Bescherm uw bedrijf tegen cybercriminelen

In 2019 becijferde de internationale verzekeraar Hiscox dat het gemiddelde schadebedrag per getroffen bedrijf op 340.000 euro ligt. En dit jaar zal dat bedrag ongetwijfeld weer hoger liggen. Want daar waar grote bedrijven hun beveiliging meestal goed op orde hebben, is dat bij mkb-bedrijven vaak niet het geval. IT-bedrijven schatten zelfs dat tweederde van de Nederlandse mkb’ers onvoldoende beveiligd zijn tegen cybercriminaliteit. Bij kleine bedrijven ligt dat percentage zelfs boven de 80. En juist in coronatijd, waarin veel werknemers vanuit huis werken, zijn bedrijven extra kwetsbaar. Er zijn verschillende manieren waarop cybercriminelen uw bedrijf kunnen raken. En dat gebeurt lang niet altijd doordat een onoplettende medewerker op een linkje klikt waarop hij niet had moeten klikken. 

Phising

Gepersonaliseerde phishing mails zijn al bijna zo oud als het internet, maar ze blijven populair en blijkbaar niet zonder reden. Hoe het werkt? U of een van uw medewerkers krijgt een e-mail van een kennis, officiële instantie, bedrijf of organisatie, steeds vaker zien die mails er uiterst betrouwbaar uit. Meestal verzoekt de afzender de ontvanger op een link te klikken of een bijlage te openen. En wie dat ondanks alle waarschuwingen tóch doet, is de klos: de malware pakt zichzelf uit en nestelt zich in de computer. Vervolgens kan het gebeuren dat niemand in het bedrijf nog bij bestanden kan. En dat er eerst een flinke som duiten betaald moet worden (meestal in bitcoins) voordat u weer bij uw bestanden kunt. Wie zegt dat uw systemen daarna weer veilig zijn? Maar er zijn ook andere gevolgen denkbaar. Als er wachtwoorden of andere login-gegevens zijn buitgemaakt is het zaak om deze te veranderen. Als je dit wachtwoord ook op andere plekken hebt gebruikt dan moet het wachtwoord overal gewijzigd worden. Malware kan soms verwijderd worden, maar beter is het om geen risico te nemen en het systeem opnieuw te installeren. Inventariseer ook of de malware zich verder heeft verspreid. Betalingen kunnen in sommige gevallen worden teruggedraaid of tegengehouden. Meld dit soort incidenten vooral snel aan uw bank zodat ze kunnen waken voor verdachte betalingen. Als er persoonsgegevens zijn buitgemaakt, veranderd of verwijderd, dan heeft u een datalek en moet u dat mogelijk melden bij de Autoriteit Persoonsgegevens.

CEO-fraude

Een vrij nieuwe vorm van internetfraude is de zogenaamde CEO- of CFO-fraude. Hierbij doen criminelen zich met behulp van nepmails voor als de ceo, directeur of manager van een bedrijf. Ze vragen medewerkers met financiële bevoegdheden, vaak via nepmails, of ze met spoed een groot bedrag kunnen overmaken, meestal naar het buitenland. Als de medewerker het niet vertrouwt, kan er zelfs een telefoongesprek volgen. Hiervoor roepen de criminelen een niet-bestaande derde partij in het leven, bijvoorbeeld een zogenaamd advocatenkantoor. Deze telefoontjes lijken zo betrouwbaar dat de medewerker, volkomen te goeder trouw, het gevraagde bedrag overmaakt. Om deze vorm van oplichting te voorkomen, is het belangrijk dat u het intern bespreekbaar maakt. Leer medewerkers bovendien dat ze zich niet moeten laten imponeren door de status van de aanvrager. Check ook altijd de betalingen door contact op te nemen met de aanvrager en zorg voor heldere regels in het betalingsverkeer. Maak ook duidelijke afspraken over wie betalingen mag aanvragen en betrek altijd meerdere personen bij de betaling; ofwel het vier-ogen principe. En misschien wel het belangrijkste: maak nooit uitzonderingen. 

