Ciberseguridad durante la crisis del coronavirus: cómo se aprovechan los hackers

Ciberseguridad durante la crisis del coronavirus

Ciberseguridad durante la crisis del coronavirusCiertas personas encuentran bastante molesta la atención desproporcionada que se le está prestando a la crisis del coronavirus en estos momentos. Un grupo casi invisible se está subiendo a esta ola de publicidad desmedida: los hackers. El colectivo aprovecha este tipo de situaciones para elaborar correos de phishing llamativos, pero en este caso han encontrado una oportunidad mucho mejor para salirse con la suya.

Ciberseguridad durante la crisis: correos electrónicos de phishing sobre el coronavirus

Imagina que todos los empleados reciben un correo electrónico con el logotipo de la empresa y el texto “Medidas obligatorias para reducir el riesgo de contagio dentro de la empresa” y, a continuación, un enlace o un adjunto para que consulten las medidas. ¿Qué porcentaje de empleados abrirá este correo malintencionado y, por tanto, dará acceso a los hackers a la red de ordenadores? Mucha más gente de la que pensamos.

Aquellas empresas que hayan formado a su plantilla para poder detectar los correos electrónicos de phishing tendrán más posibilidades de ver cómo sus empleados notifican rápidamente la llegada del email a su departamento de TI. De este modo, se podrá comprobar de forma inmediata si se ha infectado algún equipo. Si no se detectan, existe la posibilidad de que los hackers se oculten en el interior de los sistemas informáticos y esperen al momento más adecuado para atacar. Tal y como sucedió en la Universidad de Maastricht, donde tuvieron que pagar 197 000 euros para recuperar el acceso a sus sistemas informáticos. Esta tendencia masiva, que proviene de Estados Unidos, está destinada a extenderse también a los Países Bajos y en toda Europa.

En tiempos de coronavirus nadie quiere ver los equipos informáticos de los hospitales en manos de los hackers, como ha sucedido recientemente en la República Checa (el contenido únicamente está disponible en inglés) en uno de los hospitales más importantes en el que se llevaba a cabo la prueba para detectar el virus.

Los hackers sacan partido de la curiosidad

La pandemia nos permite reflexionar sobre la epidemia digital que nos aguarda y sobre las posibles formas que tenemos de protegernos de ella. Los hackers cuentan con infinitas maneras de atacar y el conocimiento digital medio de los usuarios es demasiado deficiente. Un ejemplo muy sencillo: un trabajador se encuentra con una memoria USB delante del edificio que muestra el texto “datos de pacientes con coronavirus”. ¿Lo conectará a su ordenador para ver qué tipo de datos contiene? En el momento que lo haga, no se dará cuenta de que lo que está instalando en realidad en la red de la empresa es un software malintencionado.

Aprovecha esta situación de crisis para llamar la atención sobre las contraseñas 

Las contraseñas poco complicadas han sido durante años muy útiles para que los hackers accedan a los equipos. Éste puede ser el momento perfecto para formar a los empleados sobre las contraseñas, algo que en la mayoría de los casos es más que necesario. Incrementa tu ciberseguridad durante la crisis del coronavirus.

En las presentaciones que llevaba a cabo sobre concienciación me di cuenta de que en muchas empresas todavía se permite el uso de contraseñas como Verano2019 o Roberto01. Son exactamente igual de inútiles que Corona123, dado que se pueden hackear en cuestión de segundos. 

Anima a los trabajadores a utilizar frases que contengan la palabra “coronavirus”. Las oraciones son mucho más sencillas de recordar y su longitud las convierte en contraseñas complicadas de descifrar. Por ejemplo, ni intentándolo durante siglos se podrá hackear la contraseña “¡Puedo trabajar desde casa gracias al coronavirus!” y, sin embargo, es muy fácil recordarla. Nunca escribas la contraseña en un papel ni la coloques cerca del ordenador. Las contraseñas se pueden proteger de forma adicional si las mantenemos en una bóveda digital.

Estafas a través de facturas por la crisis del coronavirus

Esta crisis del coronavirus también es útil para ilustrar lo sencillo que es llevar a cabo estafas a través de facturas. Actualmente hay una gran cantidad de empresas que están sufriendo este tipo de fraudes. Creen que están manteniendo relaciones comerciales con terceros de confianza, pero quienes están detrás de estas transacciones son ciberdelincuentes o empresas que están sufriendo un hackeo.

De esta forma, el Rijksmuseum de Twente pagó 2.6 millones de euros por un cuadro a un hacker en lugar de a su propietario. Pathé Cinemas perdió aproximadamente 19 millones de euros. Una empresa de Purmerend en los Países Bajos, por ejemplo, se comprometió a suministrar a dos empresas extranjeras 20 millones de mascarillas (el contenido solo está disponible en neerlandés) para evitar el contagio del coronavirus; recibió por ellas 1.2 millones de euros y no envió ni una sola unidad. Una estafa muy simple a una escala inimaginable.

Teletrabajo y coronavirus

Cada vez más personas trabajan desde casa (especialmente desde que empezó la cuarentena), de forma que ahora es más fácil hacerse con una gran cantidad de datos confidenciales de las empresas.

Algunas compañías, como el caso de Nike en Hilversum, han llegado a cerrar sus oficinas para poder desinfectarlas a fondo. Otras animan a sus empleados a trabajar principalmente desde casa. Ciertas empresas ofrecen a sus equipos de forma temporal herramientas para trabajar en equipo gratuitas a aquellas personas que van a teletrabajar. Debido a la crisis del coronavirus, Hangouts Meet y Microsoft Teams están disponibles de forma gratuita.

Pero hay que tener cuidado con los correos electrónicos de phishing que ofrecen al empleado un software para trabajar desde casa que, al instalarse, puede llevarle a páginas web desde las que los hackers pueden tomar el control del ordenador. También han salido a la luz casos de mapas de datos de los países contaminados por el coronavirus con software malintencionado que habitualmente parecen anuncios publicitarios.

Mi consejo: saca partido del caos que crea el coronavirus para llamar la atención sobre la ciberseguridad durante la crisis. Ya cuentas con la atención de tus trabajadores, así que aprovecha la ocasión, tal y como lo hacen los hackers, y forma a tus empleados para evitar ser hackeado. Si has descubierto alguna iniciativa que pueda funcionar, no dudes en contárnosla a través de los comentarios.

Si quieres seguir en contacto con los empleados que están trabajando desde casa, las herramientas de colaboración basadas en chat te serán muy útiles. Aquí podrás encontrar una lista que contiene diferentes herramientas para trabajar en equipo, entre otras, soluciones gratuitas. Gracias a ellas, tu equipo podrá seguir comunicándose de forma eficaz, mandar mensajes, hacer llamadas telefónicas o por vídeo entre compañeros y con empresas colaboradoras.

Sobre la autora:

Maria Genova es autora del libro “Komt een vrouw bij de h@cker” (“Visita de una mujer a un h@cker”) y ponente en el ámbito de la privacidad y la ciberseguridad. En su sitio web está disponible de forma gratuita un cibercuestionario para formar a la plantilla de forma que puedan evitar los hackeos y las filtraciones de datos. En el cibercuestionario también utiliza ejemplos sobre el coronavirus.

