5 tips om je organisatie te beschermen tegen hackers

Gepubliceerd op 30-8-2019 door Maria Genova

Bedrijven kunnen op veel manieren gehackt worden en dat gebeurt ook dagelijks. Ondanks ruim bezette IT-afdelingen en het gebruik van cybersecuritytools blijven bedrijven kwetsbaar. Aan de hand van concrete voorbeelden bekijken we waarom veel bedrijven zo simpel te hacken zijn en hoe organisaties zich beter kunnen beschermen tegen hackers.

beschermen tegen hackers

Vraag aan de ICT-afdeling hoeveel kwetsbaarheden nog niet opgelost zijn

De ICT-afdelingen van veel bedrijven weten dat er kwetsbaarheden zijn in de gebruikte software, maar voeren de updates niet uit. Dat is waarom er momenteel zo veel ondernemingen gehackt worden. De mensen die thuis braaf de nieuwste updates op hun computers en telefoons installeren, snappen er niets van: als ze het zelf zonder al te veel moeite doen, waarom doen de ervaren ict’ers dat dan niet?

De verklaring is vrij simpel: thuis werken de updates meestal zonder problemen, maar niet op de ingewikkelde computersystemen van bedrijven. Daar moet eerst alles uitgebreid getest worden zodat systemen niet uitvallen. Al die tijd zijn de systemen kwetsbaar, omdat ze niet voorzien zijn van de broodnodige updates.

De ene keer is het gebrek aan tijd door onderbezetting, een andere keer slordig gedrag van de ict’ers.

Een mooi voorbeeld is de grote hack van kredietbureau Equifax. De persoonlijke gegevens van zo’n 143 miljoen klanten werden daarbij gestolen. Katie van Fleet kreeg na de hack vijftien verschillende kredietaanvragen op haar naam en was maandenlang bezig met het herstellen van haar kredietreputatie. Equifax werd gehackt door het niet oplossen van een kwetsbaarheid die volgens het interne beleid binnen 48 uur gedicht moest worden. Soms is het gebrek aan capaciteit, maar de ICT-afdeling was best ruim bezet met 255 IT-specialisten in dienst.

Bedenk welke gegevens interessant zouden kunnen zijn voor hackers

Bedrijven en organisaties denken vaak dat ze niet interessant genoeg zijn om gehackt te worden. Het Interprovinciaal Overleg (IPO) meldde onlangs een datalek bij de Autoriteit Persoonsgegevens: een medewerker had op een phishinglink geklikt, accountgegevens ingevoerd en vervolgens werden vanaf haar mailadres valse mails verzonden.

Zo’n hack is niet opmerkelijk, wel de reactie van een woordvoerder van het Interprovinciaal Overleg in de media. Hij zei desgevraagd dat IPO-medewerkers niet worden getraind om phishing-mails te herkennen. De reden? ‘Wij zijn slechts een kleine organisatie met ongeveer 30 medewerkers. Vooral de ICT-afdeling houdt zich bezig met dit soort zaken.’

Deze woordvoerder snapt blijkbaar niet dat de ICT-afdeling niet kan voorkomen dat de medewerkers op phishingmails klikken en hun accountgegevens invoeren. En dat als de ICT-afdeling dat niet kan voorkomen, hun computers gehackt worden. Een kleine organisatie is natuurlijk een slap excuus om de medewerkers niet op te leiden op digitaal gebied. Dezelfde medewerkers volgen vast tal van andere verplichte cursussen. Want bij elke organisatie valt er wat te halen.

Bij IPO is vooral het netwerk van hun partners interessant. Als je zo’n kleine organisatie hackt en namens hun een phishingmail stuurt naar de partners, dan trappen die er waarschijnlijk wel in. Wie de partners zijn staat op hun site. Het Interprovinciaal Overleg behartigt de gezamenlijke belangen van de provincies en deelt veel kennis met andere organisaties. ‘Het IPO beschikt hiertoe over een uitgebreid netwerk en onderhoudt contact met onder andere het kabinet, het parlement, de ministeries, de Europese Unie en maatschappelijke organisaties.’ Nou, dat zijn nogal wat interessante doelen!

beschermen tegen hackers

Beperk de rechten van de medewerkers

Ik kom bij steeds meer bedrijven waar programma’s automatisch geblokkeerd worden op het bedrijfsnetwerk. Bij een gemeente wilde ik een leerzaam YouTube-filmpje tijdens een lezing over cybersecurity laten zien, maar dat kon niet, want niemand mocht op YouTube. Ook veel andere bekende sites waren uit voorzorg geblokkeerd.

