Misvattingen over cybercriminaliteit

Wat weet u over de risico's?

Mogelijk heeft u u het idee dat u zich genoeg heeft voorbereid op een cyberaanval en dat u goed verzekerd bent tegen cyberrisico’s. Maar is dat echt zo? In heel veel gevallen dragen deze misvattingen eraan bij dat een praktijk kwetsbaar is voor een cyberaanval en dat de gevolgen daarvan groter zijn dan nodig. 

In de gratis whitepaper ‘Cyberrisico’s in de praktijk’ worden de belangrijkste cyberrisico’s toegelicht en vindt u tips om u hiertegen te wapenen.

De zes meest voorkomende misvattingen

  • Mijn organisatie is niet interessant voor een hacker;
  • Cyber is gedekt in mijn aansprakelijkheidsverzekering;
  • Onze ICT-beheerder regelt alles voor cyber;
  • Ik heb een goede firewall en virusscanner; 
  • Ik heb back-ups gemaakt, een hack raakt mij niet;
  • De kans op een hack of malware is minimaal.

De belangrijkste kwetsbaarheden voor uw praktijk

Het is aannemelijk dat kleine en middelgrote bedrijven geconfronteerd worden met een aantal serieuze bedreiging. Ook uw praktijk loopt een aannemelijk risico geconfronteerd te worden met een of meerdere cyberaanvallen. Deze aanvallen zijn onvoorspelbaar en zullen in ernst en frequentie variëren. We geven inzicht in de risico’s en tips hoe u deze kwetsbaarheden aanzienlijk kunt verminderen met een cyberbeschermingsplan.

De top vijf kwetsbaarheden:

 Phishing

#1 PHISHING

Deze  bijna traditionele truc werkt nog steeds: medewerkers ontvangen bijvoorbeeld uit naam van uw eigen organisatie of een relatie een niet van echt te onderscheiden e-mail met hierin een link. Criminelen komen zo systemen binnen of leiden ontvangers naar kwaadaardige websites.


 Ransomeware

#2 RANSOMWARE

Uw systemen worden gehacked en uw data versleuteld. Om weer toegang te krijgen dient u de hacker te betalen. Ransomware aanvallen nemen verder toe en worden steeds strategischer.


 Wachtwoord fraude

#3 WACHTWOORD FRAUDE

Criminelen achterhalen je wachtwoorden om vervolgens in te breken op je computer, telefoon en/of netwerk.


 Onveilige netwerken

#4 ONVEILIGE NETWERKEN

Systemen zijn steeds makkelijker te kraken door de wereldwijde beschikbaarheid van databases met ontvreemde wachtwoorden. Steeds meer organisaties maken gebruik van meervoudige verificatie.


 Nonchalante medewerkers

#5 MEDEWERKERS

Onzorgvuldig of nonchalant handelen van medewerkers is een van de belangrijkste veroorzakers van cyberincidenten. Datalekken, onveilige wachtwoorden, gebruik van usb-sticks, gebruik van eigen devices, onbeveiligde thuisnetwerken, bestanden versturen naar verkeerde personen tot en met het niet installeren van software-updates. Zorg voor goede voorlichting aan uw medewerkers. Neem een paragraaf op in de arbeidsovereenkomst over de rechten en plichten bij het omgaan met data.

Download de gratis whitepaper ‘Cyberrisico’s in de praktijk’

Bent u voorbereid op een cyberincident?

Wat doet u als uw organisatie gehackt wordt?

Veel organisaties kunnen deze vraag niet goed beantwoorden. Vaak omdat de impact van een hack onduidelijk is of wordt onderschat. Maar stel dat uw medewerkers aangeven dat ze het systeem niet meer in kunnen. Wat doet u dan? Met een goede voorbereiding verkleint u de impact van een cyberincident sterk. Wie binnen uw bedrijf (h)erkent en bepaalt dat jullie gehackt zijn? Wie heeft het mandaat om tot actie over te gaan? En wat is die actie dan? Leg deze beslissingen en de te ondernemen acties vast in een protocol, vergelijkbaar met het protocol dat in werking treedt wanneer er brand uitbreekt in uw bedrijf. Zodat u weet wat er moet gebeuren bij een cyberincident. Het is namelijk niet de vraag óf uw organisatie gehackt wordt, maar wanneer. En dan wilt u goed voorbereid zijn, toch? 

Tip: Beantwoord alle relevante vragen op directieniveau. Wijs binnen uw organisatie iemand aan die crisismanager is op het moment dat uw organisatie wordt gehackt. Zodat u direct kunt handelen als zich een cyberincident voordoet. 

Waarom is ook uw bedrijf interessant voor een hacker?