Comment les périodes de crise favorisent le risque informatique

coronavirus pirates cybersécurité

coronavirus pirates cybersécurité

L’attention portée à la crise du coronavirus est légitime et une catégorie  d’individus presque invisible en profite pour œuvrer dans l’ombre : les hackers. Ceux-ci profitent de l’actualité pour user d’e-mails d’hameçonnage et de mille autres astuces sournoises qui augmentent le risque informatique. L’intégrité des données des entreprises non préparées et celles des télétravailleurs est plus que jamais compromise, dans le cas présent, les pirates ont encore plus de chances d’arriver à leurs fins.

E-mails d’hameçonnage relatifs au coronavirus

Imaginez que tous vos collaborateurs reçoivent un e-mail marqué du logo de votre société contenant des “mesures obligatoires visant à réduire le risque de contamination au sein de l’entreprise” et un lien vers ces mesures ou une pièce jointe s’y rapportant. Quel pourcentage de collaborateurs ouvrira l’e-mail malveillant, donnant ainsi aux hackers l’accès à votre réseau informatique ? Ils seront assurément plus d’un à tomber dans le panneau.

Les organisations qui ont formé leur personnel à reconnaître les e-mails d’hameçonnage signaleront sans doute immédiatement l’e-mail malveillant à leur département informatique, qui vérifiera alors sans délai la présence d’un virus. Mais si le virus passe inaperçu, les hackers pourront se cacher dans les tréfonds du système informatique en attendant le bon moment pour attaquer.

En cette période de pandémie, nous ne pouvons pas laisser des hackers prendre le contrôle des ordinateurs des hôpitaux, comme ils l’ont fait récemment en République tchèque dans un des centres effectuant des tests de diagnostic du coronavirus.

Les hackers misent sur la curiosité

L’épidémie de coronavirus nous donne l’occasion de réfléchir à l’épidémie numérique qui nous attend et à la manière dont nous pouvons nous en prémunir. Les hackers disposent de nombreux moyens d’attaque, alors que les connaissances numériques moyennes des utilisateurs sont plus qu’insuffisantes. Un simple exemple : un de vos collaborateurs trouve une clé USB sur laquelle il est inscrit “Données patients corona”. S’il l’insère dans son ordinateur pour en examiner le contenu, il installera probablement sans s’en rendre compte un logiciel malveillant sur le réseau de votre entreprise.

Le coronavirus peut permettre d’attirer l’attention sur l’importance d’un bon mot de passe

Depuis des années, les hackers profitent de la faiblesse des mots de passe pour s’introduire dans les systèmes. Grâce au coronavirus, vous pourriez donner à vos collaborateurs une leçon sur les mots de passe dont ils ont probablement bien besoin. Pendant mes présentations de sensibilisation, j’ai remarqué que, dans de nombreuses entreprises, des mots de passe comme “Été2019” ou “Robert01” étaient autorisés. Pourtant, ils sont aussi faibles que “Corona123” : il ne faut que 7 secondes pour les pirater.

Demandez à vos collaborateurs d’inventer des phrases contenant le mot “corona”. Une phrase est plus facile à retenir qu’une suite de lettres ou de chiffres et elle est suffisamment longue pour constituer un mot de passe assez fort. “À cause du coronavirus, je peux faire du télétravail”, par exemple, est facile à retenir et presque impossible à pirater. Évitez de noter le mot de passe sur un morceau de papier que vous épinglerez à côté de votre ordinateur. Pour sécuriser davantage vos mots de passe, vous pouvez les enregistrer dans un logiciel de mots de passe.

Fraude à la facture liée au coronavirus

Le coronavirus peut également servir à illustrer à quel point la fraude à la facture est devenue simple. De nombreuses entreprises sont aujourd’hui victimes d’escroqueries. Elles pensent traiter avec une partie digne de confiance, mais elles se retrouvent aux prises avec des cybercriminels ou avec des interlocuteurs qui ont eux-mêmes été piratés.

Une société de Purmerend, aux Pays-Bas, par exemple, a promis à deux entreprises étrangères 20 millions de masques pour lutter contre le coronavirus, pour un montant d’environ 1,2 million d’euros, mais n’a rien livré. Une fraude simple, mais à grande échelle.

De manière générale, les arnaques se multiplient et il convient de rester sur ses gardes et de se méfier de toute offre ou solution “miracle”.

Le télétravail en période de coronavirus

De plus en plus de personnes font du télétravail. La pratique est encouragée en cette période de confinement, mais elle permet aux cybercriminels de se procurer de nombreuses données confidentielles sur les entreprises.

Aujourd’hui, toutes les sociétés craignent le coronavirus et certaines ferment même leurs bureaux pour en désinfecter les moindres recoins. D’autres encouragent leurs collaborateurs à travailler essentiellement à domicile. Certaines entreprises mettent temporairement à disposition de tous leurs employés leur logiciel de communication d’équipe. En raison de l’épidémie de coronavirus, Hangouts Meet et Microsoft Teams sont d’ailleurs disponibles gratuitement pour le moment.

Restez toutefois vigilants face aux e-mails d’hameçonnage qui invitent les destinataires à installer un logiciel gratuit pour le télétravail, mais qui les renvoient en fait vers des sites web où des hackers prennent le contrôle de leur machine. Des cartes reprenant les pays touchés par le corona circulent également, souvent sous la forme de publicités ; ne les ouvrez pas, elles contiennent des virus informatiques.

Mon conseil : la situation engendrée par l’épidémie de coronavirus doit sensibiliser vos collaborateurs à la cybersécurité. Vous avez déjà toute leur attention, alors profitez-en comme le font les hackers. Si vous avez pris de bonnes initiatives, faites-le-nous savoir en commentaire !

Pour rester en contact avec vos équipes en télétravail, différents outils de collaboration et de communication sont à votre disposition. Vous trouverez ici une liste des différents logiciels de communication d’équipe, y compris des solutions gratuites. Ces logiciels permettent à vos collaborateurs de continuer à communiquer efficacement, de s’envoyer des messages, ainsi que de passer des appels audio et vidéo entre collègues ou avec des partenaires commerciaux.

À propos de l’auteur

Maria Genova est auteur du livre Komt een vrouw bij de h@cker (Une femme chez les h@ckers) et conférencière dans le domaine de la confidentialité et de la cybersécurité. Sur son site web, elle propose un cyberquiz gratuit pour former le personnel à la prévention des cyberattaques et des fuites de données. Il inclut notamment des exemples liés au coronavirus.

Wie uns Hacker in Coronavirus-Zeiten angreifen

Cybersecurity Coronavirus

Viele Menschen ärgern sich über die überproportionale Aufmerksamkeit, die dem Coronavirus gewidmet wird. Eine fast unsichtbare Gruppe surft auf dieser Welle der Öffentlichkeit mit: die Hacker. Hacker sind bekannt dafür, dass sie Nachrichten für geeignete Phishing-E-Mails nutzen, und in dieser Situation haben sie sogar noch häufiger Erfolg.

Wie Hacker die Coronavirus Krise für Angriffe nutzen

Phishing-E-Mails auf Basis des Coronavirus

Angenommen, alle Mitarbeiter erhalten eine E-Mail, die mit dem Firmenlogo versehen ist und den folgenden Text enthält: “Verpflichtende Maßnahmen zur Verringerung des Ansteckungsrisikos in unserem Unternehmen.” Inklusiv eines Links oder eines Anhangs zu den Maßnahmen. Wie viel Prozent der Mitarbeiter öffnen diese böswillige E-Mail und gewähren damit den Hackern Zugriff auf das Computernetzwerk? Wahrscheinlich fallen mehr als genug Leute darauf herein.

