Cybersecurity TIPS

Nederland digitaliseert. De ontwikkelingen binnen de digitalisering gaan razendsnel en zijn niet meer weg te denken uit het bedrijfsleven. Iedere ondernemer krijgt vroeg of laat te maken met de impact van snelle technologische ontwikkelingen. Cybersecurity, ofwel het waarborgen van veiligheid in het gebruik van digitale technologieën, is daarom ook steeds belangrijker om bijvoorbeeld Datalekken, DDoS-aanvallen en ransomware te voorkomen. In dit nieuwsbericht regelmatig een nieuwe tip voor de beveiliging.

Installeer updates zodra ze beschikbaar komen
Leveranciers van software, operating systemen en apps bieden regelmatig updates aan. Omdat deze updates vaak ook zorgen voor verbeteringen van informatiebeveiliging, raden wij aan om updates zo snel mogelijk te installeren. We beseffen dat het soms hinderlijk kan zijn als er bijvoorbeeld een herstart van een systeem of applicatie nodig is, maar besef dat criminelen constant op zoek zijn naar kwetsbaarheden in software in systemen, om toegang te krijgen tot deze systemen.
Jan Martijn Broekhof – Managing Director Guardian360 (september 2022)

Zorg dat digitale risico’s (periodiek) worden beoordeeld
Je hebt goed hang-en sluitwerk op de toegangsdeuren en gevelopeningen van je bedrijfspand, dat wordt vervangen als het defect is en periodiek wordt onderhouden zodat het correct blijft functioneren. Je hebt een alarminstallatie en een camerasysteem voor het beschermen van eigendommen die zijn aangelegd door een beveiligingsinstallateur, deze worden hersteld zodra ze niet correct functioneren en worden jaarlijks onderhouden. De processen voor fysieke beveiliging, zoals: alarmopvolging, screening van medewerkers, waarschuwingsadressen, sleutelbeheer, etc. zijn georganiseerd. Je bent ten slotte bekend met de (fysieke) dreigingen die voor jouw organisatie van toepassing zijn en je weet aan welke wet- en regelgeving je moet voldoen als het gaat over bescherming van bedrijfseigendommen en persoonsgegevens, waaronder in ieder geval de Algemene Verordening Gegevensbescherming (AVG) en eisen van je verzekeraar. Je handelt hiernaar door geaccepteerde risico’s te nemen, op de hoogte te blijven van kwetsbaarheden voor jouw organisatie en deze periodiek te evalueren. Kortom je fysieke beveiliging is goed voor elkaar.

Als je nu denkt: ‘Mijn fysieke beveiliging heb ik helemaal niet op orde. Ik neem helemaal geen geaccepteerde risico’s en wist niet dat de AVG iets met fysieke beveiliging te maken had’, dan moet je je afvragen of je met voldoende gemoedsrust kunt ondernemen en eventueel extra ondersteuning van een specialist moet inschakelen.

De bescherming van je bedrijfseigendommen is niet alleen kwetsbaar door een gebrek aan fysieke beveiliging, maar tegenwoordig in nog grotere mate door digitale dreigingen. Deze digitale dreigingen hebben, om het allemaal eenvoudig te houden, ook weerslag op je fysieke beveiliging en vice versa. Je inbraakalarmsysteem, toegangscontrolesysteem en poorten in je hekwerk zijn waarschijnlijk ook verbonden met het internet en dus heb je te maken met de risico’s die hierbij horen.

Het onhandige van digitale dreigingen is dat zowel de dreigingen als de te nemen maatregelen veel minder tastbaar zijn als goed hang- en sluitwerk, een camerasysteem en een hekwerk om je bedrijfspand. Dit is dan ook de uitdaging.

Voor de ondernemer die de fysieke beveiliging heeft georganiseerd geldt dat de periodieke evaluatie van dreiging/compliance, beveiligingsmaatregelen, controle en verbetering (lees: managementsysteem of risicomanagement) uitgebreid moet worden met het onderdeel digitale beveiliging (cybersecurity).

Het uitgangspunt voor jou als ondernemer moet zijn dat zowel voor fysieke als digitale dreigingen aanvaardbare risico’s worden genomen doordat de juiste beveiligingsmaatregelen zijn geïmplementeerd en deze periodiek worden geëvalueerd op basis van de fysieke en digitale dreigingen die voor jouw organisatie gelden.

Digitale beveiliging (weerbaarheid) toevoegen aan je risicomanagementsysteem is één van dé agendapunten voor organisaties voor komende periode. Risicomanagement aangaande digitale weerbaarheid van organisaties staat nog in de kinderschoenen, aldus het NCTV (bron: Cybersecuritybeeld Nederland, CSBN 2022).

