Cybersecurity: maak je medewerkers bewust

De medewerkers van een organisatie vormen de eerste verdedigingslinie op het vlak van cyberbeveiliging. Hen hierover opleiden is een van de belangrijkste manieren om de veerkracht van de organisatie op het gebied van beveiliging te vergroten: door phishingpogingen te kunnen identificeren en te voorkomen of verdachte gebeurtenissen te melden, nemen de medewerkers actief deel aan de beveiliging van je organisatie. Gelet op de gevolgen die een incident, zelfs van geringe omvang, kan hebben voor de financiën, de werking en de reputatie van een organisatie, mag de bewustmaking van de medewerkers op het vlak van beveiliging niet over het hoofd worden gezien.

1. Stel een communicatie- en bewustmakingsplan op

Het uitwerken van een communicatie- en bewustmakingsplan met informatiecampagnes en -sessies over verschillende onderwerpen in verband met cyberbeveiliging - met inbegrip van bestaande bedreigingen en advies - zorgt ervoor dat de medewerkers steeds de veiligheid in het achterhoofd houden. De verschillende onderwerpen die in dit plan kunnen worden opgenomen, met inbegrip van praktische details die kunnen worden gedeeld, worden hieronder uitgewerkt: "Bedreigingen inzake cyberbeveiliging en advies, om te delen met de medewerkers". De opleidingen moeten het belang van de menselijke factor bij cyberaanvallen (bv. pogingen tot fraude, phishing, CEO-fraude, installatie van malware etc.) benadrukken en de juiste personen erbij betrekken (bv. opleiding over CEO-fraude voor de mensen die verantwoordelijk zijn voor de betalingen, opleiding over de risico's van mobiele apparaten en goede praktijken voor medewerkers met mobiele telefoons van de organisatie etc.)

Proactiviteit is een van de belangrijkste manieren om incidenten te voorkomen. Het plan moet de te behandelen onderwerpen, het format (e-learning, oefeningen, berichten op het intranet, e-mails etc.), de te bereiken doelstellingen, het publiek en de frequentie (wekelijks, maandelijks, driemaandelijks etc.) bevatten. De opleidingen en communicatie moeten gericht zijn op de risico's waarmee de medewerkers worden geconfronteerd. Er kunnen evaluaties worden ingevoerd in de vorm van tests om de doeltreffendheid van de opleidingen te beoordelen. Er kunnen quizzen georganiseerd worden om de opleidingen interactiever te maken. Je kan je medewerkers bijvoorbeeld uitnodigen om onze phishingtest te doen op https://www.safeonweb.be/nl/quiz/phishingtest.

Niet alleen proactiviteit, maar ook herhaling is belangrijk. Bewustmakingsboodschappen moeten regelmatig worden herhaald om de bewustwording in stand te houden of op specifieke punten te versterken. De organisatie moet een open-communicatiecultuur

ontwikkelen, geen berispingscultuur, om de informatie over pogingen tot cyberaanvallen doeltreffend te verspreiden.

2. Communiceer over de interne procedures en beleidslijnen en de goede praktijken

Indien een organisatie al interne beleidslijnen, procedures of goede praktijken heeft ontwikkeld, moet ze de belangrijkste aanbevelingen en richtsnoeren hieruit met haar medewerkers delen. Zo is iedereen op de hoogte van het gewenste gedrag. Wanneer je communiceert over beleid, procedures en goede praktijken, zorg dan dat je concreet en praktisch blijft en dat je de belangrijkste boodschappen benadrukt, zoals: "Wat is het? ”, “Waarom is dit belangrijk? ” of "Wat betekent dit voor ons? ”

Het is belangrijk dat de directie en de raden van bestuur bij deze communicatie worden betrokken, zodat het duidelijk is hoeveel belang een organisatie hecht aan informatiebeveiliging. De communicatie moet zich richten tot alle medewerkers, ongeacht hun rol binnen de organisatie.

3.    Leg uit hoe een incident moet worden gemeld

Zodra de medewerkers weten hoe ze moeten handelen bij cyberdreigingen of -incidenten, is het ook belangrijk dat ze weten hoe ze ongewenste voorvallen waar ze mogelijk getuige van zijn, moeten melden. Bij het bewustmaken van de medewerkers op het vlak van beveiliging moet ook worden gecommuniceerd over de noodzaak om melding te maken van ongewone elementen die ze opmerken in de kantoren, op hun werkposten, op hun mobiele toestellen of op het netwerk. De medewerkers moeten weten wanneer, hoe en tot wie ze zich kunnen wenden om een potentieel incident te melden.
Ons model voor het beheer van incidenten kan organisaties helpen een doeltreffend proces voor incidentbeheer te definiëren, met inbegrip van rapportage.