Unternehmen, die ihre Mitarbeiter darauf geschult haben, Phishing-E-Mails zu durchschauen, melden die schädlichen E-Mails wahrscheinlich gleich an die IT-Abteilung. Dort kann sofort überprüft werden, ob das Unternehmen schon von Infektionen betroffen ist. Wenn die Infektion allerdings nicht bemerkt wird, besteht das Risiko, dass sich Hacker in den Tiefen des Computersystems verstecken und auf den richtigen Zeitpunkt warten, um zuzuschlagen. In Zeiten der Corona-Krise gilt es besonders in unserem Interesse zu verhindern, dass Krankenhäuser von Hackern übernommen werden. So, wie das erst kürzlich in der Tschechischen Republik in einem der wichtigsten Krankenhäuser geschehen ist, in denen Coronatests durchgeführt werden.

Hacker in Coronavirus-Zeiten nutzen unsere Neugier aus

Die Corona-Epidemie ist ein idealer Zeitpunkt, um uns Gedanken zu machen über die Epidemie, die uns digital erwartet und im Voraus zu bedenken, wie wir uns schützen können. Hacker haben zu viele Angriffsmöglichkeiten, während dahingegen das durchschnittliche digitale Wissen der Benutzer weitgehend unzureichend ist. Ein einfaches Beispiel: Ein Mitarbeiter findet an der Tür des Gebäudes einen USB-Stick, auf dem „Daten der Koronapatienten” steht. Wie groß ist in diesem Fall die Wahrscheinlichkeit, dass er den Stick in seinen Computer einführt, um zu überprüfen, um welche Art von Daten es sich hier handelt? In dem Moment, in dem er den USB-Stick anschließt, merkt er womöglich nicht im Geringsten, dass er schädliche Software in das Netzwerk des Unternehmens einschleust.

Nutze den Corona-Wahnsinn weise, um genau jetzt in punkto Passwörter zu sensibilisieren

Auch die schwachen Passwörter sind seit Jahren eine ideale Möglichkeit für Hacker, um sich Zutritt zu verschaffen. Gerade deshalb kann das Coronavirus sehr gut genutzt werden, um Mitarbeiter zu alarmieren, wie schnell deren Passwörter gehackt werden können. Eine präventive „Nachhilfestunde“ ist in den meisten Fällen dringend nötig, denn so vermeiden wir noch am besten die bittere Lektion in der Zukunft. Während meiner Fortbildungen zum Thema Sensibilisierung stellte ich fest, dass viele Unternehmen Passwörter wie Sommer2019 oder Robert01 zulassen. Diese Wörter sind genauso schlecht gewählt wie etwa Corona123, erfahrungsgemäß nämlich innerhalb von sieben Sekunden zu hacken. Animiere deine Mitarbeiter dazu, sich Sätze mit „Corona” auszudenken. Sätze sind leichter zu merken und stellen aufgrund ihrer Länge ein sehr sicheres Passwort dar. Zum Beispiel das Passwort „Aufgrund von Corona kann ich von zu Hause aus arbeiten!”. Dieses Passwort kann bei Langem nicht so einfach gehackt werden, und das, obwohl es leicht zu behalten ist. Es versteht sich dabei von selbst, dass wir das Passwort dann auch nicht auf einem Zettel an unseren Computer kleben sollten. Passwörter können zusätzlich geschützt werden, indem sie in einem digitalen Passwort Manager aufbewahrt werden.

Abgelegener Arbeitsplatz in Zeiten des Coronavirus

Immer mehr Menschen arbeiten von zu Hause aus (besonders in Zeiten von Corona) und benötigen damit auch vertrauliche Unternehmensdaten. Eigentlich wäre es sinnvoll, um alle Heim-PCs einmal unter Quarantäne zu stellen. Ich denke, die IT-Mitarbeiter würden einen Heidenschrecken bekommen.

Jetzt hat jedes Unternehmen Angst vor dem Coronavirus und einige Firmen wie der Opel-Mutterkonzern PSA schließen sogar das Büro, um es gründlich zu desinfizieren. Andere Unternehmen ermutigen ihre Mitarbeiter vor allem, von zu Hause aus zu arbeiten. Einige Firmen bieten ihre Teamkommunikationssoftware vorübergehend kostenlos für Personen an, die von zu Hause aus arbeiten. Auch auf Hangouts Meet und Microsoft Teams können wir während des Coronavirus kostenlos zurückgreifen. Gerade deshalb ist es besonders wichtig, Mitarbeiter vor Phishing-E-Mails warnen, die sie dazu auffordern, kostenlose Software für die Arbeit von zu Hause aus zu installieren. Denn diese Links führen zu Websites, auf denen Hacker die Computer übernehmen. Als ein weiteres Phänomen waren angebliche Corona-Landkarten über infizierte Länder aufgetaucht, die häufig auf dem Computer als Werbung erschienen.

Also warne Mitarbeiter vor Phishing-E-Mails, die sie auffordern, kostenlose Software für die Arbeit von zu Hause aus zu installieren und damit zu Websites führen, auf denen Hacker die Computer übernehmen. Ebenso sinnvoll ist es, Mitarbeiter über die bösartige Corona-Landkarten über infizierter Länder zu warnen, die online häufig als Werbung sichtbar werden.

Mein Rat: Nutze den Corona-Wahnsinn, um auf Cybersicherheit aufmerksam zu machen. Denn die Aufmerksamkeit der Mitarbeiter hast du über Corona sowieso schon. Also, rauf auf die Welle, genau wie die Hacker. Hast du dir selbst schon gute Initiativen ausgedacht, lasse es uns in den Kommentaren wissen!

Um mit Mitarbeitern in Verbindung zu bleiben, auch wenn ihr von zu Hause aus arbeitet, kannst du Chat-basierte Tools für eine bessere Zusammenarbeit verwenden. Hier findest du eine Liste verschiedener Tools für die Teamkommunikation, einschließlich kostenloser Lösungen. Auf diese Weise kann dein Team weiterhin effizient kommunizieren, Nachrichten senden, Telefon- und Videoanrufe mit Kollegen führen, ebenso wie mit Geschäftspartnern.

Hoe cybercriminelen profiteren van het coronavirus om je computer te hacken

coronavirus cybersecurity

coronavirus cybersecurity

Veel mensen ergeren zich aan de buitenproportionele aandacht voor het corona-virus. Een bijna onzichtbare groep lift mee op de golf publiciteit: de hackers. Hackers gebruiken vaker het nieuws voor toepasselijke phishingmails, maar deze keer hebben ze een veel grotere kans om te scoren.

Coronavirus phishingmails

Stel dat alle medewerkers een e-mail met het bedrijfslogo ontvangen met de tekst: ‘Verplichte maatregelen om de kans op besmetting binnen ons bedrijf te verkleinen.’ En dan een link of een bijlage naar de maatregelen. Hoeveel procent van de medewerkers gaat deze kwaadaardige mail openen en daarmee de hackers toegang geven tot het computernetwerk? Waarschijnlijk trappen meer dan genoeg mensen hierin.

