De coronacrisis en de daarmee gepaarde thuiswerkrevolutie is een droom die uitkomt voor hackers. Want niet iedereen heeft zijn beveiliging op orde. De basisstappen die je kunt nemen zijn simpel. Waarom gaat het dan toch nog mis? En wat kun je doen om problemen te voorkomen? We vroegen twee experts om advies. 

Denk jij dat het wel meevalt met de veiligheidsrisico’s in werkend Nederland? Guess again. Uit onderzoek van Capterra onder mkb-werknemers, blijkt dat maar liefst 67% van de ondervraagden nooit eerder vanuit huis werkte en ruim 46% nu een privéapparaat gebruikt om op te werken. En dat is problematisch, want uit het onderzoek blijkt dat minder dan de helft antivirussoftware heeft geïnstalleerd en minder dan een derde een firewall.

Privéapparaten voldoen dus niet aan veiligheidsvereisten. Niet gek, want veel mensen weten überhaupt niet wat de vereisten zijn. Slechts 18% van de thuiswerkers heeft IT-beveiligingsvoorschriften ontvangen van hun werkgever. En de algemene kennis op dit vlak is niet om over naar huis te schrijven. 

Hoog tijd voor een cybersecurity-update van twee experts: Jordy Damen, Head of Security Operations Center bij SWIFT en John Muller, CIO van YoungCapital. 

Waar zitten de risico’s op het gebied van cybersecurity? 

Damen: “Bij de verbinding van je laptop naar je bedrijfsnetwerk. Zodra jij op je bedrijfsnetwerk inlogt, sla je als het ware een brug tussen die twee netwerken. Zo kan eventueel een hacker binnendringen. Sommige applicaties waarmee je zo’n verbinding kunt maken, zijn kwetsbaar voor aanvallen. De citrixverbinding was daar een voorbeeld van.”

Wat kun je hiertegen doen?

Damen: “Het beste kun je als werkgever iedereen voorzien van een laptop van de zaak, met daarop een up-to-date firewall, antivirus en een VPN-verbinding. Daarmee versleutel je de connectie naar je bedrijfsnetwerk en maak je het veilig.”

Muller: “Het grootste probleem van privéapparaten is dat mensen vaak niet up-to-date systemen gebruiken of zelfs op een niet meer ondersteunde versie werken, zoals Windows 7. Dat is gevaarlijk.”

Oké, dus hardware van de zaak. Duur geintje.

“Ja, dat kan prijzig zijn”, zegt Muller. “Bij YoungCapital hebben we dit wel verzorgd, maar vallen de kosten relatief mee, omdat onze mensen op Chromebooks werken. Deze laptops draaien op Chrome OS, het besturingssysteem van Google. Ze zijn voordelig geprijsd én automatisch beveiligd via Google.”

Hij vervolgt: “Chromebooks werken voor ons, omdat wij jaren geleden zijn overgestapt van een volledige Windows en Office omgeving naar de cloud, met G-Suite van Google. Je hebt overal toegang tot bestanden en kunt bestanden delen of juist afschermen. Dat maakt werken op afstand makkelijk.”

Damen vult aan: “Waar het naar mijn mening vaak fout gaat, is dat bedrijven aanvankelijk te weinig willen investeren in security. Aan de andere kant is bakken met geld uitgeven ook geen garantie dat er niks gebeurt. Uiteindelijk zijn je mensen je grootste risico. En je grootste troef, als ze verdacht gedrag snel melden. Maar als iemand op een link in een phishingmail klikt, kun je nog zo goed beveiligd zijn, dan heb je toch een probleem.”

Iedereen weet toch dat je niet op links moet klikken in e-mails die je niet vertrouwt? Hoe kan dit toch nog gebeuren?

“Het kan zo simpel zijn als een bevestigingsmailtje van een bestelling, die je bijvoorbeeld helemaal niet gedaan hebt. Dan denk je misschien dat je die gewoon vergeten bent”, legt Damen uit. “Bij banken maken hackers er werk van om de e-mail er identiek te laten uitzien als van de bank zelf. Er wordt bijvoorbeeld gestuurd dat je TAN-code is veranderd. ‘Klik hier om je code aan te passen’. Dan kom je op een pagina die er identiek uitziet als de pagina die je kent. Zodra je daar inlogt, heb je je gegevens afgegeven.” 

Uit het eerder aangehaalde onderzoek van Capterra blijkt dat slachtoffer worden van phishingmail één op de vijf mensen wel eens is overkomen. 

Hoe zorg je dat mensen niet meer op verdachte links klikken? 

Muller: “Bewustzijn is ontzettend belangrijk. Als je je bewust bent van de risico’s, dan denk je: heb ik dit wel besteld? Ken ik deze afzender? Heb ik me wel opgegeven voor deze ‘nieuwsbrief’? En voordat je ergens inlogt, check je de url.”

Damen: “Maar dat bewustzijn, dat moet je als bedrijf trainen. Wij sturen bijvoorbeeld regelmatig nep-phishingmails naar onze mensen en kijken of er op de juiste manier wordt gereageerd. Denk aan het rapporteren van de mail en het niet aanklikken van de links. Het wordt vaak gemeld, maar er zijn ook mensen bij die op een linkje klikken.”

Stel: ik heb op een link geklikt en heb er direct spijt van, wat moet ik doen?

“Het zo snel mogelijk melden”, zegt Damen “Zorg dat je mensen weten bij wie ze moeten zijn en zorg dat die afdeling altijd bereikbaar is. In het mkb kan dat één persoon zijn, die hier proactief mee bezig is.”

