VERDIEPINGSARTIKEL

Uw IT beveiligen: waar te beginnen

De financiële gevolgen van één enkel cyberincident kunnen al fataal zijn. En dan hebben we het nog niet eens gehad over schadeclaims en boetes van de Autoriteit Persoonsgegevens (AP) vanwege een overtreding van de Algemene verordening gegevensbescherming (AVG).

Digitale veiligheid staat bij veel ondernemingen dan ook hoog op de agenda. Maar in de praktijk weten veel ondernemingen niet waar ze moeten beginnen.


22 december 2020 14 minuten Door redactie

Dit verdiepingsartikel wordt u aangeboden door Rendement Online


Vaak denkt men dat het wel goed zit met de beveiliging en bescherming, als het maar onder de aandacht is van de IT-afdeling. Tot op zekere hoogte is dat ook wel zo, maar ICT’ers zijn niet almachtig of alwetend. Vooral het gedrag van de gebruikers in de digitale omgeving blijkt een veroorzaker van veel ellende. Denk maar eens aan het per ongeluk downloaden van malware.

Maar ook in de top van de onderneming moet goed worden nagedacht over de gevaren en risico’s. Als dat niet gebeurt, zal dat zijn (negatieve) weerslag hebben op de digitale veiligheid van de hele onderneming. Ook externe partijen spelen een belangrijke rol in allerlei zaken rond de beveiliging en bescherming van uw gegevens. Denk aan de zorgvuldigheid waarmee externe specialisten (zoals adviseurs) hun werk doen, of discretie vertonen ten aanzien van uw gegevens.

Betrek ook de leveranciers van standaardsoftware bij uw beleid op het gebied van digitale veiligheid: zij behoren hun producten via updating en patches veilig te houden.

Hoe verbeteren wij de digitale veiligheid?

Steeds meer mkb-ondernemingen worden slachtoffer van cybercriminaliteit. Bij welke organisatie(s) kunnen wij aankloppen voor advies en informatie over het tegengaan van digitale boeven?

Ondernemingen hebben grote behoefte aan actuele, heldere informatie over cyberdreigingen en aan objectieve adviezen. In 2018 werd het Digital Trust Center (DTC) opgezet om de cyberveiligheid van ondernemingen te waarborgen. Het betrof in eerste instantie een tijdelijke proef om:

  • ondernemingen op de risico’s van cybercrime te wijzen;
  • te adviseren over digitale veiligheid;
  • ondernemingen de handen ineen te laten slaan om zich te beschermen tegen cybercriminaliteit.

Na evaluatie is besloten dat het DTC met zijn werk een belangrijke bijdrage levert aan de digitale veiligheid van ondernemingen en daardoor onmisbaar is. Zo kunt u met ondersteuning van het DTC met een aantal simpele stappen uw digitale veiligheid enorm verbeteren. Denk aan het gebruik van een wachtwoordmanager of het maken van back-ups.

DTC geeft hierover tips en aanbevelingen, onder andere na het doen van een Basisscan Cyberweerbaarheid die te vinden is op de website van het Digital Trust Center.

Op de website van het DTC vindt u ook vijf basisprincipes voor veilig digitaal ondernemen. Deze basisprincipes vergroten de weerbaarheid van uw organisatie tegen cyberrisico’s die de bedrijfsvoering kunnen verstoren.

Waarom moeten we onze browser verversen?

Wij maken voor ons werk dagelijks gebruik van de vier grote browsers: Internet Explorer, Chrome, Firefox en Safari. Klopt het dat we ook deze browsers regelmatig moeten updaten?

Updaten is goed voor de veiligheid van uw IT-systemen. Ook browsers kennen updates. Het is dus verstandig om regelmatig uw browsers te updaten. In elke nieuwe update zitten namelijk verbeteringen, niet alleen op het gebied van de functionaliteit maar ook op het gebied van veiligheid. Door de updates uit te voeren, blokkeert een browser zodra hij een beveiligingslek op internet tegenkomt. Zo blijft surfen veilig en heeft uw onderneming minder kans op cybercrime.

Soms moet u een update toepassen om gebruik te kunnen blijven maken van diensten, zoals van de Belastingdienst.