Bij organisaties die hun personeel getraind hebben om phishingmails te herkennen is de kans groot dat de kwaadaardige mail onmiddellijk wordt gemeld bij de ict-afdeling. Dan kunnen ze daar meteen kijken of er besmettingen zijn. Als het niet opgemerkt wordt, dan heb je kans dat hackers zich diep in het computersysteem verstoppen en wachten op het juiste moment om toe te slaan. Net zoals ze gedaan hebben bij gemeente Lochem waar op het laatste moment een grote ramp voorkomen kon worden en net zoals ze gedaan hebben bij Universiteit Maastricht waar ze 197.000 euro moesten betalen om opnieuw toegang tot hun computersystemen te krijgen Ziekenhuizen en zelfs hele steden zijn de afgelopen tijd op deze manier platgelegd, en deze grotendeels Amerikaanse trend waait vast en zeker ook naar Nederland over. In tijden van corona zit je er helemaal niet op te wachten dat de computer van ziekenhuizen door hackers worden overgenomen, zoals onlangs in Tsjechië gebeurde in een van de belangrijkste ziekenhuizen waar corona-tests worden uitgevoerd.

Hackers maken gebruik van nieuwsgierigheid

De corona-epidemie is een goed moment om stil te staan bij de epidemie die ons op digitaal gebied te wachten staat en te bedenken hoe we ons gaan beschermen. Hackers hebben te veel manieren om aan te vallen, terwijl de gemiddelde digitale kennis bij gebruikers ruim onvoldoende is. Een simpel voorbeeld: een medewerker vindt voor de deur van het gebouw een usb-stick waarop staat ‘gegevens corona-patiënten’. Gaat hij die wel of niet in zijn computer steken om te kijken wat voor gegevens dat zijn? Op het moment dat hij dat doet, beseft hij niet dat hij kwaadaardige software op het netwerk van het bedrijf installeert.

Grijp de corona-gekte aan om aandacht te vragen voor wachtwoorden

Ook zwakke wachtwoorden zijn al jaren een handige manier voor hackers om binnen te komen. Het coronavirus kan prima gebruikt worden om de medewerkers een lesje over wachtwoorden te geven, aangezien dat in de meeste gevallen hard nodig is. Tijdens mijn awareness presentaties merk ik dat bij veel bedrijven wachtwoorden zoals Zomer2019 of Robert01 toegestaan zijn. Die zijn net zo slecht als Corona123, namelijk binnen zeven seconden te hacken. Laat de medewerkers zinnen met ‘corona’ verzinnen. Zinnen zijn makkelijk te onthouden en vormen door hun lengte een heel sterk wachtwoord. Zo is het wachtwoord ‘Door corona kan ik thuiswerken!’ in honderden jaren niet te hacken, terwijl het simpel te onthouden is. Het is dus niet de bedoeling dat je het wachtwoord op een papiertje schrijft en naast je computer hangt. Wachtwoorden kunnen extra beveiligd worden door ze te bewaren in een digitale kluis.

Coronavirus factuurfraude

Het coronavirus kan ook gebruikt worden om te illustreren hoe simpel factuurfraude is geworden. Er worden momenteel heel veel bedrijven opgelicht. Ze denken dat ze zakendoen met een betrouwbare partij, maar dat zijn of cybercriminelen of de betrouwbare partij is gehackt. Het Rijksmuseum in Twente betaalde op deze manier 2,6 miljoen euro voor een schilderij aan een hacker in plaats van aan de eigenaar. Pathé Bioscopen ging voor zo’n 19 miljoen euro de mist in. Een bedrijf in Purmerend beloofde twee buitenlandse bedrijven 20 miljoen mondkapjes tegen corona, kreeg daar zo’n 1,2 miljoen euro voor, maar leverde niets. Simpele fraude op grote schaal.

Remote werken in tijden van het coronavirus

Steeds meer mensen werken thuis (zeker in tijden van corona), dus op deze manier kun je ook aan best veel vertrouwelijke bedrijfsgegevens komen. Eigenlijk zouden alle thuis pc’s een keer in quarantaine moeten. Ik denk dat de ICT-ers zich rot schrikken. Dat bleek ook uit een onderzoek van de Consumentenbond. Zelfs mensen die zeiden dat ze best veel verstand hadden van computers, bleken kwaadaardige software op hun computer te hebben.

Nu is elk bedrijf bang voor het corona-virus en sommige zoals Nike in Hilversum sluiten zelfs het kantoor om het grondig te ontsmetten. Andere bedrijven stimuleren de medewerkers vooral thuis te werken. Sommige ondernemingen bieden hun teamcommunicatiesoftware tijdelijk gratis aan voor mensen die thuiswerken. Wegens het coronavirus zijn Hangouts Meet en Microsoft Teams gratis te gebruiken. Maar waarschuw ook voor phishingmails die de medewerker oproepen om gratis software voor thuiswerken te installeren en leiden naar websites waar hackers de computers overnemen. Ook kwaadaardige corona-kaarten van besmette landen zijn al opgedoken, vaak verschijnen ze als advertentie.

Mijn advies: grijp de corona-gekte aan om aandacht te vragen voor cybersecurity. De aandacht van de medewerkers heb je al. Dus gewoon even meeliften, net als de hackers dat doen. Heb jij goede initiatieven bedacht, laat het ons weten in de opmerkingen!

Om toch verbonden te blijven met thuiswerkend personeel kan je chat-based samenwerkingstools gebruiken. Hier vind je een lijst met verschillende teamcommunicatietools waaronder ook gratis oplossingen. Zo kan je team efficiënt blijven communiceren, berichten verzenden, telefonische en videogesprekken voeren zowel tussen collega’s als met zakelijke partners.

Over de auteur:

Maria Genova is schrijfster van het boek ‘Komt een vrouw bij de h@cker’ en spreker op het gebied van privacy en cybersecurity. Op haar website stelt ze een cyberquiz gratis beschikbaar om de medewerkers te trainen om hacks en datalekken te voorkomen. Voor de cyberquiz gebruikte ze ook voorbeelden met het corona-virus.

 

Wat faalt er bij e-learnings voor security awareness?

Onnozele medewerkers valt niets te verwijten

Veel bedrijven en organisaties blijken kwetsbaar voor cybercrime omdat ze de medewerkers onvoldoende trainen. Je hoeft maar op een verkeerd linkje te klikken en een heel ziekenhuis, rechtbank of aluminiumfabriek ligt plat. De schade loopt vaak in de honderdduizenden euro’s, soms zelfs in de miljoenen en dat door slechts één verkeerd klikje.

