U bent hier

Onderneming & Administratie
Cybersecurity4. Social engineering4.3 Bescherming en beveiliging
Voor Onderneming & Administratie

4.3 Bescherming en beveiliging

Dit artikel is eerder verschenen als Themadossier FA Rendement
Publicatiedatum: augustus 2023

malware

Als malware of phishingmails verspreiden niet de gezochte informatie oplevert, hebben cybercriminelen vaak de fase van social engineering nodig om zich een ingang te verschaffen. Na social engineering worden er dan meestal phishingmails verstuurd voor verdere informatievergaring of wordt malware geïnstalleerd. Tegen dit soort risico’s zijn diverse beschermingsmaatregelen te nemen (zie hoofdstuk 7 en 8).

4.3.1 Wachtwoordbeheer

herkennen

verplicht

Omdat het zo lastig is social engineering te herkennen (en te voorkomen) is het belangrijk om de kans hierop zo klein mogelijk te maken. De volgende tips kunnen daarbij helpen.

  • Gebruik altijd sterke wachtwoorden voor toegang tot netwerken of webpagina’s met gevoelige of cruciale gegevens en bestanden.
  • Verander regelmatig uw wachtwoord. Dit kan bijvoorbeeld verplicht worden gesteld met behulp van software in de netwerkomgeving.
  • Hang wachtwoorden nooit en te nimmer op een briefje aan de monitor of iets dergelijks, maar gebruik een wachtwoordbeheerprogramma (zoals NordPas, Keeper of Dashlane) als u ze niet allemaal kunt onthouden.

4.3.2 Werkplek opruimen

smartphone

encryptie

Zoals u eerder in dit hoofdstuk kon lezen zijn zaken rond uw werkplek interessanter voor de social engineer dan u denkt. Let daarom goed op de volgende zaken:

  • Als u vaak van uw werkplek loopt en er regelmatig externe collega’s of zelfs complete vreemdelingen rondlopen, vergrendel dan uw computer.
  • Laat geen belangrijke informatie open en bloot rondslingeren op uw werkplek. Zeker niet als u weet dat er ’s avonds nog vreemden op de werkplek komen, bijvoorbeeld om schoon te maken.
  • Sluit uw computer(s) af als u het kantoorpand verlaat.
  • Wees voorzichtig met mobiele apparaten als laptops, tablets en smartphones, maar ook met usb-sticks en externe harde schijven die op de werkplek rondslingeren.
  • Zorg voor een adequate beveiliging van gegevens op mobiele apparaten. Maak bijvoorbeeld gebruik van encryptie.

4.3.3 Gedrag van werknemers

voorlichting

beleid

Uw onderneming beschermen tegen social engineering gaat niet met speciale software, zoals die wel bestaat voor malware. Werknemers voorlichting geven over het fenomeen kan wel helpen om social engineering te herkennen. Enkele tips:

  • Verklein de kans op diefstal of verlies van mobiele apparatuur, want dergelijke apparatuur is nu eenmaal een belangrijk doelwit van social engineers.
  • Wees voorzichtig met het verspreiden van persoonlijke en gevoelige gegevens via sociale media. Ook al lijken uw persoonlijke zaken niets te maken te hebben met uw werk, de social engineer vindt er vaak nog allerlei interessante informatie in.
  • Maak in uw onderneming duidelijke afspraken of stel een beleid op over het afhandelen van persoonlijke en zakelijke relaties en bezoeken. Geef daarbij aan wat wel en niet hoort in de dagelijkse bedrijfsvoering. In een contactenbeleid kunt u vastleggen dat in ieder geval nooit direct aan een veiligheidsgerelateerd verzoek van relatief onbekende personen mag worden voldaan.

Deze aandachtspunten spelen een extra belangrijke rol als u of uw collega’s veel op beurzen, congressen of in de openbare ruimte zijn.

4.3.4 Bewustzijn creëren

Overtuig de directie ervan om werknemers bewust te maken van het fenomeen social engineering en de gevaren ervan. Iedereen binnen uw onderneming moet op de hoogte zijn van de mogelijke bedreigingen van uw ICT-infrastructuur en systemen, de informatiegevoeligheid en de verschillende methoden van cybercriminelen. Daarbij hoort dus ook een bewustzijn met betrekking tot de dreiging van malware en phishing.

Controletips

spookfactuur

wachtwoord

thuiswerker

Gebruik eventueel de volgende controletips:

  • Stuur een voorbeeld rond van een phishingmail en kijk of uw collega’s die herkennen, en hoe ze erop reageren. Een spookfactuur rondsturen kan een eyeopener zijn.
  • Bel of mail een collega en probeer gevoelige informatie los te peuteren. Doe uzelf voor als een ICT’er en vraag bijvoorbeeld om het wachtwoord waarmee kan worden ingelogd.
  • Geef uw collega’s een lijstje met sterke en zwakke wachtwoorden en laat hen aangeven welke wachtwoorden niet veilig zijn. Geef hier ook feedback op.
  • Check of uw collega’s ook eigen software of procedures gebruiken (vooral de thuiswerkers). Zijn die net zo veilig en betrouwbaar? Past dit wel in uw automatiseringsbeleid of ICT-infrastructuur?

Organiseer zo nu en dan overlegsessies of trainingen over bewust en veilig datagebruik en online gedrag. Bespreek daarin de gevaren en risico’s, de (nieuwste) trends en dreigingen, de methoden en technieken van cybercriminelen en beveiligingsmogelijkheden (zie ook hoofdstuk 7).