Cybercriminelen worden alsmaar professioneler. Ze hebben steeds meer technische tools, mankracht en financiële middelen tot hun beschikking om een aanval uit te voeren. Denk bijvoorbeeld aan de ransomware-aanval WannaCry of de gijzeling van het nieuwste seizoen van ‘Orange Is The New Black’. De steeds professioneler wordende cybercrime vraagt om oplettendheid, maar dit ontbreekt vaak nog op de werkvloer. De werknemer blijkt hier ook niet zo veel om te geven. Wat zijn de gevaren van internetgedrag van uw werknemer?
Uit onderzoek is gebleken dat bijna alle werknemers (92%) het volste vertrouwen hebben in de beveiliging die de werkgever heeft geïnstalleerd (Onderzoeksrapport ‘Internet Eigenwijs’, 2016). Werknemers gaan er dan ook vanuit dat zij zelf vrijwel niets hoeven te doen als het gaat om security op de werkvloer. Echter, het is zaak om werknemers goed op de hoogte te stellen hoe zij met security om moeten gaan. Meer dan de helft (52%) ziet zichzelf namelijk als zwakste schakel binnen de beveiliging van de werkcomputer en bedrijfsgevoelige data. Zo zijn phishing e-mails met de jaren alsmaar moeilijker te onderscheiden van de reguliere e-mails. Waar voorheen half Nederlandse en half Engelse zinnen werden verzonden, zijn phishing mails tegenwoordig foutloos geschreven.
De IT-afdeling regelt het wel
Meer dan driekwart van de werknemers is ervan overtuigd een malafide e-mail direct te herkennen. Maar ik denk dat werknemers zichzelf overschatten. Malafide e-mails vormen namelijk een steeds groter risico. Wanneer er twijfel is over de kwaadaardigheid van een mail, dan wordt deze eerder op het werk geopend dan thuis op het privé-device. Er wordt veelal gedacht dat de IT-afdeling dit allemaal onder controle heeft en wanneer er dan toch complicaties uit voortkomen, dan lossen de mensen van IT dit wel op.
De overtuigingskracht van phishing mails
Graag deel ik een voorbeeld uit eigen keuken over de overtuigingskrachten van phishing. Onlangs kreeg onze marketingafdeling een uitnodiging van een hogeschool voor een bedrijvendag voor de ICT-studenten, waar zij sprekers voor zochten. Het leek ons een mooie gelegenheid om hieraan mee te doen. Voor meer informatie over het evenement konden we naar een website gaan of een bijgevoegd bestand in de mail downloaden. De website leek daadwerkelijk op een eventwebsite, maar het probleem met de e-mail was dat het bestand dat we moesten downloaden een xlsm-bestand betrof. Om dit bestand te kunnen openen, moesten er macro’s ingeschakeld worden en dat is binnen onze organisatie niet mogelijk. Om deze reden hebben wij de organisatie gevraagd om de informatie op een andere manier beschikbaar te stellen en met ons te delen. Hierop werd ons geadviseerd om de IT-afdeling te vragen deze macro’s wel in te schakelen of het eventueel op een andere computer proberen te openen. Dit hebben wij niet gedaan. Achteraf bleek deze mail een test te zijn geweest van Madison Gurkha, zonder dat wij hier ook maar iets vanaf wisten. Dit is zeker een realistisch voorbeeld van hoe het er in de praktijk aan toe gaat. Wees hier dus zeker beducht op.
Wachtwoordpolicies beschermen werknemer en organisatie
De werknemer overschat zichzelf niet alleen in het geval van malafide e-mails, maar gaat ook niet altijd even goed om met wachtwoorden. Zo hergebruikt meer dan de helft van de werknemers in de leeftijdscategorie van 18 tot en met 34 (63%) hun wachtwoorden voor meer dan drie logins. Wachtwoorden worden nu eenmaal als een obstakel gezien, maar ze zijn onmisbaar. Een lek in uw systemen kan zowel medewerkers als klanten kwetsbaar maken op andere sites. Daarom is het belangrijk dat uw medewerkers met wachtwoorden leren omgaan.
>> Lees ook CHECKLIST: 13 tips voor veilig digitaal werken
Zowel streng als werkbaar
Dwing daarom strenge en werkbare wachtwoordpolicies af voor uw eigen mensen en accounts op de systemen. Het is niet de bedoeling dat er wachtwoorden van minimaal 16 karakters maandelijks veranderd moeten worden. Er moet een goede balans in te vinden zijn, die zowel streng als werkbaar is. Stel in deze policies niet alleen regels op voor het aanmaken van wachtwoorden, maar bedenk ook hoe u (en de medewerker) wachtwoorden opslaat en wat u moet doen op het moment dat wachtwoorden toch uitlekken.
Werknemer cruciaal voor internetveiligheid op werkvloer
Hoewel de IT-afdeling niet alles zelf in de hand kan houden, is bewustwording van de werknemers de basis om veiliger om te gaan met internet. Het is dan ook belangrijk om als IT-afdeling proactief in te spelen op de gevaren die internet met zich meebrengt. Niet alleen de technologieën veranderen snel, maar ook cybercriminelen ontwikkelen zich continu. Daarom is het verstandig om periodieke awareness trainingen voor alle medewerkers, ongeacht de afdeling waar zij werkzaam zijn, te organiseren.
Bewustwording werknemers is basis om cybercrime terug te dringen
Het is aan de IT-afdeling om de volgende stap te zetten en haar rol te pakken. Enerzijds omdat mensen dit verwachten en anderzijds om werknemers, en ook zeker het management, te informeren en overtuigen van de gevaren en consequenties die verbonden zijn aan onveilig internetgedrag. Hoewel u niet alles zelf in de hand heeft, is bewustwording onder werknemers de basis om cybercrime terug te dringen.
Wido Potters is manager Support en Sales bij BIT
>> Wilt u weten hoe u de digitale weerbaarheid van uw organisatie kunt vergroten, download dan hier de whitepaper Trends in cybersecurity.