Niet alles is te voorkomen, maar goede interactieve sessies over privacy en cybercrime maken wel indruk op medewerkers die vaak geen idee hebben dat de digitale wereld zo snel verandert. Ze schrikken zich rot door wat er allemaal mogelijk is. Het probleem is dat hun plotselinge alertheid na een tijdje weer wegzakt. Je kunt natuurlijk lezingen blijven organiseren, maar bij veel bedrijven en organisaties is dat omslachtig. Het is ook niet nodig, want er zijn perfecte manieren om kennis up to date te houden, bijvoorbeeld door middel van e-learnings voor security awareness. Ik heb de afgelopen tijd een stuk of dertig demo’s van e-learnings bekeken om ze te vergelijken.

e-learnings security awareness

8 e-learnings voor security awareness

Ik was verbaasd over de grote verschillen, zowel in prijs als in kwaliteit. Je hebt heel praktische security e-learnings van een paar euro per jaar en superslechte voor 55 euro per medewerker per jaar. Wat ik vooral met superslecht bedoel, is vragen naar definities. Daar leren de medewerkers niets van. Wat heb je eraan om te weten wat een botnet is of wat spear phishing is? Je moet zorgen dat je weet wat je moet doen om geen onderdeel te worden van een botnet of dat je een heel gerichte phishingmail (spear phishing) ook kunt herkennen. Maar dat staat dan net niet in de slechte e-learnings. Ik ga ze hier niet opsommen. Het is ook niet mogelijk om alle goede e-learnings op te noemen. Vraag diverse demo’s aan, dan merk je vanzelf welke goed zijn. Een paar goede wil ik wel even uitlichten om vooral de verschillen te laten zien.

1. BeOne Development: praktijkgerichte e-learning

BeOne Development is één van de grote aanbieders van e-learnings en levert in meer dan honderd landen. Ik heb enkele demo’s gedaan en dat waren trainingen met praktische vragen en een goede mix tussen privé en zakelijk. Wat ik in de demo’s miste, waren concrete voorbeelden. Als de medewerkers zien dat bedrijven of overheidsorganisaties op een bepaalde manier echt gehackt zijn, dan maakt dat meer indruk dan als je klikt op een antwoord dat zo’n situatie in theorie mogelijk is. Op andere gebieden loopt Be One Development duidelijk voorop. Zo onderga je een module over phishing niet als mogelijk slachtoffer, maar word je zelf de leerling van een meester-phisher.

2. BeveiligMij: up-to-date

Bij e-learnings op het gebied van cybersecurity is het heel belangrijk dat die constant bijgewerkt worden met nieuwe dreigingen, want de hackers staan niet stil. Een goed voorbeeld van een up-to-date training is die van BeveiligMij. Ze hebben ook elke week een gratis nieuwsbrief waarin de meest recente hacks en datalekken zijn opgenomen. Als je die lange lijst doorneemt, verbaas je je geregeld over de creativiteit van hackers en online fraudeurs, maar ook over de knulligheid waarmee veel medewerkers met vertrouwelijke gegevens van klanten omgaan.

3. Privacy Company en Arda Online: visuele elementen

 De training van Privacy Company is heel visueel, met filmpjes die onderbroken worden door vragen. De video’s van Arda Online zijn nog indrukwekkender. Het bedrijf regelt ook phishingsimulaties, zodat je kunt testen hoeveel procent van de medewerkers in een foute mail trapt. Dat is wat mij betreft een goede manier om de medewerkers wakker te schudden dat ze bij elke mail moeten blijven opletten.

4. SEP: didactische kwaliteiten e-learning

 Niet alle e-learnings voldoen als je ze op didactische kwaliteiten toetst. Die van SEP daarentegen is daar heel sterk in, opgebouwd uit ‘casus’, ‘interactieve lesstof’ en ‘kennistoetsen’. Alle vragen zijn voorzien van feedback, ook als je de vraag goed hebt, krijg je feedback. Dat is slim, want veel medewerkers gokken goed, terwijl ze hun antwoord niet goed kunnen uitleggen. Wat ook goed werkt: elke deelnemer kan zijn eigen leervorm kiezen, want de een wil liever lezen, de ander wil liever video’s bekijken en een derde wil vooral van de feedback op de toetsen leren.

Sector specifieke e-learnings

5. Edutrainers voor e-learning security awareness in het onderwijs

Sommige organisaties kiezen voor kleinschaligheid en expertise in een bepaalde sector. Zo richt Edutrainers zich alleen op het onderwijs met e-learnings op het gebied van AVG, digitale geletterdheid en effectief gebruik van bekende software. De vragen zijn heel praktisch. Mag je bijvoorbeeld een WhatsApp groep met alle leerlingen aanmaken of mag je een foto van een schooluitje naar alle leerlingen sturen? Het mooie aan deze e-learning is dat er niet alleen op kennis, maar ook op gedrag getoetst wordt: hoe gebruik je als leraar persoonsgegevens van leerlingen? Er zijn hierbij geen goede en foute antwoorden, je moet gewoon aangeven wat je echt doet. Daarna krijg je uitleg waarom dat wel of niet handig is.

6. Recourse voor e-learning security awareness voor gemeenten

Een andere aanbieder die heel bewust voor een bepaalde sector kiest, is Recourse. Ze hebben de wettelijke richtlijnen voor gemeenten omgezet naar kennis, houding en gedrag. Als je heel goed scoort op alle kennis-vragen, wil dat niet zeggen dat je het in de praktijk toepast. Er zijn veel concrete vragen over houding, bijvoorbeeld over integriteit, wat doe je als een collega iets doet wat niet mag? Hun tool levert een goede analyse op wat er in een gemeente verbeterd moet worden: kennis, houding of gedrag, ook per afdeling.

7. Redgrasp voor e-learning security awareness voor de zorgsector

Redgrasp is een aanbieder die zich op de zorgsector richt. De deelnemers krijgen elke dag een vraag via de e-mail binnen. Voor veel mensen is dat leuker dan 30 minuten achter elkaar vragen beantwoorden. Als je geen tijd hebt, gooi je de mail weg, een andere keer beantwoord je de vraag en dan ga je verder met werken. Als je de vragen interessant maakt, dan willen de medewerkers het antwoord weten en het kost nauwelijks tijd.

8. Janna: e-learning app

Ook de app Janna is een heel andere manier van e-learning. Je chat met Janna over privacy en cybersecurity via de app. Veel antwoorden zijn voorgeprogrammeerd, waardoor je simpel op ja of nee kunt klikken als je verder wilt gaan. Je kunt ook op ‘Ik wil meer weten’ klikken en dan krijg je bijvoorbeeld een filmpje of een artikel met meer uitleg over het onderwerp. Ik denk dat vooral jongere medewerkers deze manier van e-learning heel prettig vinden, maar ook voor ouderen is het een gebruiksvriendelijke app.

Niet interessant?

Het probleem van veel e-learnings is de desinteresse van veel medewerkers in de onderwerpen privacy en informatiebeveiliging. Hoe leg je deze medewerkers op een simpele manier uit wat voor enorme schade hacks en datalekken kunnen aanrichten?

Interesse stimuleren

Onder meer SEP en Recourse stimuleren deze interesse door live presentaties voorafgaand aan de e-learning. Na een ‘inspiratiesessie’ zijn de medewerkers eerder bereid om tijd te besteden aan e-learning.

Belangrijkste kenmerken van een goede e-learning

 Succesvolle security e-learnings zijn:

  • praktisch
  • aangepast aan de doelgroep

De meeste e-learnings missen voorbeelden uit de praktijk. Praktijkvoorbeelden maken meer indruk dan theorie. Voor goede resultaten dient het leerprogramma aangepast te zijn aan de specifieke branche. Zo bestaat er bijvoorbeeld speciale e-learning software waarmee bedrijven zelf aangepaste interactieve educatieve inhoud kunnen creëren.