Geen toegang voor oude browser

Per 1 mei 2020 zijn de site en sommige portalen van de Belastingdienst met verouderde browsers ontoegankelijk. De Belastingdienst ondersteunt de volgende browsers:

  • Chrome versie 39 en hoger;
  • Firefox versie 31 en hoger;
  • Internet Explorer 11 en hoger;
  • Safari versie 7 en hoger.

Heeft uw onderneming sinds 1 mei geen toegang meer tot de site of portalen van de Belastingdienst, werk dan de browser(s) bij naar de nieuwste versie.

Wat doet ransomware met onze computer?

Nu half Nederland thuiswerkt lopen wij meer kans om slachtoffer van cybercriminaliteit te worden. Wat kunnen we doen als het onze onderneming overkomt? Of liever nog: hoe voorkomen wij dát het ons overkomt?

Ransomware is eigenlijk een moderne manier van chantage waardoor uw systemen geblokkeerd kunnen raken. Een ransomware-aanval kan ook gericht zijn op uw afdeling. Cybercriminelen die deze gijzelingsmethode inzetten, maken meestal gebruik van goed ogende kopieën van officiële mails en websites van ‘betrouwbare’ overheidsinstanties. Ze kondigen hierin aan dat uw onderneming in overtreding is, verdachte activiteiten heeft ontplooid op internet, dubieuze sites heeft bezocht, of iets dergelijks. Betaling geeft helaas geen garantie op een goede afloop.

Als het u desondanks toch overkomt, dan kunt u het volgende doen om weer toegang te verkrijgen tot uw systeem of de geblokkeerde versleutelde data:

  • Speur – op een andere, schone computer (of tablet) – het internet af of er meer gevallen zijn van de gijzeling waarmee u bent geconfronteerd, en zo ja, hoe die zijn opgelost.
  • Controleer of de back-ups die u maakt van uw belangrijkste gegevens en bestanden, schoon zijn. U kunt dan uw werksituatie herstellen met de veiliggestelde data.
  • Heeft u geen schone back-ups? Probeer zo veel mogelijk bestanden of gegevens op te sporen via andere kanalen. Denk aan bestanden die u heeft gemaild of gedeeld met andere gebruikers.
  • Betaal niet, ook al lijkt niets te werken.

Hoe beveilig ik de factuurverwerking?

Bij het verwerken van facturen werken we met gevoelige informatie van klanten via een website of per e-mail. Welke beveiligingsmaatregelen kunnen wij nemen om deze gegevens te beschermen?

Factuurverwerkingspartners die elektronische verzending en ontvangst van facturen in UBL-formaat mogelijk maken, kunnen diverse stappen nemen om de gegevens te beveiligen. Grote partijen werken vaak via een beveiligd kanaal en vermijden e-mail. Dat kan op zich de veiligheid verhogen, maar het kan drempels opwerpen die ten koste gaan van het gebruikersgemak.

Er zijn ook mogelijkheden om e-mailverbindingen beter te beveiligen. Op www.internet.nl vindt u tools die de beveiliging van diverse onderdelen scannen. Zo kunt u zien of de website van de partner veilig is en of de e-mailverbinding wordt geanalyseerd. Dat laatste is van belang, omdat e-mail het meest gebruikte middel is om informatie uit te wisselen.

Aandacht voor nieuwe internetstandaarden

Internet.nl is een initiatief van het Platform Internetstandaarden. Daarin participeren partners uit de internetgemeenschap en Nederlandse overheid. Zij proberen aandacht te vragen voor het feit dat de oude internetstandaarden niet voldoen aan de huidige veiligheidseisen. Ze willen mensen in beweging zetten nieuwe, slimmere standaarden te gebruiken.

Waar moeten we een phishing-incident melden? Ik heb begrepen dat we phishing bij de Fraudehelpdesk moeten melden. Maar er was in het nieuws dat de Autoriteit Persoonsgegevens (AP) geen vergunning heeft verleend aan de Fraudehelpdesks. Klopt dat?