WhatsApp

Oplichting via WhatsApp is heel snel populair geworden onder criminelen. Bij WhatsApp-fraude (ook wel bekend als de vriend-in-nood-fraude) krijgt het slachtoffer een Whatsappje van een goede vriend of familielid, maar vanaf een onbekend nummer (‘ik heb een nieuwe telefoon’) met het verzoek om snel wat geld over te maken. De imitatie is vaak verbluffend goed. Fraudeurs lezen zich in via social media om personen, hun schrijfstijl en taalgebruik te imiteren. En steeds vaker proberen oplichters uw WhatsApp-account over te nemen. Daarvoor moeten ze een code naar uw mobiele telefoon sturen. Deze zescijferige code ontvangt u via een sms of voicemailbericht. Met deze code controleert WhatsApp of u de app op een andere telefoon wilt gebruiken. Meestal krijgt u direct na deze sms een berichtje van een “bekende” dat ze per ongeluk deze code naar u hebben gestuurd en of u de code wilt doorsturen. Doet u dit dan hebben de oplichters toegang tot uw account en kunnen ze anderen die samen met u in Whatsapp groepen zitten benaderen en dezelfde truc uithalen of de vriend-in-nood-truc. Ze kunnen nu immers uit uw naam WhatsAppen. En denk niet dat het u niet kan overkomen: in de eerste helft van 2020 meldde de Fraudehelpdesk al meer dan 6000 gevallen van WhatsApp-fraude. En ina oktober ontving de politie honderden meldingen per dag van mensen die erin waren getrapt. Het is te voorkomen door tweetraps authenticatie aan te zetten in uw WhatsApp-instellingen. 

Wat te doen tegen hackers en oplichters?

1. Bewustzijn
   Zorg ervoor dat alle medewerkers zich er altijd van bewust zijn dat het bedrijf én zijzelf een mogelijk doelwit zijn voor aanvallen van buitenaf.
2. Train medewerkers
   Bied medewerkers security-trainingen aan, deel relevante informatie en maak tools met security-informatie ook online aan.
3. Beperk de toegang
   Geef elke werknemer alleen de toegangsgegevens die hij nodig heeft om zijn taken te kunnen uitvoeren. Deel geen bedrijfswachtwoorden die toegang geven tot besturingssystemen.
4. Back-ups
   Maak continu back-ups. In het ergste geval zijn bij een hack alleen de meest recente data of de data na de laatste back-up verloren: dat beperkt de schade enorm.
5. Versleutel data
   Zorg ervoor dat gevoelige data altijd versleuteld is. Dat hoeft niet moeilijk te zijn: deze optie is meestal aanwezig in de Windows-systemen zelf.
6. Individuele inloggegevens
   Maak voor elke medewerker persoonlijke inloggegevens. Dit maakt het makkelijker om de online-activiteiten van medewerkers te volgen en het verhoogt de veiligheid: bij een hack kan sneller worden achterhaald via welke gegevens de cybercrimineel is binnengedrongen, waardoor efficiënter kan worden gehandeld.
7. Multifactor authenticatie
   Enkel eisen stellen aan wachtwoorden is niet meer voldoende. Met speciale tekens, hoofdletters en cijfers bent u er niet. Een multifactor authenticatie is essentieel en onmisbaar in goede beveiliging.
8. Stel richtlijnen op voor social media
   Ontwikkel duidelijke richtlijnen voor social media-activiteiten van de organisatie en controleer ook regelmatig of deze worden nageleefd. Een voorbeeld: geen gekoppelde, persoonlijke accounts, slechts één persoon met toegang en geen toegang vanaf privé-apparaten.
9. Beveiligingssoftware
   Gebruik te allen tijde beveiligingssoftware en zorg ervoor dat alle medewerkers dit ook doen. Alle apparaten die gebruikt worden in de IT-omgeving van het bedrijf moeten beschikken over de meest recente soft- en firmware: van laptops tot telefoons, printers en slimme beveiligingssystemen.
10. Internettoegang
    Creëer een aparte internettoegang voor werknemers en gasten die van het netwerk gebruik willen maken op hun eigen computer of smartphone. Hiervoor moet (middels routers) een netwerk opgezet worden, wat essentieel is in het beveiligen van het IT-netwerk.