Cybercriminelen gaan op verschillende manieren te werk. Soms richten ze zich specifiek op een bedrijf, maar vaak proberen ze het via ‘lucky shots’. Ze sturen bijvoorbeeld 100.000 willekeurige bedrijven een e-mail en wachten af wie er ‘hapt’. Ze kijken niet naar het type bedrijf, ze slaan toe waar ze binnen komen. De hacker kan dan systemen en backups stilleggen en losgeld vragen. Of hackt de telefooncentrale en belt voor tienduizenden euro’s naar een betaald nummer (waar de hacker eigenaar van is).

Tip: Stuur periodiek een ‘phishing mail’ uit binnen uw organisatie. Zo test u hoeveel medewerkers er op de link klikken en hoe makkelijk een cybercrimineel dus binnenkomt. 

Wat is de impact van een cyberincident voor uw organisatie?

Een cyberincident kan grote gevolgen hebben. Wat kost een dag stilstand uw bedrijf? Naast directe financiële schade voor uw eigen organisatie en mogelijk voor anderen, heeft u ook te maken met reputatieschade. U ligt na een cyberincident direct onder een vergrootglas bij klanten, leveranciers en mogelijk de media. Zorg dat u goed kunt uitleggen welke maatregelen u al had genomen om gegevens te beveiligen. Kunt u dit niet dan leidt dit onherroepelijk tot flinke reputatieschade.

Verzekeringen bieden, naast het vergoeden van schade, de mogelijkheid om professionals in te schakelen voor het juist reageren op een incident. Door een cyber crisis vooraf te oefenen komt u zo snel mogelijk weer terug op operationeel niveau mocht er echt iets gebeuren.

Tip: Bent u benieuwd wat de financiële impact van een cyberincident voor uw organisatie? Onze specialisten kijken graag met u mee en geven een passend advies. 

Kan mijn ICT-beheerder mij tegen alle risico’s beschermen?

Veel organisaties pakken het cyberrisico niet aan, omdat zij denken dat de externe ICT-beheerder zorgt dat hen niets overkomt. Zij vergeten dat deze ICT-beheerder er alleen voor moet zorgen dat uw systemen werken. Hij is niet verantwoordelijk voor afspraken met leveranciers, klanten over het verwerken van gegevens. Hij is ook niet verantwoordelijk voor de processen die u heeft ingeregeld en hoe uw mensen met gegevens omgaan.  Ú blijft zelf verantwoordelijk en aansprakelijk voor de activiteiten van uw bedrijf. 

Alleen goede bescherming is onvoldoende, een cyberincident kan altijd voorkomen. En dan kijken uw relaties naar u. Vergelijk het met een webshop die producten levert. Als een pakketje bij de logistieke partij is kwijtgeraakt, zal de klant de webshop hier toch op aanspreken. Daarnaast is uw ICT- beheerder bij een cyberincident niet degene die moet zorgen voor de juiste juridische stappen en communicatie, om bijvoorbeeld reputatieschade zoveel mogelijk te beperken. Dat bent u.

Tip: Onderzoek tegen welke risico’s uw ICT-beheerder u kan beschermen. En tegen welke niet. Zorg dat u goed weet welke stappen u zelf moet nemen als uw organisatie wordt getroffen.

Waarom is het cruciaal dat mijn medewerkers bewust zijn van cyberrisico’s?

Mensen blijven de zwakste schakel wanneer het om cyberincidenten gaat. De meeste cyberaanvallen worden veroorzaakt door onwetende, nalatige of kwaadwillende werknemers. Zonder bewuste medewerkers geen veilige organisatie. De rol van de directie is cruciaal: als u van cyber geen belangrijk aandachtspunt maakt, kunt u ook niet van uw medewerkers verwachten dat zij hier voldoende focus op hebben. U moet het belang en de urgentie uitdragen.

Tip: Controleer welke toegangsrechten uw medewerkers hebben en of deze actueel gehouden worden. Hebben zij deze nodig om hun dagelijks werk te kunnen uitvoeren? Door de rechten van medewerkers te beperken, verkleint u het ‘insider risico’ en de kans op een cyberincident.

Whitepaper: ‘Cyberrisico’s in de praktijk’

Vaak wordt ten onrechte verondersteld dat alleen grote bedrijven te kampen hebben met cybercriminaliteit. Niets is echter minder waar, juist het MKB is een aantrekkelijk doelwit. Bent u zich bewust van de risico’s voor uw praktijk en bent u hier goed op voorbereid? In de whitepaper ‘Cyberrisico’s in de praktijk’ leest u meer over de risico’s voor uw praktijk en welke stappen u kunt nemen.

Download gratis whitepaper

Vul onderstaande gegevens in en ontvang de gratis whitepaper in uw mailbox.

Direct contact met onze adviseur?

Bent u lid van het KNMT en heeft u vragen over het afdekken van cyberrisico’s en wilt u direct contact met een van onze adviseurs, bel 088-810 81 74 of mail naar ondernemeningen.team4@aon.nl