Volgens de AP had de Fraudehelpdesk op het gebied van het registreren en verwerken van strafrechtelijke persoonsgegevens ‘zijn huiswerk beter moeten doen’. Daardoor werd de vergunning niet verleend. Nu wil de Fraudehelpdesk zijn dienstverlening in verschillende onderdelen opsplitsen. Per onderdeel wordt bekeken of het in aanmerking komt voor een vergunning. E-mails die phishing doen vermoeden, mogen tegenwoordig weer ter controle naar de Fraudehelpdesk worden gestuurd.

[attentie] U kunt ook te maken krijgen met smishing: phishing per sms. Criminelen proberen via een sms uw inloggegevens, creditcardinformatie, pincodes of andere persoonlijke gegevens te achterhalen. Vaak gaat het om dringende beveiligingswaarschuwing, of uw pas verloopt binnen 48 uur.

De kwaliteit van valse e-mails en valse websites wordt steeds beter, onder andere door minder taalfouten, persoonlijkere aanspreekvorm en een betere opmaak. Daarnaast gebruiken fraudeurs betere hulpmiddelen waarmee ze aanvallen makkelijker, vaker en grootschaliger kunnen uitvoeren. Ondernemingen moeten daarom goed opletten op het echte afzenderadres in berichten die van banken lijken te komen en niet gelijk klikken op hyperlinks in berichten. Wie toch de dupe is, kan dat altijd melden bij veiligbankieren.nl en het is altijd verstandig dat te doen!

Om uzelf en anderen te beveiligen tegen phishing kunt u in ieder geval een aantal maatregelen nemen. U kunt bijvoorbeeld het volgende doen:

  • Klik nooit op een link of telefoonnummer als u twijfelt aan de echtheid van een bericht. Klik ook niet op de antwoordknop, want dan weten de digitale dieven dat uw mailadres bestaat. Het wordt dan verkocht, en u wordt dan jaren achtervolgd!
  • Reageer niet op het bericht.
  • Meld de phishing bij de organisatie namens wie het valse bericht verstuurd werd.
  • Meld de phishing bij Fraudehelpdesk.
  • Doe eventueel aangifte bij de politie.

Doe altijd aangifte van cybercrime

Als u of uw onderneming toch slachtoffer wordt van cybercrime, is het van belang dat u zoveel mogelijk bewijsmateriaal bewaart zonder er iets aan te veranderen. Zet uw apparaat ook niet uit en doe direct aangifte. Met het bewijsmateriaal kunnen de politie en het Openbaar Ministerie onderzoek doen naar daders. Alle aangiftes samen maken het mogelijk informatie te combineren en geven inzicht in de wijze van handelen van de criminelen. Ook maken de aangiftes het mogelijk nieuwe vormen van cybercrime te herkennen en beveiligingssoftware, antivirusprogramma’s en systemen erop aan te passen.

Verzekering
Bent u verzekerd tegen cybercrime en dient u een verzoek om schadevergoeding in, vraag uw verzekeringsmaatschappij om een kopie van de aangifte.

Wat is CEO-fraude en is het te voorkomen?

Veel werknemers weten dat zij moeten oppassen als zij een e-mail ontvangen van een vreemde afzender. Zijn er ook andere vormen van fraude waar we vooral in deze tijden van corona alert voor moeten zijn?

Fraudeurs gebruiken steeds vaker een geniepige vorm van oplichting: CEO-fraude. Bij CEO-fraude, inmiddels de meest schadelijke vorm van fraude, krijgt meestal een werknemer van de financiële administratie per e-mail een verzoek van de CEO van de onderneming. Maar het gaat om een oplichter die zich voordoet als de CEO. Soms gaat het om opvragen van privacygevoelige informatie, maar vaker gaat het om een verzoek tot overschrijven van een geldbedrag naar een in de mail aangegeven rekeningnummer.

Omdat veel mensen nu thuiswerken kunnen cybercriminelen makkelijker uw onderneming binnenkomen doordat werknemers vaak via een minder veilig thuisnetwerk opereren. Daarnaast kunnen de veilige protocollen, zoals functiescheiding, die normaal gesproken op kantoor plaatsvinden, niet altijd 100% gevolgd worden.

