Cybercriminelen richten zich sinds enige tijd op het midden- en kleinbedrijf, concludeert het Openbaar Ministerie uit verschillende strafrechtelijke onderzoeken.
De criminelen besmetten computers van bedrijven en personen met kwaadaardige software, die hen in staat stelt alles op die computers te volgen. De cybercrimineel krijgt via de besmette computer onder meer toegang tot gevoelige bedrijfsinformatie, computergedrag en gewoontes.
Vervolgens wijzigt de cybercrimineel een van de zakelijke bankrekeningnummers in dat van hemzelf. Nietsvermoedend maakt de gebruiker geld over naar deze rekening. Het gevolg hiervan is grote financiële schade, vertelt het OM. Uit de verschillende onderzoeken blijkt dat de schadebedragen kunnen oplopen tot tienduizenden euro’s.
Als ondernemer kun je maatregelen nemen om de kans op een cyberaanval te verkleinen. Zes tips.
1) Werk software op tijd bij
Steeds meer apparaten in een bedrijf zijn verbonden met het internet. Niet alleen de desktops en laptops van het personeel, maar bijvoorbeeld ook routers, servers en printers. Dat betekent dat het aantal zwakke plekken in de beveiliging toeneemt. Hackers zullen niet zo snel proberen om via de voordeur binnen te komen, maar eerder op zoek gaan naar achterdeurtjes in bijvoorbeeld printersoftware.
Zorg daarom dat de software op alle apparaten is bijgewerkt tot de laatste versie. En maak duidelijke afspraken over wat er gebeurt met verouderde apparatuur. Het laatste wat je wilt is dat iemand inbreekt op jouw netwerk via een oude server die zonder dat jij het wist nog in de kelder stond te draaien.
2) Veilige wachtwoorden maken en bewaren
Mensen zijn doorgaans niet zo creatief met het bedenken van wachtwoorden. Dat blijkt keer op keer uit de jaarlijkse lijst van populairste wachtwoorden die is samengesteld door Splashdata op basis van gelekte persoonsgegevens. De top vijf van vorig jaar bestaat uit ‘123456’, ‘password’, ‘12345’, ‘12345678’ en ‘qwerty’.
Veel mensen gebruiken bovendien hetzelfde wachtwoord voor verschillende diensten. Dat is gevaarlijk: er hoeft maar één website zijn beveiliging niet goed op orde te hebben en het wachtwoord dat je voor alle internetdiensten gebruikt, ligt op straat.
Door verschillende wachtwoorden te gebruiken wordt dit sneeuwbaleffect voorkomen. Maar dat brengt weer een ander probleem met zich mee. Hoe onthoud je alle wachtwoorden voor websites, forums, e-mailaccounts en bankrekeningen? Schrijf je ze op in een boekje, maak je een bestand aan op je computer of zet je een lijst ergens online?
Een oplossing daarvoor is een persoonlijke kluis voor wachtwoorden zoalsLastPass. Andere opties zijn 1Password of het open-source programma KeePass. Hierbij hoef je nog maar één wachtwoord je onthouden: een hoofdwachtwoord. Alle persoonlijke gegevens worden versleuteld opgeslagen zodat hackers de informatie niet kunnen lezen.
Lastpass heeft zelf een wachtwoordengenerator, waarmee het voor jou moeilijk te kraken wachtwoorden kan bedenken voor bijvoorbeeld je Twitter-, Facebook– of e-mailaccount. Via een browserplug-in worden de wachtwoorden uit de kluis gehaald en ingevuld wanneer je ze nodig hebt.
Rest er nog één vraag: hoe verzin je een sterk hoofdwachtwoord? Zie daarvoor dit artikel: Zo maak je een veilig wachtwoord. In combinatie met tweestapsverificatie (zie punt 3) maak je het hackers zo bijzonder moeilijk.
3) Tweestapsverificatie inschakelen
Voor internetbankieren is alleen een rekeningnummer en wachtwoord niet voldoende. Als je geld wilt overmaken, heb je een speciale code nodig. Die krijg je via sms of via een speciaal apparaatje dat je van de bank hebt gekregen.
Op eenzelfde manier zijn veel internetdiensten ook extra te beveiligen. Met het zogenoemde tweestapsverificatie gebeurt het inloggen in twee stappen. Eerst voer je je wachtwoord in en dan krijg je een speciale code toegezonden via sms of een smartphone-app. Zo hebben kwaadwillenden niet genoeg aan alleen je wachtwoord. Had Mark Zuckerberg dat ook maar gedaan.