Bedreigingen inzake cyberbeveiliging en advies, om te delen met de medewerkers

1.    Cyberdreigingen

Er komen voortdurende nieuwe bedreigingen bij. Organisaties worden tegenwoordig geconfronteerd met een groot aantal gangbare cyberbeveiligingsbedreigingen waarvan de medewerkers zich bewust moeten zijn en waarop ze moeten kunnen reageren:

Phishing

Cybercriminelen proberen via valse e-mails of telefoontjes persoonlijke of zakelijke informatie te verzamelen die ze kunnen gebruiken om voordeel uit te halen. Blijf alert voor mogelijke frauduleuze of kwaadwillige berichten en meld verdachte phishingpogingen via verdacht@safeonweb.be.
Raadpleeg ons artikel over phishing voor meer aanbevelingen hierover.

Ransomware

Door malware te installeren op een of meerdere bedrijfsmiddelen van een organisatie, kunnen cybercriminelen de toegang en de informatie blokkeren die ze tegen betaling willen herstellen of teruggeven. Blijf waakzaam, let op voor mogelijke schadelijke berichten en zorg ervoor dat je systemen up-to-date, geback-upt en beveiligd zijn met een antivirusprogramma.
Raadpleeg ons artikel over ransomware voor meer aanbevelingen hierover.

Hacking van websites

Cybercriminelen krijgen ongeoorloofde toegang tot de configuratie en gegevens van een website en gebruiken deze voor kwaadwillige doeleinden (bv. voor nieuwe aanvallen, toegang tot gevoelige informatie etc.). Er zijn een aantal maatregelen die je kan nemen om te voorkomen dat je website wordt gehackt. Je kan onder meer alle toegangen tot je contentbeheersysteem beveiligen en alle onderdelen up-to-date houden.
Raadpleeg ons artikel over websitehacking voor meer aanbevelingen hierover.

Defacing van websites

Cybercriminelen wijzigen en/of vervangen de oorspronkelijke inhoud van een website om een bericht te delen of de werking te verstoren. Let op voor wijzigingen op de website van je organisatie en meld verdachte wijzigingen onmiddellijk.
Raadpleeg ons artikel over defacing voor meer aanbevelingen hierover.

DDoS-aanval

Een DDoS-aanval (Denial of Service) is bedoeld om de normale werking van de server of internethost van een organisatie te verstoren door een internetserver te overladen en een enorme hoeveelheid paginaverzoeken uit te voeren. Je kan DDoS-aanvallen afweren door onder andere een firewall te installeren en multifactorauthenticatie in te schakelen. Bij multifactorauthenticatie moet een gebruiker minstens twee verschillende methodes hanteren (bv. een wachtwoord en pincode, een pincode en een code via sms) om zijn identiteit te controleren en toegang te krijgen.
Raadpleeg ons artikel over DDos-aanvallen voor meer aanbevelingen hierover.

Computervirus

Een virus is een kwaadaardige code die schadelijk kan zijn voor een apparaat en de gegevens die het bevat. De bedoeling is ofwel om gegevens te stelen, te versleutelen en losgeld te vragen, ofwel om het apparaat onbeschikbaar te maken. Een van de belangrijkste manieren om je te beschermen tegen computervirussen is door op alle apparaten een antivirusoplossing te installeren en up-to-date te houden.  
Raadpleeg ons artikel over virussen voor meer aanbevelingen hierover.

Hacking van accounts

Een bevoegde persoon krijgt toegang tot een account en alle informatie erop om deze te gebruiken voor kwaadwillige doeleinden, zoals gegevensdiefstal. Stel sterke wachtwoorden in die uit een combinatie van hoofdletters, kleine letters, symbolen en cijfers bestaan om je account tegen hacking te beschermen. Stel ook waar mogelijk multifactorauthenticatie in.
Raadpleeg ons artikel over accounthacking voor meer aanbevelingen hierover.

CEO-fraude

Cybercriminelen doen zich voor als een CEO en wenden zich tot de medewerkers om hen te proberen overhalen een betaling uit te voeren of vertrouwelijke informatie te verstrekken. Stel duidelijke procedures op voor elektronische overschrijvingen en duidelijke richtlijnen voor het delen van informatie, zodat medewerkers niet reageren op verzoeken van cybercriminelen in geval van een CEO-fraudeaanval.
Raadpleeg ons artikel over CEO-fraude voor meer aanbevelingen hierover.

Oplichting via valse overschrijving

Door overtuigingskracht, dreiging of een andere vorm van druk proberen cybercriminelen de medewerkers ervan te overtuigen dat ze ofwel een ongeplande en dringende overschrijving moeten uitvoeren, ofwel vertrouwelijke informatie en/of interne procedures over de wijze waarop een betaling wordt uitgevoerd, moeten delen. Stel net als voor CEO-fraude duidelijke procedures voor elektronische overschrijvingen en duidelijke richtlijnen op voor het delen van informatie om te voorkomen dat de medewerkers ingaan op verzoeken van cybercriminelen.
Raadpleeg ons artikel over oplichting via valse overschrijving voor meer aanbevelingen hierover.