De meest favoriete dagen voor fraude

Als op uw afdeling een verzoek binnenkomt tot overschrijven van een geldbedrag naar een in de mail aangegeven rekeningnummer, bel dan na of het verzoek klopt. Dit geldt ook voor het opvragen van privacygevoelige informatie. Hou de mailbox vooral op maandag en dinsdag in de gaten. Uit onderzoek blijkt dat bijna de helft van alle CEO-fraudemails op die dagen worden verstuurd.

Wat betekent dat slotje in mijn adresbalk?

Bij steeds meer websites zie ik een slotje in de links in de adresbalk verschijnen. Wat betekent dit webslotje en is het nuttig?

Een groen slotje in de adresbalk van de browser zegt eigenlijk niets over de betrouwbaarheid van een website, iets waar veel internetgebruikers zich niet bewust van zijn, zo laat de Stichting Internet Domeinregistratie Nederland weten. Het sloticoon geeft alleen maar weer dat er een beveiligde verbinding tussen de website en bezoeker is en het kan worden gebruikt om de identiteit van de website vast te stellen. Elke crimineel gebruikt tegenwoordig (helaas) ook een slotje op phishingsites.

Een website beveiligen gebeurt met een SSL-certificaat (SSL betekent Secure Sockets Layer). Het brengt een beveiligde verbinding tussen een webserver en een browser tot stand. Een SSL-certificaat zorgt voor een adequate beveiliging van de website en het is te herkennen aan het hangslotje en het https-protocol in de adresbalk.

Http-websites zijn niet veilig

Softwarefabrikant Mozilla markeert in de nieuwste versie van zijn browser Firefox, Firefox 70, alle http-websites als ‘niet veilig’. Mozilla volgt daarmee Google en Apple. Bij http-websites die geen gebruik maken van een beveiligingslaag zullen de woorden ‘niet veilig’ in de adresbalk verschijnen. Dit moet cybercrime helpen indammen.

Hoe check ik of een wachtwoord veilig is?

Iedereen moet wel een aantal wachtwoorden onthouden. Dat worden er steeds meer. Het is dan ook een hele uitdaging om al die wachtwoorden te onthouden. Hoe weet ik of mijn wachtwoorden veilig zijn?

Zolang niemand anders uw wachtwoorden kent, is een account in principe veilig. Maar door beveiligingslekken in websites en applicaties kunnen inlognamen en wachtwoorden toch bekend raken. Daar merkt u als gebruiker meestal niets van. Google heeft voor Chrome een nieuwe extensie ontwikkeld die dit nagaat en u waarschuwt als uw wachtwoord niet langer veilig is.

Als u inlogt, checkt de extensie Password Checkup of de inlognaam en het wachtwoord nog veilig zijn en niet bij een gegevenslek betrokken zijn. Blijken de inloggegevens gecompromitteerd te zijn, dan krijgt u een melding. U moet uw wachtwoord resetten, en het liefst ook uw gebruikersnaam. Wachtwoorden en gebruikersnamen die op meerdere plekken gebruikt worden, moeten allemaal gewijzigd worden. Door encryptie kan Google de inloggegevens zelf niet zien.

Wilt u dit checken, volg dan deze simpele stappen:

  • Open de webstore van Chrome, zoek Password Checkup en klik op de knop Toevoegen Aan Chrome.
  • Het Password Checkup-icoon verschijnt in de browserbalk.
  • U ontvangt een melding als hij inlogt met onveilige accountgegevens.
  • U moet het wachtwoord dan wijzigen in een niet eerder gebruikt wachtwoord.

Wat kunnen we doen tegen spookfacturen?

Ook wij hebben moeite om in deze moeilijke tijden het hoofd boven water te houden. Het laatste waar we nu op zitten te wachten zijn spookfacturen. Wat kunnen we doen om het risico hierop te verkleinen?

Tijdens de coronacrisis is een forse toename te zien in het aantal fraudegevallen, zo meldt de Fraudehelpdesk. Vooral kleine ondernemingen zijn steeds vaker doelwit van criminelen die bijvoorbeeld spookfacturen en nepcontracten aanbieden.

Een spookfactuur kan bijvoorbeeld een aanbieding zijn die eruitziet als een factuur. Als u betaalt, gaat u zonder dat u het weet een overeenkomst aan. Een andere vorm van een spookfactuur is de factuur zonder tegenprestatie. U ontvangt een factuur zonder dat u opdracht heeft gegeven tot levering van een product of dienst. Van belang is dat u bij de afzender de reden van de factuur opvraagt.

