De meest voorkomende cybersecurity fouten op kantoor

Zakenvrouw slaat zichzelf voor het hoofd omdat er iets fout gaat op haar computer
Klik hier voor een samenvatting
In het kort: cybersecurityrisico's op kantoor

Beveiligingslekken zijn niet altijd de schuld van hackers. Sterker nog, 40% van de lekken die veroorzaakt worden gebeuren per ongeluk door medewerkers zelf. De meest voorkomende fouten die mensen maken omtrent cybersecurity zijn:

  • Medewerkers delen onderling hun wachtwoorden.
  • Je wordt slachtoffer van phishing.
  • De verkeerde mensen krijgen toegang tot gevoelige informatie.
  • Medewerkers delen gevoelige informatie over de Cloud.
  • Mensen maken fouten bij het verzenden van e-mails.

Een manier om beveiligingsrisico’s te verkleinen is het gebruiken van sterke, goed beveiligde wachtwoorden. Hiervoor kun je goed gebruik maken van een wachtwoordmanager, zoals 1Password.

Ben je benieuwd naar andere stappen die je kunt zetten om jouw bedrijf veiliger te maken? Lees dan de rest van dit artikel.

Technologie heeft de afgelopen 50 jaar grote veranderingen teweeg gebracht in de manier waarop we werken. Helaas brengt technologie ook problemen met zich mee. Zo brengt technologie op de werkvloer beveiligingsrisico’s met zich mee. Een vooraanstaand applicatiebeveiligingsbedrijf, ImmuniWeb, heeft aangetoond dat zelfs 97% van cybersecuritybedrijven datalekken ondervinden.

Veel datalekken zijn het gevolg van menselijke fouten. Het gaat hier om fouten die gemakkelijk te voorkomen zijn. In dit artikel gaan we dieper in op de belangrijkste fouten en hoe je ze op de digitale werkvloer kunt vermijden.

Beveiligingsfouten en hoe je ze voorkomt

Hacker met zwarte capuchonAls we het hebben over cybersecurityrisico’s, denken we vaak aan een hacker in een hoodie die in het donker zit te typen. IBM vond echter dat medewerkers zelf 16% van de beveiligingslekken veroorzaken. Kaspersky toont nog zorgwekkendere resultaten. Zij schatten dat zogenaamde ‘insider threats‘ voor zo’n 52% van beveiligingsincidenten verantwoordelijk zijn.

Het gevaar voor onze online veiligheid ligt dus niet alleen bij hackers, maar ook bij de mensen met wie we samenwerken. Bovendien veroorzaken jouw collega’s (en jijzelf) de beveiligingslekken niet altijd expres. Hetzelfde onderzoek van IBM toonde immers dat 40% van de ‘insider threats’ ongelukken waren.

Ongelukken zijn te voorkomen als je weet waarop je moet letten. Dus wat zijn de meestvoorkomende veiligheidsrisico’s en hoe minimaliseer je deze?

Je wachtwoord delen met collega’s

Controle over wie er toegang heeft tot bepaalde gegevens is vaak de bron van beveiligingsincidenten. Forrester schat zelfs dat ongeveer 80% van alle security breaches veroorzaakt wordt door ongeoorloofde toegang tot gegevens. In 62% van de gevallen waarin iemand ongeoorloofd toegang kreeg, ging het om slordigheid vanuit medewerkers. Een voorbeeld van slordigheid in cybersecurity is iets simpels als je wachtwoord delen met een collega.

Een andere mogelijkheid is dat cybercriminelen het wachtwoord van een medewerker met hoge toegangsprivileges stelen. Dit doen ze door bijvoorbeeld spear phishing aanvallen. Wanneer iemand eenmaal een wachtwoord in handen heeft, kan deze natuurlijk van alles doen met je data. Hij kan het aanpassen, stelen, infecteren met malware of dreigen het te openbaren.

Zorg voor beveiliging tegen hackers

Gelukkig zijn er manieren om je data beter te beschermen. Mogelijkheden om toegang tot gevoelige gegevens te beperken zijn:

  • Gebruik twee-factor-authentificatie. Als je wachtwoord toch in de verkeerde handen valt, heeft de malafide partij nog steeds geen toegang tot jouw gegevens.
  • Vergroot je medewerkers’ bewustzijn over cybersecurityrisico’s. Maak bijvoorbeeld duidelijk dat het delen van wachtwoorden de beveiliging van gegevens verzwakt.
  • Implementeer meer controle op wie toegang krijgt tot bepaalde gegevens. Stel bijvoorbeeld accountverificatie in voor apparaten die in proberen te loggen via wifi.