Heb jij een e-learning nodig?

Om het digitale kennisniveau van je medewerkers te testen bestaat er bijvoorbeeld een cyberquiz per sector. Deze quiz is heel praktisch, met situaties die iedereen herkent en met voorbeelden van hacks en datalekken uit verschillende branches. Dan kan geen enkele medewerker zeggen dat het meevalt.

Er is ook een kinderversie van de cyberquiz beschikbaar die verassend genoeg door veel volwassenen al te moeilijk wordt gevonden.

Dan weet je dus dat je een e-learning nodig hebt, om het digitale kennisniveau van de medewerkers stukje bij beetje op te krikken. De cyberquiz is een aardig startpunt voor organisaties die geen of te weinig budget hebben voor e-learning, maar mijn advies is om niet alleen naar het geld te kijken. Als je een e-learning kiest die goed bij je organisatie past, kun je zo veel digitale ellende besparen dat het uiteindelijk veel meer oplevert dan het kost.

E-learning software aanbieders die ook op de site van Capterra willen staan kunnen hier een gratis listing aanvragen.


Maria Genova (1973) is onderzoekjournaliste en schrijfster van het boek ‘Komt een vrouw bij de h@cker’ en het kinderboek ‘What the h@ck!’. Ze ontving de Looijer Debutantenprijs voor haar debuut in 2007 voor haar boek Het idee voor Communisme, Sex en Leugens. In 2014 werd ze uitgeroepen tot Schrijfster van het Jaar. Maria werkt voor verschillende kranten en tijdschriften. Ze ontwikkelt e-learnings en cyberquizzen en is een van de meest gevraagde sprekers in Nederland op het gebied van privacy en informatiebeveiliging. Meer over Maria Genova op haar website of op Twitter: @genova2

 

5 tips om je organisatie te beschermen tegen hackers

Bedrijven kunnen op veel manieren gehackt worden en dat gebeurt ook dagelijks. Ondanks ruim bezette IT-afdelingen en het gebruik van cybersecuritytools blijven bedrijven kwetsbaar. Aan de hand van concrete voorbeelden bekijken we waarom veel bedrijven zo simpel te hacken zijn en hoe organisaties zich beter kunnen beschermen tegen hackers.

beschermen tegen hackers

Vraag aan de ICT-afdeling hoeveel kwetsbaarheden nog niet opgelost zijn

De ICT-afdelingen van veel bedrijven weten dat er kwetsbaarheden zijn in de gebruikte software, maar voeren de updates niet uit. Dat is waarom er momenteel zo veel ondernemingen gehackt worden. De mensen die thuis braaf de nieuwste updates op hun computers en telefoons installeren, snappen er niets van: als ze het zelf zonder al te veel moeite doen, waarom doen de ervaren ict’ers dat dan niet?

De verklaring is vrij simpel: thuis werken de updates meestal zonder problemen, maar niet op de ingewikkelde computersystemen van bedrijven. Daar moet eerst alles uitgebreid getest worden zodat systemen niet uitvallen. Al die tijd zijn de systemen kwetsbaar, omdat ze niet voorzien zijn van de broodnodige updates.

De ene keer is het gebrek aan tijd door onderbezetting, een andere keer slordig gedrag van de ict’ers.

Een mooi voorbeeld is de grote hack van kredietbureau Equifax. De persoonlijke gegevens van zo’n 143 miljoen klanten werden daarbij gestolen. Katie van Fleet kreeg na de hack vijftien verschillende kredietaanvragen op haar naam en was maandenlang bezig met het herstellen van haar kredietreputatie. Equifax werd gehackt door het niet oplossen van een kwetsbaarheid die volgens het interne beleid binnen 48 uur gedicht moest worden. Soms is het gebrek aan capaciteit, maar de ICT-afdeling was best ruim bezet met 255 IT-specialisten in dienst.

Bedenk welke gegevens interessant zouden kunnen zijn voor hackers

Bedrijven en organisaties denken vaak dat ze niet interessant genoeg zijn om gehackt te worden. Het Interprovinciaal Overleg (IPO) meldde onlangs een datalek bij de Autoriteit Persoonsgegevens: een medewerker had op een phishinglink geklikt, accountgegevens ingevoerd en vervolgens werden vanaf haar mailadres valse mails verzonden.

Zo’n hack is niet opmerkelijk, wel de reactie van een woordvoerder van het Interprovinciaal Overleg in de media. Hij zei desgevraagd dat IPO-medewerkers niet worden getraind om phishing-mails te herkennen. De reden? ‘Wij zijn slechts een kleine organisatie met ongeveer 30 medewerkers. Vooral de ICT-afdeling houdt zich bezig met dit soort zaken.’

Deze woordvoerder snapt blijkbaar niet dat de ICT-afdeling niet kan voorkomen dat de medewerkers op phishingmails klikken en hun accountgegevens invoeren. En dat als de ICT-afdeling dat niet kan voorkomen, hun computers gehackt worden. Een kleine organisatie is natuurlijk een slap excuus om de medewerkers niet op te leiden op digitaal gebied. Dezelfde medewerkers volgen vast tal van andere verplichte cursussen. Want bij elke organisatie valt er wat te halen.

Bij IPO is vooral het netwerk van hun partners interessant. Als je zo’n kleine organisatie hackt en namens hun een phishingmail stuurt naar de partners, dan trappen die er waarschijnlijk wel in. Wie de partners zijn staat op hun site. Het Interprovinciaal Overleg behartigt de gezamenlijke belangen van de provincies en deelt veel kennis met andere organisaties. ‘Het IPO beschikt hiertoe over een uitgebreid netwerk en onderhoudt contact met onder andere het kabinet, het parlement, de ministeries, de Europese Unie en maatschappelijke organisaties.’ Nou, dat zijn nogal wat interessante doelen!

beschermen tegen hackers

Beperk de rechten van de medewerkers

Ik kom bij steeds meer bedrijven waar programma’s automatisch geblokkeerd worden op het bedrijfsnetwerk. Bij een gemeente wilde ik een leerzaam YouTube-filmpje tijdens een lezing over cybersecurity laten zien, maar dat kon niet, want niemand mocht op YouTube. Ook veel andere bekende sites waren uit voorzorg geblokkeerd.

‘Als iemand privé berichten op Facebook wil checken of YouTube filmpjes wil bekijken, dan doet-ie dat maar thuis. Ik heb geen zin in virussen, omdat de medewerkers op elk linkje op social media klikken,’ kreeg ik van de ict’er te horen.

Als dat goed uitgelegd wordt, schijnen de medewerkers het zonder problemen te accepteren. En mocht het een keer misgaan: goede back-up software maakt vaak het verschil tussen weinig data verliezen of alles kwijtraken.

Bescherm jezelf tegen je leveranciers

Het begint een trend te worden dat grote en goed beveiligde bedrijven via kleine leveranciers worden gehackt. Dat is relatief gemakkelijk, want leveranciers hebben vaak toegang tot een gedeelte van het computernetwerk. Als hackers op deze manier binnenkomen, krijgen ze het vaak voor elkaar om ook toegang tot de rest van het netwerk te verkrijgen.

De afgelopen tijd zijn nogal wat bekende bedrijven via hun leveranciers gehackt. Ticketmaster bijvoorbeeld, die had het ook nog lange tijd niet door.

