29 november 2016

Creaforti: ‘Het is niet de vraag óf je met digitale criminaliteit krijgt te maken, maar wanneer’

Gebruikersgemak versus veiligheid

Marcel Elsinga: “Medewerkers verwachten vrijheid in het gebruik van applicaties, apps en apparatuur. Om je te bewapenen tegen internetcriminelen lijkt het vanzelfsprekend om vanuit IT alles dicht te timmeren. Echter, een gebruiker wil met apparatuur en applicaties werken waarvan hij vindt dat hij ze nodig heeft. Je loopt het risico dat ze alternatieven gaan zoeken en daarmee de ‘interne beveiliging’ omzeilen en op een onveilige manier bij zakelijke gegevens komen of kunnen downloaden. Maak daarom een risicoanalyse: waar zit het risico vanuit de rol met toegang tot welke gegevens (autorisatie). Na de analyse volgt preventie. Het doel is om je gebruiksvriendelijkheid te behouden en het risico zoveel mogelijk in te perken. Maak medewerkers vervolgens bewust waar de risico’s zitten.” 

Onbedoeld risico

Carmen Graauwmans: “Juist het creëren van bewustwording is ontzettend belangrijk. Medewerkers handelen vaak vanuit onwetendheid en met goede bedoelingen. Veel voorkomend voorbeeld. Medewerkers die onderweg zijn en tijdens een tussenstop vanwege kostenbesparing op een openbare wifinetwerk inloggen. Dit zijn vaak onbeveiligde netwerken. Appeltje-eitje voor een hacker.”

‘100% veiligheid bestaat niet’

Praktijkvoorbeelden

“Nog een veel voorkomende. Met het downloaden van een spelletje of ander handig – vaak gratis – appje zoals de zaklamp op je telefoon ga je akkoord met hun voorwaarden. Hierin staat menigmaal dat ze bij alle documenten en contactgegevens van je telefoon mogen. Als er een zakelijk document op je telefoon staat, verzamelen ze ook die informatie.” Marcel vult aan: “Bedrijven worden persoonlijker in hun communicatie en publiceren foto’s met namen van medewerkers op hun website. Internetcriminelen achterhalen het e-mailadres en gebruiken die voor criminele activiteiten. Vaak in de vorm van persoonlijk geadresseerde e-mail in de huisstijl van een gerenommeerd bedrijf met een besmet bestandje of link. Niet van echt te onderscheiden. Je klikt op de link en het leed is geschied. Dikwijls is dit gijzelsoftware (‘ransomware’) waarmee ze je bestanden versleutelen waardoor je er niet meer bij kunt. Door het betalen van losgeld in Bitcoins krijg je weer toegang tot je bestanden. Althans, dat beloven ze, maar die belofte wordt nogal eens geschonden. Ons advies is daarom: nooit betalen!”

De zwakste schakel

De mens blijft de zwakste schakel als het gaat om virussen en datalekken. Simpelweg het per ongeluk openen van een verkeerd geadresseerd mailtje, of het uitwisselen van bestanden zoals het rondsturen van een presentatie aan de deelnemers in de cc behoren al tot risico op datalekken. Tegenwoordig heb je een meldingsplicht binnen 72 uur na het ontstaan van het datalek bij de Autoriteit Persoonsgegevens. Marcel: “In onze adviestrajecten zijn bewustwording en adoptie bij medewerkers daarom belangrijke aandachtspunten.” 

100% veiligheid?

Carmen: “Een virus of datalek kan de beste overkomen. Ook ons. Ondernemers zijn in de regel niet happig om toe te geven dat het beleid rondom digitale veiligheid niet op orde is, of dat er een aanval heeft plaatsgevonden. De terughoudendheid is logisch, het kan tenslotte je imago schaden. Toch is het geen kwestie meer van of je te maken krijgen met digitale criminaliteit, echter de vraag wanneer. Met dit in het achterhoofd is het belangrijk om te weten wat je moet doen bij een bedreiging, aanval of datalek. 100% veiligheid bestaat niet.” Brenno de Winter, onderzoeksjournalist gespecialiseerd in IT-beveiliging en privacy, zegt daarover: “Als elk bedrijf maar 1 minuut nadenkt over digitale veiligheid zijn we al een heel eind. Dat betekent dat je je bewust bent van de risico’s en nadenkt over de gevolgen.” Melle de Waal van Stunnenberg: “Internetcriminelen werken steeds geraffineerder. Ondanks dat wij alles goed geregeld hebben, hebben ook wij wel eens te maken gehad met een incident. Gelukkig wisten wat we moesten doen. Een recente kennissessie van Creaforti heeft ons geholpen om onze bewustwording te vergroten.”

Neem maatregelen

Marcel: “Je kunt zelf maatregelen nemen. Laat een risicoanalyse opmaken. Creëer bewustwording bij de gebruiker. Stel een draaiboek op voor als het misgaat. Het lijkt een inkoppertje, maar zorg voor een goed afgeschermde back-up. Een halve dag verloren werk is te overzien, dat van een week niet. Maak je gebruik van applicaties zoals Sharepoint, realiseer je dan dat Microsoft pas na vier dagen support geeft. Bij een virus kan het dus zo zijn dat je vier dagen lang niet bij je gedeelde documenten kan.” Carmen: “We helpen de medewerkers hun apparatuur en apps zo veilig mogelijk te gebruiken met onze mobility (‘MDM’) oplossingen. Gaat er een keer wat fout, dan kunnen we gelijk ingrijpen.”

Veilig in de cloud

Steeds meer bedrijven gaan over op werken vanuit de cloud. Marcel: “Dit biedt veel voordelen. Je kunt altijd en overal werken met applicaties en bedrijfsdata in de vertrouwde Windows-omgeving. Als medewerkers vanuit de cloud met bedrijfsgegevens werken, geldt ook hiervoor dat de internetverbinding en de opslag in het datacenter veilig moet zijn. Creaforti biedt hiervoor KPN DeskHub: een ultraveilige en snelle internetverbinding via een zogenaamde private network inclusief een complete cloud werkplek.”

Stappenplan

Carmen: “Digitale veiligheid gaat verder dan alleen anticiperen op internetcriminaliteit. Creaforti helpt bedrijven bij het opstellen van een stappenplan Digitale Veiligheid. Onze Quick Scan maakt direct inzichtelijk waar je bedrijf gevaar loopt. Wij gaan vervolgens het risico minimaliseren door het opstellen van een helder beleid en het nemen van maatregelen.” 

Meer weten? 

Kijk op www.creaforti.nl. Stuur een mailtje naar info@creaforti.nl Bel ons op via 026 324 5200. Of loop binnen Bakenhofweg 30, Arnhem. Praten we je bij onder het genot van een heerlijke bak Peeze koffie!

‘Schrijf je nu in voor het event Digitale Veiligheid 3.0 op 2 maart’

Arnhem Business