Phishing Icoon

Phishing heeft in 2020 tot 12,8 miljoen euro aan schade geleid. Het is een van de meest gebruikte manieren om malware op je computer te zetten. Ook wordt het steeds moeilijker deze phishingmails en nep websites (spoofed websites) te herkennen. Geen wonder dat 74% van de organisaties in de Verenigde Staten slachtoffer zijn geworden van dit soort cybercrime.

Links in phishingmails verwijzen vaak naar spoofed websites. Dit zijn websites die lijken op een bestaande site, maar net een andere domeinnaam hebben. Het webadres “www.rabobank.nl” is dan bijvoorbeeld veranderd in “www.rab0bank.nl”. Als jij je informatie op deze vervalste website invult, zijn deze gegevens ineens in de verkeerde handen.

Veilige e-mails ontvangen en versturen

Een van de manieren waarop je ooit de veiligheid van een website vast kon stellen, was als er HTTPS voor de URL stond. Helaas lukt het phishing spoof sites steeds vaker om dit teken van veiligheid ook op hun websites te plaatsen. Hierop kun je dus niet vertrouwen. Waarop dan wel? Het Nationaal Cyber Security Centrum geeft de volgende tips:

  • Gebruik tweestapsverificatie. Als je jouw wachtwoord in hebt gevuld op een malafide website, kunnen criminelen hier nog steeds niet direct gebruik van maken. We raden je daarnaast aan sterke wachtwoorden en een wachtwoordmanager te gebruiken. Gemakkelijk te onthouden wachtwoorden, zijn immers gemakkelijk te raden wachtwoorden.
  • Bescherm je domeinnamen tegen phishing. Het is slim e-mailauthenticatie in te zetten met de standaarden SPF, DKIM en DMARC. Deze standaarden zorgen ervoor dat de integriteit van mails gewaarborgd wordt, zodat jij als ontvanger kunt controleren of e-mails echt afkomstig zijn van de veronderstelde afzender. Daarmee voorkom je dat aanvallers je domeinnaam vervalsen.
  • Zorg ervoor dat de e-mails die je stuurt herkenbaar zijn als legitiem. Als je e-mails stuurt naar een breed publiek, zijn deze vaak lastig te onderscheiden van phishingmails.
  • Beveilig de verbindingen van mailservers. Zorg er bovendien voor dat medewerkers via de server van het bedrijf mailen. We zagen allemaal hoe zwak de beveiliging van mailservers kan zijn, toen die van Hillary Clinton gehackt werd.

Gevoelige gegevens delen in de Cloud

Server in Cloud IcoonVeel organisaties gebruiken portals die gegevens delen via de Cloud om informatie over werk uit te wisselen en samen te werken aan projecten. Hier plaatsen werknemers dan ook vaak sensitieve data. Helaas zijn niet al deze portals goed beveiligd, waardoor bedrijfsinformatie op straat komt te liggen.

Een goed voorbeeld van een groot datalek is het lek van GitHub in 2019. Onderzoekers hadden een deel van de GitHub repositories gecontroleerd en vonden de volgende gegevens: 85.311 Google API keys, 37.781 RSA Private Keys en 47.814 Google OAuth IDs. In andere woorden, ze vonden de inloggegevens van duizenden projecten in het openbaar.

Ook het samenwerkingsplatform Slack beschikt over dit soort kwetsbaarheden. In 2014 kregen gebruikers door een hack bijvoorbeeld toegang tot Slack-kanalen van andere bedrijven. Het grootste risico dat je op Slack loopt als het gaat over databeveiliging, ligt echter in handen van de gebruiker. Bijvoorbeeld als de werkgever toegang tot kanalen verleent aan onbevoegden.

Hoe maak je veilig gebruik van de Cloud?

Op de eerste plaats is het belangrijk om je bewust te zijn van welke gegevens je deelt via een online platform. Het is onverstandig om sensitieve informatie op deze manier te delen. Daarbij is het belangrijk om na te gaan wie toegang heeft tot de kanalen. Als er bijvoorbeeld een medewerker net ontslagen is, kan deze sensitieve gegevens uit zo’n kanaal misbruiken. Zorg er dus voor dat je ex-medewerkers meteen uit de chats verwijdert.

Bovendien is het belangrijk dat iedereen binnen het bedrijf goed op de hoogte is over cybersecurity. Voor zowel de werkgever als de werknemers is het van belang dat ze geïnformeerd zijn over hoe ze hacks en datalekken voorkomen.