‘Als iemand privé berichten op Facebook wil checken of YouTube filmpjes wil bekijken, dan doet-ie dat maar thuis. Ik heb geen zin in virussen, omdat de medewerkers op elk linkje op social media klikken,’ kreeg ik van de ict’er te horen.

Als dat goed uitgelegd wordt, schijnen de medewerkers het zonder problemen te accepteren. En mocht het een keer misgaan: goede back-up software maakt vaak het verschil tussen weinig data verliezen of alles kwijtraken.

Bescherm jezelf tegen je leveranciers

Het begint een trend te worden dat grote en goed beveiligde bedrijven via kleine leveranciers worden gehackt. Dat is relatief gemakkelijk, want leveranciers hebben vaak toegang tot een gedeelte van het computernetwerk. Als hackers op deze manier binnenkomen, krijgen ze het vaak voor elkaar om ook toegang tot de rest van het netwerk te verkrijgen.

De afgelopen tijd zijn nogal wat bekende bedrijven via hun leveranciers gehackt. Ticketmaster bijvoorbeeld, die had het ook nog lange tijd niet door.

Train de digibete medewerkers om de digitale gevaren te herkennen

Toen ik research deed voor mijn boek ‘Komt een vrouw bij de [email protected]’ vroeg ik aan diverse hackers wat de makkelijkste manier was om binnen te komen. ‘De medewerkers,’ zeiden ze. ‘Bedrijven verzinnen allerlei tools om het computersysteem veilig te houden, maar a fool with a tool is still a fool.’ 

Security-oplossingen helpen natuurlijk wel, maar hoe komt het dat de medewerkers volgens de hackers zulke ‘fools’ zijn? Vaak heeft niemand de moeite genomen om ze op een simpele manier uit te leggen hoe ze zichzelf en het bedrijf kunnen beschermen tegen hackers en dan moeten zij dat eventjes doen?

Op het werk van mijn man strooit de ICT-afdeling met waarschuwingsberichten op het intranet, maar die worden nauwelijks gelezen. Bovendien zijn ze ook nog onduidelijk voor de gemiddelde digibeet. En dan denkt zo’n bedrijf dat ze op deze manier de medewerkers goed hebben voorgelicht.

Hij werkt bij een groot industrieel bedrijf. Ik vrees dat daar hetzelfde zou kunnen gebeuren als in Noorwegen, waar aluminiumproducent Norks Hydro werd gehackt, allerlei fabrieken stil kwamen te staan en de schade tot meer dan dertig miljoen euro opliep. Dat kan tegenwoordig door op een simpele phishingmail te klikken, die het computersysteem gijzelt. Investeren in awareness hoeft helemaal niet duur te zijn en het kan een miljoenenschade en ook reputatieschade voorkomen.

Ben je op zoek naar cybersecurity tools? Op vergelijkingssite Capterra vind je veel aanbieders; je kunt bovendien filteren op functionaliteiten en honderden geverifieerde reviews van gebruikers lezen.

Over de auteur:

Maria Genova (1973) is journaliste en schrijfster. Ze ontving de Looijer Debutantenprijs voor haar debuut in 2007 voor haar boek Communisme, sex en leugens. Na haar debuut schreef ze nog vele andere boeken waaronder meerdere bestsellers zoals Komt een vrouw bij de [email protected], een eye-opener over digitale gevaren. In 2014 werd ze uitgeroepen tot Schrijfster van het Jaar. Maria werkt voor verschillende kranten en tijdschriften. Ze ontwikkelt e-learning cursussen en quizzen en is een van de meest gevraagde sprekers in Nederland op het gebied van identiteitsfraude, privacy en informatiebeveiliging. Meer over Maria Genova op haar website, op LinkedIn of Twitter: @genova2

Volg ons