U bent hier

Onderneming & Fiscus
Privacy en AVG15. Social media15.2 Cybercrime op social media
Voor Onderneming & Fiscus

15.2 Cybercrime op social media

Dit artikel is eerder verschenen als Themadossier HR Rendement
Publicatiedatum: april 2018

informatie delen

De waarschuwingen om op een socialmediasite als Facebook niet te vertellen wanneer u op vakantie bent, zijn bekend. De risico’s daarvan zijn ook duidelijk. Maar denk niet dat zulke waarschuwingen alleen voor consumenten gelden; ook organisaties moeten voorzichtig zijn met informatie delen op social media.

Privacygevoelige informatie op LinkedIn

zwakke plekken

Zo is het bijvoorbeeld snel gebeurd dat een werknemer te veel deelt op LinkedIn en daarmee privacygevoelige informatie van de organisatie prijsgeeft. Net als in het ‘echte leven’ doen cybercriminelen hun huiswerk. Ze gaan niet klakkeloos organisaties aanvallen, maar zoeken naar zwakke plekken en interessante doelwitten. Zwakke plekken kunnen ze meestal geautomatiseerd opsporen, maar bij het vinden van mogelijke doelwitten krijgen ze vaak onbedoeld hulp van werknemers.

Kiekjes geven meer prijs dan u lief is

Niet alleen privacygevoelige informatie op social media kan criminelen op het idee brengen een organisatie eens iets nauwkeuriger onder de loep te nemen. Denk aan werknemers die uitgebreid uit de doeken doen welke software hun bedrijf gebruikt; de cybercrimineel weet meteen hoe hij zijn aanval kan inrichten.

afdelingsstructuur

Maar ook de foto van de vergadering met op de achtergrond de aantekeningen – bijvoorbeeld over de afdelingsstructuur of betrokken medewerkers – kan beter niet online terechtkomen. Laat staan foto’s van plekken als de receptie, toegangsdeuren of magazijnen die altijd interessant zijn voor de ‘gewone’ dief.

Wachtwoorden

Zo kan een leuk bedoeld kiekje op de Facebook-pagina van de organisatie onbedoelde gevolgen hebben als bijvoorbeeld op de achtergrond een briefje aan een monitor hangt met daarop de inloggegevens van een werknemer.

meldplicht datalekken

Dankzij zo’n knullig foutje kan een cybercrimineel wel heel makkelijk in de systemen van een organisatie komen en toegang krijgen tot persoonsgegevens van werknemers, klanten en relaties. In zo’n geval kan een organisatie zelfs met de meldplicht datalekken te maken krijgen (zie ook hoofdstuk 10).

Niet al te specifiek zijn

social engineering

Om te voorkomen dat onbevoegden toegang krijgen tot persoonsgegevens via cybercriminaliteit, is het ook beter om niet al te specifiek te zijn bij het delen van informatie over afwezigheid op social media. Dit soort informatie kan interessant zijn voor degene die met ‘social engineering’ (manipuleren) wil proberen vitale informatie te achterhalen, om bij gevoelige bedrijfsdata te komen.

Social engineering

Als een werknemer bijvoorbeeld op social media meldt dat hij twee weken op de Malediven vertoeft, kan een cybercrimineel daarop inspelen door een nep-e-mailaccount aan te maken en een collega van de vakantieganger te benaderen. Zo iemand met kwaad in de zin zou dan kunnen mailen ‘X is nu op vakantie, maar hij heeft mij gevraagd om…’.