

Fase 2: Houding

  • Positieve houding versterken
  • Gewenst gedrag sterker positioneren
  • Voordelen laten opwegen tegen de nadelen

Fase 3: Gedrag

  • Oefenen en ervaringen opdoen
  • Belemmeringen wegnemen
  • Medewerkers faciliteren en ondersteunen

Tot slot: vergeet de technische maatregelen niet

We hebben in dit artikel voornamelijk aandacht besteed aan de menselijke factor. Vanwege de rol van mensen en hun gedrag zijn alleen technische maatregelen niet effectief. Dat neemt niet weg dat technische maatregelen veel ellende kunnen voorkomen en de schade kunnen beperken.

Wat voor uw bedrijf de juiste maatregelen zijn, hangt af van uw bedrijfsprocessen. Bij Hupra ICT is ons uitgangspunt altijd ‘security by design’. We nemen geen maatregelen achteraf, maar bouwen de beveiliging in vanaf de basis. Het is een mix van maatregelen die overal in verweven is.

Er zijn 7 onderdelen die essentieel zijn om te regelen:

  • Zero trust en segmentatie
  • Het beheer van toegang
  • Veilige wifipunten
  • Consistente gebruikservaring
  • Next Generation Firewall (NGFW)
  • Goed updatebeleid
  • Goed back-upbeleid






Wilt u meer weten over deze technische maatregelen?
Lees het e-book: ‘Cybersecurity -Voorkomen is beter dan genezen’
Download ons e-book
AdobeStock_238799028

Altijd & overal

Gerust aan het werk.

Corporate team working on a meeting in office

 

Uiteindelijk gaat het erom dat u en uw collega’s altijd en overal gerust aan het werk kunnen. Dat u zich niet druk hoeft te maken over de veiligheid van uw IT, omdat het goed geregeld is. Een goede partner is daarbij onmisbaar. Ontwikkelingen in cybersecurity gaan zo snel dat alleen specialisten het nog kunnen bijhouden. Als ICT partner stelt Hupra de veiligheid in combinatie met gebruikersgemak altijd voorop.

Contact met Hupra

Benieuwd wat Hupra voor uw bedrijf kan betekenen?
Plan een afspraak
office-1