Gelekte e-mails

Icoon van Virus in Envelop op DesktopschermMedewerkers delen veel bedrijfsgevoelige informatie via e-mail. Helaas gaat dit ook vaak mis. Medewerkers kunnen bewust e-mails lekken, maar ook per ongeluk. Een voorbeeld van een onbedoeld lek is wanneer je CC gebruikt in plaats van BCC. Je maakt dan immers het e-mailadres van iedereen in de mail openbaar, terwijl je dit niet wilde.

Je e-mailverkeer beveiligen

Iedereen maakt wel eens een fout, zeker als je haast hebt. Training in cybersecurity maakt medewerkers echter bewuster van de gevolgen van dit soort fouten. Zo is het bijvoorbeeld goed om geen overhaaste betalingen te doen of gegevens te delen. Grote kans dat je te maken hebt met business e-mail compromise (BEC)-fraude.

Een andere oplossing is data leak prevention (DLP) software te implementeren. Deze technische oplossing controleert mails voor specifieke woorden en zinnen of voor bepaalde bijlagen. Als het programma denkt dat een mail een veiligheidsrisico met zich meebrengt, zet het deze in quarantaine. Zo heb je meer controle over de correspondentie.

Kunnen we cybersecurity fouten geheel voorkomen?

Het is bijna onmogelijk alle fouten te voorkomen. Het is erg lastig je gegevens veilig te houden in een groot bedrijf waarbinnen medewerkers met elkaar moeten communiceren. Nu meer mensen thuiswerken, en communicatie vaak online verloopt, is het nog belangrijker om te letten op goede cybersecurity.

Gelukkig is het informeren van je personeel het halve werk. Bewustwording van fouten die gemaakt (kunnen) worden en hoe je deze voorkomt, lost al vele problemen op voor ze zich voordoen. Zeker als je zorgt dat de technologische basis in orde is. Als je dit aanvult met tools zoals tweestapsverificatie en DLP, verklein je de kans op cyberaanvallen bovendien nog verder.

Heb je zelf niet veel verstand van ICT en cybersecurity? Dan kun je altijd een managed security service provider (MSSP) inhuren. Wij helpen je graag op weg met een overzicht van betrouwbare providers. Ook geven we je tips om op te letten bij het kiezen van de juiste MSSP.

Cybersecurity fouten op kantoor - Veelgestelde vragen

Heb je een vraag? Bekijk dan of we deze al beantwoorden in de FAQ. Staat jouw vraag er niet tussen, stel hem dan gerust in de reacties.

De meest voorkomende fouten die medewerkers en bedrijfseigenaren maken als het gaat om cybersecurity zijn:

  • Ze delen onderling hun wachtwoorden.
  • Ze klikken op een phishing link.
  • Ze geven de verkeerde mensen toegang tot gevoelige informatie.
  • Ze delen gevoelige informatie over de Cloud.
  • Ze maken fouten bij het verzenden van e-mails.

Voor tips over hoe je deze risico’s inperkt lees je ons artikel over de meestvoorkomende online veiligheidsrisico’s op kantoor.

Phishing is een manier van internetoplichting om achter jouw persoonlijke gegevens te komen. Door bijvoorbeeld een legitiem lijkende e-mail te sturen, laten criminelen jou je gegevens invullen op een malafide site. Met deze gegevens komen ze in je persoonlijke accounts of ontfutselen je sensitieve (bedrijfs)data.

Meer informatie over de verschillende soorten phishing en hoe je dit tegengaat, vind je in ons artikel over phishing.

Als je via de Cloud werkt, is het belangrijk op de volgende punten te letten:

  • Deel hier geen gevoelige informatie.
  • Verwijder ex-medewerkers direct na ontslag.
  • Wees je bewust van de privacy- en beveiligingsmaatregelen van de clouddienst.
  • Wees je bewust over algemene cybersecurityrisico’s.

Voor meer details lees je ons artikel over cloudopslag.

Je kunt een aantal stappen zetten om de kans dat je slachtoffer wordt van phishing te minimaliseren.

  • Gebruik tweestapsverificatie.
  • Gebruik sterke wachtwoorden en een wachtwoordmanager.
  • Bescherm je domeinnamen tegen phishing.
  • Beveilig de verbinding van je mailservers.

Meer info over hoe je als bedrijf het risico op phishing kunt verkleinen vind je in ons artikel De meest voorkomende cybersecurity fouten op kantoor. Hier lees je bovendien hoe je e-mails aan klanten betrouwbaar houdt.

Techredacteur
Tamara is al jaren bezig met taal en communicatie. De steeds vernieuwde kennis over tech en cybersecurity weet ze zo goed over te brengen op het grote publiek. Tamara is geïnteresseerd in kwesties rondom (overheids)censuur en de balans tussen privacy en vrijheid online.
Plaats een reactie
Een reactie plaatsen