Kan de afzender niet bewijzen dat u een overeenkomst met hem heeft, dan heeft u ook geen betaalverplichting. Ontvangt u een spookfactuur? Dan kunt u deze ‘overeenkomst’ vernietigen door middel van een brief.

U kunt diverse maatregelen nemen om het risico te verkleinen dat u onterecht een factuur betaalt:

  • Controleer of de afzender al vaker een levering heeft gedaan.
  • Ga na – bijvoorbeeld op de website van de afzender – of de adresgegevens op de factuur kloppen.
  • Vraag bij de betreffende afdeling na of de bestelling is gedaan en geleverd.
  • Bel naar de afzender.

De Fraudehelpdesk signaleerde de laatste tijd ook veel fraude rond nepcontracten. Een malafide adverteerder belt bijvoorbeeld naar een onderneming met de vraag of die het (niet bestaande) contract voor advertentieruimte wil verlengen. De onderneming weigert en tekent een schriftelijke opzegging die eigenlijk een contract blijkt te zijn. Of een onderneming betaalt een factuur, waarop in de welbekende kleine lettertjes staat dat het om een contract gaat. Wees hierop alert!

spookfacturen herkennen

Hoe voorkomen we fraude met functiescheiding?

Welke maatregelen kunnen we nemen ter controle van de functiescheiding binnen onze financiële afdeling om zo ook de kans op fraude te verkleinen?

Tegenwoordig is gegevensfraude de meest voorkomende soort fraude. Dit zijn de soorten die het vaakst voorkomen:

  • Een werknemer steelt klantgegevens of strategische kennis (voor het opstarten van een concurrerend bedrijf).
  • Een externe steelt bedrijfsgevoelige informatie, zoals klantgegevens.
  • Een werknemer stuurt valse facturen.
  • Een werknemer dient onjuiste declaraties in.
  • Een werknemer handelt in strijd met het concurrentiebeding in zijn arbeidsovereenkomst.

Om fraude binnen uw onderneming tegen te gaan, is het belangrijk om de gelegenheid voor het plegen van fraude tot een minimum te beperken. Omdat ook cybercriminaliteit voor grote problemen zorgt, is een goede beveiliging van het bedrijfsnetwerk, de website en de internetverbinding van groot belang. Ook door de taken, bevoegdheden en verantwoordelijkheden binnen functies te verdelen over verschillende werknemers, maakt u het hen moeilijker om ongezien fraude te plegen. De functiescheiding kunt u controleren door data-analyse in te zetten. Data-analyse leidt namelijk tot snellere conclusies.

Stel u voert op basis van geselecteerde data een statistische steekproef uit op enkele facturen. Uit die resultaten kan bijvoorbeeld blijken dat een werknemer onder een eerste inlognaam facturen snel had goedgekeurd en onder een tweede inlognaam de facturen betaalbaar stelde.

Bestaat er een verzekering tegen cybercrime?

We willen meer gaan doen op het gebied van fraudebeheersing. Hieronder valt natuurlijk ook cybersecurity. Kunnen we onze onderneming verzekeren tegen cybercriminaliteit?

Door de toename van cybercriminaliteit en de invoering van de meldplicht datalekken is de vraag naar verzekeringen op het gebied van cybersecurity de afgelopen jaren aanzienlijk toegenomen. In reactie daarop ontwikkelen verzekeraars steeds meer specialistische, op maat gemaakte cyberverzekeringen. Uit cijfers van verzekeraar Lloyd’s blijkt dat Nederland inmiddels zelfs de grootste Centraal-Europese afnemer is van dit type verzekering.

