artikel

Vier praktische tips om het IT-veiligheidsbesef van medewerkers te vergroten

Organisatie & Strategie

Als HR-verantwoordelijke bewijs je de organisatie een grote dienst door het IT-veiligheidsbesef van medewerkers te verhogen. De databeveiliging is vaak technisch wel op orde, maar de medewerker is de zwakke schakel. Vier praktische tips.

Vier praktische tips om het IT-veiligheidsbesef van medewerkers te vergroten

Stel, je controller krijgt op dit moment een mailtje van de chief financial officer. Er is een fusie of overname in de maak. Het mag uiteraard nog niet bekend worden, want ja: de concurrentie, de beurskoersen, de publieke opinie… Dat snapt de controller zelf vast ook wel. Alleen moet het due dilligence-onderzoek al wel worden betaald. Dus vraagt de CFO of de controller even een fors aantal euro’s wil overmaken naar een bepaald rekeningnummer. Maar denk erom: mondje dicht!

CFO-fraude

Als je nu denkt: ‘Dat is verdacht’, dan heb je gelijk. Dit is een voorbeeld van een heel simpele mailfraude, in vaktermen bekend als de CFO-fraude. Daarbij maken internetcriminelen een mailadres aan dat sprekend lijkt op dat van de CFO. Vervolgens vissen ze via LinkedIn – of via wat telefoontjes naar de organisatie – uit wie bij de controller is en ze gooien een lijntje uit.

En als je nu denkt: ‘Daar trappen wij bij ons niet in’, dan kan ik alleen zeggen: dat zouden ze bij een grote Nederlandse bioscoopketen vast ook gedacht hebben. Maar toch maakten zij, in opdracht van de ‘CFO’ van het Franse moederbedrijf, miljoenen euro’s over naar een rekeningnummer in Dubai. Geen cent van teruggezien.

Je kunt het bewustzijnsniveau van de medewerkers verhogen en zo voorkomen dat er geld wordt overgemaakt naar criminelen

Bewustzijnsniveau

En als je je als HR-officer afvraagt wat je hieraan kunt doen, dan is mijn antwoord: heel veel. Je kunt het bewustzijnsniveau rond internetcriminaliteit van de medewerkers verhogen en zo voorkomen dat er geld wordt overgemaakt naar criminelen. Of dat criminelen toegang krijgen tot gevoelige informatie en deze informatie openbaar maken of juist versleutelen waarna je alleen door het betalen van een flinke som losgeld je gegevens weer terug krijgt.

In beide gevallen moet je uiteraard de Autoriteit Persoonsgegevens op de hoogte brengen. Zo kan het datalek – want dat is het –  ook nog eens een forse boete of imagoschade (of beide) opleveren.

Informatie ontlokken

En wie nu denkt: ‘Dat gebeurt ons niet’, kan ik vertellen dat uit Duits onderzoek blijkt dat bij een kwart van de bedrijven aldaar het afgelopen jaar gevoelige gegevens zijn gestolen. De grote gemene deler in die gevallen is dat de databeveiliging van de bedrijven vaak technisch wel op orde is. De criminelen weten dat en richten zich op het personeel, dat vatbaarder is.

Via LinkedIn en Facebook vormt de crimineel zich een goed beeld van de organisatie: wie zit er op welke plek? En om het beeld compleet te maken kan er altijd een telefoontje worden gepleegd naar de organisatie, waarin de dief zich voordoet als medewerker van een belangrijke klant of opdrachtgever, die niet weet bij wie hij moet zijn met zijn vraag. Het zal je  verbazen hoeveel informatie criminelen op deze manier weten los te krijgen van – goedbedoelende en behulpzame – medewerkers. Waarmee die criminelen dan weer hun voordeel kunnen doen.

Het zal je  verbazen hoeveel informatie criminelen weten los te krijgen van goedbedoelende en behulpzame medewerkers

Praktische tips

Een voorbeeld. Internetcriminelen hoorden dat een bedrijf binnenkort een grote wervingsbeurs zou organiseren. Ze kregen via social engineering door wie er verantwoordelijk was voor de organisatie van dat evenement en ze stuurden diegene een nepmail met een link naar ‘de nieuwe plattegrond van de beurs’. De medewerkers klikte de link aan, maar in plaats van een nieuwe plattegrond werd er malware binnengehaald.

Daarom een paar praktische tips:

  • Stimuleer medewerkers om een password-manager te gebruiken. Dat is een veilige digitale opslagruimte waarin wachtwoorden bewaard kunnen worden en dat voorkomt onder andere dat medewerkers de wachtwoorden zelf gaan opschrijven.
  • Laat medewerkers hun telefoon of laptop zo instellen dat er niet automatisch contact wordt gemaakt met openbare wifi-netwerken. Deze zijn notoir onveilig. Maak liever gebruik van een VPN-verbinding, waarbij het internetverkeer wordt versleuteld en wordt omgeleid via een externe server.
  • Simuleer cyberincidenten. Net als brandoefeningen bestaan er oefeningen die een cyberincident nabootsen. Deze oefening confronteert de deelnemers met een reeks onverwachte cyberdreigingen en levert altijd waardevolle leermomenten op.
  • En tot slot: vergroot de bewustwording over digitale veiligheid met online-trainingen, op maat aan te bieden per werknemer, van de schoonmaker tot de CEO. Ook de controller en CFO steken er vast nog iets van op.

Dit artikel is tot stand gekomen in samenwerking met Kaspersky.

Reageer op dit artikel