Train de digibete medewerkers om de digitale gevaren te herkennen

Toen ik research deed voor mijn boek ‘Komt een vrouw bij de h@cker’ vroeg ik aan diverse hackers wat de makkelijkste manier was om binnen te komen. ‘De medewerkers,’ zeiden ze. ‘Bedrijven verzinnen allerlei tools om het computersysteem veilig te houden, maar a fool with a tool is still a fool.’ 

Security-oplossingen helpen natuurlijk wel, maar hoe komt het dat de medewerkers volgens de hackers zulke ‘fools’ zijn? Vaak heeft niemand de moeite genomen om ze op een simpele manier uit te leggen hoe ze zichzelf en het bedrijf kunnen beschermen tegen hackers en dan moeten zij dat eventjes doen?

Op het werk van mijn man strooit de ICT-afdeling met waarschuwingsberichten op het intranet, maar die worden nauwelijks gelezen. Bovendien zijn ze ook nog onduidelijk voor de gemiddelde digibeet. En dan denkt zo’n bedrijf dat ze op deze manier de medewerkers goed hebben voorgelicht.

Hij werkt bij een groot industrieel bedrijf. Ik vrees dat daar hetzelfde zou kunnen gebeuren als in Noorwegen, waar aluminiumproducent Norks Hydro werd gehackt, allerlei fabrieken stil kwamen te staan en de schade tot meer dan dertig miljoen euro opliep. Dat kan tegenwoordig door op een simpele phishingmail te klikken, die het computersysteem gijzelt. Investeren in awareness hoeft helemaal niet duur te zijn en het kan een miljoenenschade en ook reputatieschade voorkomen.

Ben je op zoek naar cybersecurity tools? Op vergelijkingssite Capterra vind je veel aanbieders; je kunt bovendien filteren op functionaliteiten en honderden geverifieerde reviews van gebruikers lezen.

Over de auteur:

Maria Genova (1973) is journaliste en schrijfster. Ze ontving de Looijer Debutantenprijs voor haar debuut in 2007 voor haar boek Communisme, sex en leugens. Na haar debuut schreef ze nog vele andere boeken waaronder meerdere bestsellers zoals Komt een vrouw bij de h@cker, een eye-opener over digitale gevaren. In 2014 werd ze uitgeroepen tot Schrijfster van het Jaar. Maria werkt voor verschillende kranten en tijdschriften. Ze ontwikkelt e-learning cursussen en quizzen en is een van de meest gevraagde sprekers in Nederland op het gebied van identiteitsfraude, privacy en informatiebeveiliging. Meer over Maria Genova op haar website, op LinkedIn of Twitter: @genova2

6 alternative ways to promote cyber security

cyber security

The biggest gap in corporate security is usually between the desk and the keyboard. And most people go for convenience and not for safety. “A lot of people are absolutely unaware of the risks of links and attachments in emails” states an IT specialist on an online forum. “Recently we had a phishing test carried out at our office. And no less than 25% of all employees casually entered their login details on the phishing site.”

cyber security

There have been many studies trying to understand what does and does not work in the area of ​​awareness to cyber security. Posters with warnings about cyber security hardly seem to have any effect. Interactive lectures score very high, but as a small company you can’t just invite a speaker for six people. And with the large companies you can’t reach everyone with presentations. So let’s list a few alternatives:

Organise a cyber treasure hunt

You hide at least 10 cyber security threats and let everyone search. A USB stick with a possible virus, a mobile phone with security code 0000, a file with personal data lying around on a desk, a forgotten document in the printer, a non-locked computer screen, etc. The result is that usually employees find more dangers than the ones that you have originally hidden.

Explain the cyber risks in normal human language

IT specialists often forget that ordinary employees do not have enough digital knowledge. Employees don’t understand the scope of clicking on a phishing email or using a weak password. Research by the British internet provider Beaming showed that 31% don’t want to work with a supplier who has become a victim of cyber crime due to negligence.

Hackers are increasingly trying to get into small companies as a handy stepping stone to attack large companies. The use of specially developed software for information security can do a lot against this, but employees have to cooperate.

Reward reporting data breaches

Should you reward an employee that has caused a data breach? A director decided to do that because she knew that many employees withheld data breaches, such as sending an email with personal data to the wrong person. 

When a few people received a small gift because they had quickly reported a data breach, suddenly everyone was talking about how important it is not to withhold data breaches and that you will not be punished if it happens to you. In fact, you even received a gift because you tried to limit the consequences. Sometimes companies discover after six months that they have been hacked, because an employee has clicked on a phishing email and didn’t find it necessary to point it out to the IT department.

Abuse computers that are not locked (for a good cause)

From all computers that employees leave  unattended, send an email to a non-existent email address: “I hereby offer my resignation.” When they return, they are shocked by the email that they have sent from their computer.

Explain clearly to employees what the dangers of not locking your computer are, how they can recognise phishing emails and how they can remember hundreds of complicated passwords. This is possible through a presentation or an e-learning course. Even a cyber quiz can greatly increase their level of knowledge.

Choose practical and easier solutions

Many employees forget to change their password very often. Studies show that this primarily results in false safety. University College London (UCL) wanted to encourage staff and students to choose stronger passwords. Longer passwords had to be replaced less often than short and weak passwords. For words from the dictionary the employees received penalty points (these are cracked very quickly by automatic hacking programs).

The new policy proved to be a success. In the long run most employees opted for stronger passwords in exchange for a longer lifespan. Show employees how simple is to come up with hackable passwords, just a new sentence every time. For example, in January the sentence: Ik_wil_3_kilo_afvallen! And in February the sentence: Ik_ga_op_wintersport02! Or even easier: enter a password manager as a solution against all password frustrations.

Think of playful ways to raise awareness

Spending money on expensive IT tools is throwing money away if employees don’t understand how hackers work.  An example is someone who happened to be on vacation during a phishing email test. The holiday maker saw the phishing email too late and emailed back: “I was not present last week, you can send the link again, because it no longer works.”

Use simple ways to train the less alert employees. When a colleague has not touched his computer for a while, a screen saver with prevention tips pops up automatically. The company app also occasionally shows a prevention tip about opening suspicious emails, sharing confidential information or making fake payments. Create engaging educational videos about privacy and cyber crime on the intranet.

About the author:

Maria Genova (1973) is a journalist and writer. She received the Looijer Debutantenprijs for her debut in 2007 for her book The Idea for Communism, Sex and Lies . After her debut, she wrote many other books including several bestsellers such as Will a woman come to the h @ cker , an eye-opener about digital dangers. In 2014 she was named Writer of the Year. Maria works for various newspapers and magazines. She develops e-learning courses and quizzes and is one of the most requested speakers in the Netherlands in the field of identity fraud, privacy and information security. More about Maria Genova on her website or on Twitter: @ genova2

Waarom je een datalek moet belonen: de 6 leukste manieren om informatiebeveiliging onder de aandacht te brengen

Het grootste gat in de informatiebeveiliging zit meestal tussen de bureaustoel en het toetsenbord. De meeste mensen gaan voor het gemak en niet voor de veiligheid. “Heel veel mensen zijn zich absoluut niet bewust van de risico’s van linkjes en bijlagen in e-mails”, klaagt een ict-er op een online forum. “Pas geleden bij ons op kantoor een phishingtest laten uitvoeren. Maar liefst 25% van alle medewerkers heeft doodleuk zijn inloggegevens ingevuld op de phishing site.”