Muller: “Op links klikken is vaak niet zo spannend. Dat wordt het pas als je op die pagina dingen doet, zoals inloggen. In dat geval is het wel handig als je weet welk noodnummer je kunt bellen. Ook buiten werktijd, want een hacker stopt niet om half zes.” 

Communicatie rondom cybersecurity is dus belangrijk. Hebben jullie hier tips voor?

“Allereerst: deel veiligheidsvoorschriften”, zegt Muller. “Als medewerkers iets moeten doen, leg het dan stap voor stap uit. Wij vragen onze communicatieafdeling om onze handleidingen en voorschriften te checken en eventueel te herschrijven. Als de minst technische communicatiemedewerker het snapt, dan is het goed.”

"Communiceer zo duidelijk en praktisch mogelijk. Als jij een mail stuurt met: ‘De gemiddelde gebruiker komt doorgaans in aanraking met schadelijke code via een ongevraagde e-mailbijlage of door het downloaden van programma's die er legitiem uitzien, maar in feite malware bevatten’, dan bereik je niemand. Beter is een lijstje als: 

• Klik nooit op links in e-mailberichten die je niet 100% vertrouwt. Bijvoorbeeld een bevestigingsmail van een bestelling die je niet hebt gedaan of een afzender die je niet kent. 
• Open geen onbekende bijlagen.
• Bijlagen met .exe of .bat zijn per definitie verdacht. 
• Vul nooit gegevens in bij mails die je niet verwacht of die van een onbekende afzender zijn.
• Check voordat je ergens inlogt altijd de url. Veel voorkomend zijn url’s die lijken op het origineel, maar een paar letters verschillen of een vage extensie hebben, zoals Yongcapital.nl of Rabobank.gs 

Welke eisen moeten in je veiligheidsvoorschriften? 

• Waar meld je verdachtheden of problemen?
  Damen: “Nogmaals: het is ontzettend belangrijk dat je snel reageert als er iets gebeurd is. Dus zorg dat je medewerkers weten waar ze terecht kunnen. Zet dit bovenaan en onderaan, duidelijk vindbaar in de voorschriften.”
  
  
• Gebruik geen openbare netwerken
  Beschouw alle netwerken als onveilig. En/of gebruik een goede VPN. 
  
  
• Installeer je updates direct
  Muller: “Train jezelf en je medewerkers om updates direct te installeren. Zowel voor je browser als je besturingssysteem. En leg ook uit waarom: hackers blijven nieuwe manieren verzinnen om binnen te dringen. De updates bevatten nieuwe veiligheidsmaatregelen.”
  

• Wees je bewust van verdachte mails
  Muller: “Houd het dan niet bij deze mededeling, maar leg uit wat verdacht is en hoe je dat kunt checken. En wat je moet doen als je onzeker bent, wat er gebeurt als je toch op een verdachte pagina hebt ingelogd of gegevens hebt achtergelaten.”
  

• Gebruik sterke wachtwoorden
  Damen: “Maak je wachtwoorden nooit korter dan 12 tekens. Ik raad mensen altijd aan om zinnen te maken. Mét hoofdletters erin en tekens. Want het wachtwoord ‘Ikvinddetuinmooi’ kraakt een hacker in twee uur, terwijl IkV1ndD3Tu1nMoo1! wel een maand kan kosten.”

Muller: “Help ze ook aan tools om veilig wachtwoorden mee op te slaan, zoals Lastpass of 1Password. Hoe makkelijker je het kunt maken, hoe beter.”

Nog gouden tips daarvoor? 

Muller: “Deze twee simpele maatregelen kan iedereen nemen, en helpen je veiligheid met sprongen vooruit: 

• Gebruik two- of multifactorauthenticatie.
  Dit zorgt ervoor dat je niet kunt inloggen met alleen een gebruikersnaam en wachtwoord. Er is nog minimaal een extra stap vereist, zoals een code invoeren die je per sms ontvangt. Zo maak je het voor hackers met een simpele handeling oneindig veel moeilijker.

• Limiteer toegang
  Niet iedereen hoeft bij alle bestanden te kunnen. Klinkt misschien niet transparant, maar in de praktijk zijn er maar weinig werknemers die alle info van andere afdelingen opzoeken. Als je een grens stelt aan wat iemand kan inzien, is er ook een grens aan wat er vrijgegeven wordt als die persoon gehackt wordt.
  

• Cybersecurity-trainees
  Heb je wel behoefte aan medewerkers die zich storten op cybersecurity, maar geen groot budget? Wellicht bieden trainees van YoungCapital NEXT* uitkomst: zij combineren werken in cybersecurity met meer leren over cybersecurity. Voor een vriendelijke prijs gaan ze bij jou aan de slag. Ze worden met de dag beter in wat ze doen, en jij bouwt aan je talentpool.”

Muller vervolgt: “Voor medewerkers wordt veiligheid pas urgent als het te laat is. Deadlines voelen belangrijker. Het is geen onwil, maar een gebrek aan kennis die mensen weerhoudt van het juiste gedrag. Maak het makkelijk en neem ‘gedoe’ uit handen. Mensen willen werken, niet bezig zijn met hun cybersecurity.” 

*YoungCapital NEXT is de opleidingstak van YoungCapital. Met traineeships leiden wij young professionals op voor vakgebieden van de toekomst, waarbij ze gedetacheerd werkervaring opdoen. Ons traineeship Cyber Security groeit hard. Interesse? Neem contact op met Jan Hendrik van der Wijngaart van YoungCapital NEXT, via j.vanderwijngaart@next.youngcapital.nl