Door het afsluiten van een verzekering tegen cybercrime kunt u uw onderneming wapenen tegen de financiële strop die gepaard kan gaan met een aanval door hackers of andere vormen van cybercriminaliteit. Een goede cyberverzekering dekt kosten en schadeposten in verband met:

  • het inhuren van forensisch onderzoekers om het cyberincident te onderzoeken;
  • het inhuren van IT-experts om getroffen bestanden en systemen te herstellen of vervangen;
  • het inhuren van juristen die u bijstaan in het geval van een claim of boete;
  • omzetverlies;
  • reputatieschade;
  • financiële schade;
  • afpersing of betaling van losgeld;
  • menselijk falen (bijvoorbeeld uw werknemer verliest een usb-stick met vertrouwelijke informatie);
  • technisch falen: een systeemfout waardoor bedrijfsgegevens openbaar worden.

Wat is het risico van Internet of Things?

Apparaten kunnen met elkaar praten zonder menselijke tussenkomst. Welke informatie sturen zakelijk gebruikte apparaten door zoals via internet?

Apparaten kunnen via het ‘Internet of things’ met elkaar praten zonder menselijke tussenkomst. Denk hierbij aan:

  • printers die externe opdrachten uitvoeren of scannen per e-mail en de staat van onderhoud en defecten aangeven;
  • fysieke inlogsystemen die verificatiegegevens, dag- en tijdsregistratie en levenscyclus van de pas bijhouden;
  • liften die ook de temperatuur, vochtigheidsgraag en luchtdruk meten en abnormale stops signaleren;
  • slimme lampen die gekoppeld zijn met smartphones, alarmsystemen en andere lampen in het gebouw;
  • klokken die gekoppeld zijn aan smartphones en de temperatuur, vochtigheidsgraad en luchtdruk registreren;
  • bewakingscamera’s die niet alleen video-opnames maken, maar ook gebruikt worden voor bewegingsdetectie en audio voor waarschuwingsdoeleinden;
  • klimaatsystemen die werkplekgebruik en temperatuurgegevens registreren;
  • bedrijfsauto’s die niet alleen brandstofverbuik bijhouden maar ook route-informatie en de staat van onderhoud. Veel slimme auto’s verlaten de dealer ‘connected’, maar bestuurders hebben meestal niet door dat hun data worden verzameld en doorgespeeld.

Misschien is het verstandig om de privacyinstellingen nog eens goed na te lopen en vragen te stellen aan de dealer of leasemaatschappij.

Hoe verwijder ik wifi-netwerken?

Klopt het dat het veiliger is om openbare netwerken uit mijn apparaat te verwijderen? Waarom is dat belangrijk en hoe doe ik dat?

Nadat u verbinding hebt gemaakt met een openbaar netwerk is het verstandig om dit daarna meteen te verwijderen. Doet u dat niet, dan kan het apparaat een volgende keer automatisch verbinding maken met een nepverbinding die zich voordoet als het netwerk.

Zo verwijdert u de verbinding op de meeste Android-toestellen. Ga naar ‘Instellingen’, tik op ‘Wifi’ en op het netwerk dat u wilt verwijderen. Tik daarna op ‘Vergeten’.

Ook uw computer onthoudt met welke draadloze netwerken u verbonden bent geweest. Volg deze stappen om het netwerk te verwijderen van uw computer, tablet of laptop:

  • Windows 7: Open het configuratiescherm, Klik op ‘Netwerkcentrum’ en vervolgens op ‘Draadloze netwerken beheren’. Selecteer vervolgens het netwerk dat u wilt verwijderen en klik op ‘Verwijderen’.
  • Windows 8: Ga naar ‘Pc-instellingen’. Klik op ‘Netwerk’ en vervolgens op ‘Bekende netwerken beheren’. Kies de netwerken die u niet wilt onthouden.
  • Windows 10: Klik op het netwerkpictogram in de rechterhoek van het scherm en daarna op ‘Netwerk- en internetinstellingen’. Klik op Wi-Fi en vervolgens op ‘Beheer bekende netwerken’. Klik op het netwerk dat u wilt verwijderen en klik vervolgens op ‘Vergeten’.
  • macOS: Klik op ‘Systeemvoorkeuren’, ‘Netwerk’,‘Wifi’ en ‘Geavanceerd’. Selecteer het netwerk dat u wilt verwijderen en klik op het minteken.

Het complete verhaal over cybersecurity leest u in themadossier FA Rendement Eerste hulp bij al uw desktopzaken. Professional+-abonnees kunnen dit themadossier digitaal lezen via Mijn Bibliotheek.