Een andere ict-er reageert dat dit soort mensen een reprimande van de baas moeten krijgen. Een reprimande van de baas? Vaak is die de eerste die op de phishingmail klikt.

informatiebeveiliging
Bron André Versteeg

Er zijn onderzoeken gedaan naar wat wél en niet werkt op het gebied van bewustwording naar informatiebeveiliging. Posters met waarschuwingen over cybersecurity blijken nauwelijks effect te hebben. Interactieve lezingen scoren heel hoog, maar als klein bedrijfje kun je niet even een spreker voor zes man uitnodigen. En bij de grote bedrijven kun je ook niet iedereen met presentaties bereiken. Laten we dus een paar alternatieven op een rijtje zetten:

1. Organiseer een cyber-speurtocht

Je verstopt minstens 10 cybersecurity gevaren en laat iedereen zoeken. Een usb-stick waar mogelijk een virus op zit, een mobiele telefoon met beveiligingscode 0000, een dossier met persoonlijke gegevens dat ergens op een bureau rondslingert, een vergeten document in de printer, een niet gelockt computerscherm, etc. Meestal vinden de medewerkers veel meer gevaren dan je verstopt hebt.

2. Leg in gewone mensentaal uit wat de cyberrisico’s inhouden

Ict-ers vergeten vaak dat gewone medewerkers niet genoeg digitale kennis hebben. Medewerkers begrijpen niet precies hoe groot de gevolgen kunnen zijn van het klikken op een phishingmail of het gebruiken van een zwak wachtwoord. Leg ze uit waarom de ict-afdeling niet alles kan tegenhouden en wat er in het ergste geval kan gebeuren. Uit onderzoek van de Britse internetprovider Beaming bleek dat 31 procent niet met een leverancier wil werken die door onachtzaamheid slachtoffer is geworden van cybercriminaliteit.

Hackers proberen steeds vaker binnen te komen bij kleine bedrijven als handig opstapje om grote bedrijven aan te vallen. Het gebruik van speciaal ontwikkelde software voor informatiebeveiliging kan hier veel tegen doen, maar werknemers moeten wel meewerken.

3. Beloon het melden van datalekken

Moet je een medewerker belonen als hij een datalek heeft veroorzaakt? Een directeur besloot dat te doen, omdat ze wist dat veel medewerkers datalekken verzwijgen, zoals een e-mail met persoonlijke gegevens versturen naar de verkeerde. Vaak weten de medewerkers niet eens dat dit onder een datalek valt en dat dit de wet bescherming persoonsgegevens overtreedt en dus binnen 72 uur gemeld moet worden bij de Autoriteit Persoonsgegevens.

Toen enkele mensen een klein cadeautje kregen, omdat ze snel een datalek hadden gemeld, had opeens iedereen het over hoe belangrijk het is om datalekken niet te verzwijgen en dat je niet wordt bestraft als het je overkomt. Sterker nog: je kreeg zelfs een cadeau omdat je de gevolgen probeerde te beperken. Soms ontdekken bedrijven pas na een half jaar dat ze gehackt zijn, omdat een medewerker op een phishingmail heeft geklikt en het ook niet nodig vond om de ict-afdeling erop te wijzen.

4. Misbruik computers die niet gelockt zijn (voor een goed doel)

Stuur vanuit alle computers die medewerkers onbeheerd laten staan een e-mail naar een niet-bestaand e-mailadres: ‘Bij deze bied ik mijn ontslag aan.’ Als ze terugkomen, schrikken ze van het teruggekaatste mailtje.

Leg de medewerkers op een duidelijke manier uit wat de gevaren zijn van het niet locken van je computer, hoe ze phishingmails kunnen herkennen en hoe ze honderden ingewikkelde wachtwoorden kunnen onthouden. Dat kan door middel van een presentatie of een e-learning cursus. Zelfs een cyberquiz kan hun kennisniveau enorm vergroten.

5. Kies voor praktische en gemakkelijkere oplossingen

Veel medewerkers vinden het een ramp om heel vaak hun wachtwoord te wijzigen. Uit onderzoeken blijkt dat dit vooral valse veiligheid oplevert. University College London wilde het personeel en de studenten aanmoedigen om sterkere wachtwoorden te kiezen. Langere wachtwoorden hoefden voortaan minder vaak vervangen te worden dan korte en zwakke wachtwoorden. Voor woorden uit het woordenboek kregen de medewerkers strafpunten (deze worden heel snel gekraakt door automatische hack-programma’s).

Het nieuwe beleid bleek een succes. De meeste medewerkers kozen op den duur voor sterkere wachtwoorden in ruil voor een langere levensduur. Leg de medewerkers uit hoe simpel het is om onhackbare wachtwoorden te verzinnen, gewoon elke keer een nieuwe zin als wachwoord. In januari bijvoorbeeld de zin: Ik_wil_3_kilo_afvallen! En in  februari de zin: Ik_ga_op_wintersport02! Of nog gemakkelijker: voer een wachtwoordmanager in als oplossing tegen alle wachtwoordfrustraties.

6. Bedenk ludieke manieren om de bewustwording te vergroten

Geld spenderen aan dure ict-tools is geld over de balk gooien als de medewerkers niet begrijpen hoe de hackers werken. Of zoals een bevriende ethische hacker ooit zei: “A fool with a tool is still a tool”.

Een voorbeeld is iemand die toevallig op vakantie was tijdens een phishingmail-test. De vakantieganger zag de phishingmail te laat en mailde terug: ‘Ik was de afgelopen week niet aanwezig, kun je de link nog een keer sturen, want die werkt niet meer.’

Gebruik simpele manieren om de minder alerte medewerkers te trainen. Wanneer een collega zijn computer een tijdje niet heeft aangeraakt, springt een screensaver met preventietips automatisch op. Een ook de bedrijfsapp laat af en toe een preventietip zien over openen van verdachte e-mails, het delen van vertrouwelijke informatie of het maken van valse betalingen. Deel leuke filmpjes over privacy en cybercrime op intranet.

Helaas zijn de ze maatregelen tegenwoordig geen overbodige luxe, gezien al die hacks en datalekken van de afgelopen tijd!

Tip: Verzin voor elke week een ‘Tip van de Week’. Zo zorg je dat de medewerkers continu op hun hoede zijn voor online gevaren.

Over de auteur:

cybersecurity deskundige Maria Genova

Maria Genova (1973) is journaliste en schrijfster. Ze ontving de Looijer Debutantenprijs voor haar debuut in 2007 voor haar boek Het idee voor Communisme, Sex en Leugens. Na haar debuut schreef ze nog vele andere boeken waaronder meerdere bestsellers zoals Komt een vrouw bij de h@cker, een eye-opener over digitale gevaren. In 2014 werd ze uitgeroepen tot Schrijfster van het Jaar. Maria werkt voor verschillende kranten en tijdschriften. Ze ontwikkelt e-learning cursussen en quizzen en is een van de meest gevraagde sprekers in Nederland op het gebied van identiteitsfraude, privacy en informatiebeveiliging. Meer over Maria Genova op haar website of op Twitter: @genova2