4) Smartphones op de werkvloer
Vroeger had je op het werk betere computers en telefoons dan thuis. Gadgets waren duur, en alleen een bedrijf kon zich de aanschaf veroorloven. Maar tegenwoordig is dat dikwijls omgekeerd. Smartphones, tablets en schootcomputers zijn inmiddels dermate goedkoop, gebruiksvriendelijk en populair dat iedereen ze in huis heeft.
Steeds meer mensen nemen die consumentenproducten ook mee naar hun werk. Omdat de eigen iPhone nu eenmaal prettiger werkt dan de verouderde BlackBerry die je van je baas hebt gekregen. Deze trends zijn bekend onder de termen consumerisation of IT en bring your own device (BYOD).
Zakelijk gebruik van privé-gadgets levert tevredener werknemers op. En een directe kostenbesparing, omdat de werkgever minder uit hoeft te geven aan apparaten. Maar vooral de smartphones en tablets vormen een beveiligingsrisico. Werknemers koppelen hun mobiel achteloos aan het bedrijfsnetwerk, maar de gegevens die ze downloaden op het apparaat zijn vervolgens nauwelijks beveiligd. En als een telefoon gestolen wordt, kan dat problemen opleveren.
Bedrijven worstelen met de vraag hoe ze dit mobiele beveiligingsprobleem aan moeten pakken. Privé-apparaten verbieden op het werk is een drastische oplossing die werkt, maar daarmee jaag je werknemers weg. Verplicht een complex wachtwoord instellen is een andere optie, maar dat wil de werknemer niet.
Gelukkig zijn er steeds meer software-oplossingen die het BYOD-probleem aanpakken. Denk hierbij aan software die werknemers via een beveiligde app op hun smartphone toegang geeft tot bedrijfsgegevens. De data blijft online, op de server van de werkgever, staan en wordt niet gedownload op het eigen apparaat. Zo worden zakelijke en persoonlijke gegevens niet vermengd.
Met deze zogenoemde container-apps, die beveiligd zijn met bijvoorbeeld een pincode, krijgen virussen moeilijker toegang tot het systeem. En als spraakherkenning en een vingerafdrukscanner straks gemeengoed zijn in smartphones, wordt het inloggen nog weer een stukje veiliger.
5) Opslaan in de cloud
Gegevens opslaan in de cloud is reuzehandig: met alleen een internetverbinding heb je overal ter wereld toegang tot bedrijfsinformatie. Nederlanders zijn fervente gebruikers van online opslagdiensten als Dropbox, Google, Drive iCloud en OneDrive, blijkt uit cijfers van het Centraal Bureau voor de Statistiek.
Maar hoe veilig zijn je gegevens in de cloud? Om het risico op gegevensdiefstal te beperken zijn een aantal maatregelen aan te raden. Bedenk ten eerste welke data je online op wilt slaan en welke informatie beter niet op servers van een ander bedrijf kan staan. Houd scherp in de gaten waar jouw bedrijfsgegevens zich bevinden en wie toegang heeft tot die informatie.
Als je hebt geïnventariseerd wat in de cloud mag, upload de bestanden dan niet meteen. Het is beter om ze eerst te beveiligen, zodat een indringer ze niet simpelweg kan openen en lezen. Dat kan door de bestanden te versleutelen: daarmee maak je van een Excel-bestand of pdf een onbegrijpelijke reeks getallen en letters, die alleen jij kunt ontcijferen met de juiste sleutel. AES-encryptie is hiervoor een wereldwijde standaard, die wordt gebruikt voor het beveiligen van internetbankieren, draadloze netwerken en bestanden op harde schijven.
Zorg dat de geheime sleutels in jouw beheer zijn. Zo houd je controle over wie toegang heeft tot bedrijfsgegevens, zelfs als ze op de server van een externe clouddienst staan.
6) Stel een calamiteitenplan op
Gaat het toch mis en komt gevoelige informatie op straat te liggen, zorg dan dat je een noodplan klaar hebt liggen. Want er komt een hoop op je af als het misgaat.
Zo moet je beslissen of de data nog terug te halen is, en zo niet, hoe je de risico’s kunt beperken. Bovendien moet je in Nederland ernstige datalekken melden bij het College Bescherming Persoonsgegevens. En dan zijn er nog die vervelende journalisten, die bij een groot lek aan de lijn hangen. Een communicatieplan is daarom handig, niet in de laatste plaats om je klanten op de hoogte te stellen.
Heb je een noodplan, leg het dan niet in de lade maar oefen het. Zorg dat iedereen weet wat hij of zij moet doen als er informatie op straat komt te liggen.
Dit artikel is oorspronkelijk verschenen op z24.nl