Oplichting via valse technische ondersteuning

Door zich voor te doen als een vertegenwoordiger van de technische ondersteuning, proberen cybercriminelen de medewerkers ervan te overtuigen dat hun toestel technische ondersteuning nodig heeft waarvoor ze moeten betalen of vertrouwelijke informatie moeten verstrekken. Zorg ervoor dat je medewerkers op de hoogte zijn van dit soort oplichting en geef hun tips en advies om zichzelf te beschermen, zoals opletten op welke websites ze surfen, updates downloaden van de officiële websites en alle toestellen up-to-date te houden.
Raadpleeg ons artikel over oplichting via valse technische ondersteuning voor meer aanbevelingen hierover.

Spam

Door ongevraagd berichten te sturen naar een groot aantal medewerkers, proberen cybercriminelen slachtoffers in de val te lokken door phishing,  malware te verspreiden of vertrouwelijke informatie te stelen  Let op voor mogelijke frauduleuze berichten en meld ze aan verdacht @safeonweb.be
Raadpleeg ons artikel over spam voor meer aanbevelingen hierover.

2.    Goede praktijken en advies op het vlak van cyberbeveiliging

Organisaties moeten hun medewerkers niet alleen bewustmaken van de bedreigingen waarmee ze geconfronteerd worden, maar hun ook goede praktijken en adviezen meedelen om te vermijden dat ze in de val lopen bij een cyberaanval:

Wachtwoorden

Sterke wachtwoorden bestaan uit een combinatie van hoofdletters, kleine letters, cijfers en symbolen. Ze moeten indien mogelijk worden gebruikt in combinatie met multifactorauthenticatie, waarbij een gebruiker minstens twee verschillende methodes moet hanteren (bv. een wachtwoord en pincode, een pincode en een code via sms) om zijn identiteit te controleren en toegang te krijgen. Ten slotte helpen wachtwoordkluizen wachtwoorden te beheren door ze veilig op te slaan.
Raadpleeg ons artikel over wachtwoorden voor meer aanbevelingen hierover.

Sociale media

Op sociale media kunnen verschillende cyberdreigingen worden uitgevoerd, zoals phishing, accounthacking en malware. Medewerkers kunnen hun informatie beschermen door gebruik te maken van multifactorauthenticatie en sterke wachtwoorden.
Raadpleeg ons artikel over de beveiliging van sociale media voor meer aanbevelingen hierover.

Professioneel en persoonlijk gebruik

Het is belangrijk om een onderscheid te maken tussen professioneel en persoonlijk gebruik door de mailboxdiensten, wachtwoorden en back-updiensten van elkaar te scheiden.
Raadpleeg ons artikel over hoe je het onderscheid kan maken tussen professioneel en persoonlijk gebruik voor meer aanbevelingen hierover.

Openbare wifi

Openbare wifi is vrij toegankelijk. Gebruik het enkel als het strikt noodzakelijk is en gebruik een VPN om het internetverkeer te versleutelen en te verbergen voor iedereen die de gedeelde gegevens probeert “af te luisteren”.

Onlinewebsites

De legitimiteit van een website kan worden vastgesteld door na te gaan of het adres het juiste is, door de reputatie te controleren en door na te gaan of de betalingswijze niet vreemd lijkt (bv. via een transportbedrijf of pakketdienst etc.).

Telewerk

Om veilig te kunnen telewerken moeten de apparaten en gegevens worden beveiligd door de toegang ertoe te beperken en te beschermen.
Raadpleeg ons artikel over veilig telewerken voor meer aanbevelingen hierover.

Mobiele apparaten

Ook mobiele apparaten bevatten persoonlijke en/of zakelijke informatie en moeten dus worden beveiligd met een sterk(e) en regelmatig bijgewerkt(e) wachtwoord of pincode en door back-ups te maken van alle belangrijke gegevens.
Raadpleeg ons artikel over de beveiliging van mobiele apparaten voor meer aanbevelingen hierover.

Back-ups

De meest waardevolle informatie moet worden geïdentificeerd en opgeslagen om ervoor te zorgen dat ze beschikbaar blijft in geval van een incident.
Raadpleeg ons artikel over back-ups voor meer aanbevelingen hierover.

Updates

Via updates zorg je voor een betere beveiliging. Deze updates mogen alleen worden gedownload van de officiële websites.
Raadpleeg ons artikel over updates voor meer aanbevelingen hierover.

Antivirus

De keuze voor een antivirusprogramma is afhankelijk van wat beschermd moet worden en van de nodige functies en expertise om het te beheren. Het antivirusprogramma moet zo snel mogelijk worden bijgewerkt om de doeltreffendheid ervan te garanderen.
Raadpleeg ons artikel over antivirussen voor meer aanbevelingen hierover.