Kortom: bescherm wat van waarde is door digitale beveiliging, net als fysieke beveiliging, periodiek te beoordelen en te verbeteren.
Daniël de Jong, security consultant & fraude- en incident onderzoeker AVAQ (juli 2022)

Gebruik nooit WiFi op luchthavens
Na een lange vlucht kom je eindelijk aan op je bestemming en wil je snel even je e-mail checken. Roamingkosten buiten de Europa kunnen echter fors oplopen. Gelukkig biedt WiFi op de luchthaven uitkomst. Hierbij kun je doorgaans kiezen tussen vele WiFi-punten, die in verschillende varianten vertellen dat hun WiFi gratis, snel of juist veilig is. Nu weet je wellicht dat publieke WiFi-punten niet veilig zijn, net zoals het bekende WiFi in de trein netwerk. Voor luchthavens speelt hier echter een andere dimensie: vanwege de gevoeligheid van internationaal reizend personeel zijn ook inlichtingendiensten hier actief met hun eigen WiFi-punten, waarbij ze hopen zoveel mogelijk reizigers te verleiden om te verbinden. Iedereen kan immers kiezen hoe ze hun eigen WiFi-punt noemen, en een router kun je in principe meedragen in je rugzak.

Dit betekent dat WiFi-punten op luchthavens niet alleen onveilig zijn vanwege de dreiging van hackers, maar ook doelbewust worden opgericht door buitenlandse inlichtingendiensten om gericht jouw bedrijfsinformatie te stelen. Daarom, zelfs als het een betaalde dienst is: gebruik nooit WiFi op luchthavens.

Maar wat betekent dit nu voor je bedrijf of organisatie? Het beste kun je dit beantwoorden door goed te kijken naar de uniciteit van je eigen organisatie. Denk aan dan competitive pricings modellen of je bijzondere product/dienstverlening, research & development van nieuwe producten die nagemaakt kunnen worden, CRM-systeem dat bij andere partijen bekend wordt en waardoor de clientèle bekend wordt, strategische planning of imago schade doordat bijvoorbeeld onderzoeksinformatie expres gelekt wordt. Dit zijn slechts enkele in de realiteit voorkomende gevallen.

Wat is de kans dat dit gebeurd? Dit hangt af van vele factoren zoals de landen waar je actief bent, het concurrentieveld, de (lands)belangen en de uniciteit van je product of diensten. De meest in het oog springende zaken die je in de media terug ziet gaan over bedrijven in de aerospace (zie de spionage zaak van Airbus en Boeing), automotive industrie of defensie industrie, maar in ons dagelijks werk komen we het in alle sectoren en in alle landen tegen.
Daan Brink, managing partner Proximities (juni 2022)

Train, oefen of doorloop eens een cyberscenario
Een incident of cybercrisis kan elke organisatie overkomen: beeldschermen op zwart, vertragingen doordat systemen niet zijn te gebruiken of een wachtwoord reset uit voorzorg. U kent waarschijnlijk nog meer voorbeelden. De vraag is niet of het gebeurt, maar wanneer overkomt het ons? Bereid uw organisatie daarom voor op een cyberincident door met betrokkenen te trainen of te oefenen. Bij wie komt het incident binnen, wie betrekt de directie of neemt deel aan het crisisteam? En wie besluit om het systeem preventief stil te leggen? Of doorloop eens tijdens een lunch het (keten)scenario; op maandagochtend doen de systemen gek. Hoe reageren wij als organisatie? Voorbereid reageren helpt erger te voorkomen en veelal de impact te reduceren.
Niek van As, Senior crisis en resilience adviseur Aon (april 2022)

Wachtwoord, update en phishing
Cybercriminelen komen op drie manieren binnen. Via zwak wachtwoordgebruik, via kwetsbaarheden op je systemen of met behulp van phishing. Een twee-staps verificatie helpt bij het versterken van de sloten op je ‘digitale voordeur’. Update daarnaast je systeem, zoals laptop en telefoon, zodra er een update beschikbaar is. Bijvoorbeeld herkenbaar aan het rode icoontje bij je instellingen. En tenslotte herken een phishingmail. Drie stappen die hierbij helpen. Check de afzender. Klik nooit op linkjes of open bijlage als je het bericht niet verwacht of vertrouwt. Én wees op je hoede als er sprake is van urgentie in het bericht. Ieder mens voelt vaak de noodzaak om gelijk te acteren en daar maken cybercriminelen graag gebruik van.
Inge van der Beijl, Director Behaviour & Training Northwave (maart 2022)

Gebruik Tweestapsverificatatie
Tweestapsverificatie (2FA) zorgt ervoor dat je naast je gebruikersnaam en wachtwoord, nog iets nodig hebt om in te loggen. Een kwaadwillende kan dan, wanneer hij of zij je gebruikersnaam en wachtwoord achterhaalt, toch niet inloggen. Heel veel diensten bieden 2FA gratis aan, denk aan LinkedIn, Gmail en Microsoft. Het enige dat je nodig hebt is een gratis app op je telefoon. 2FA verlaagt de kans op ransomware met tientallen procenten.
Jan Martijn Broekhof – Guardian360 (februari 2022)