Tien basismaatregelen om cybercriminelen buiten de deur te houden
Geplaatst op 08-11-2022 in Kennisbank
De dreiging van cybercriminaliteit neemt flink toe. De kans op een cyberaanval is 1 op 5 terwijl de kans op een fysieke inbraak 1 op 250 is. Cybercriminaliteit is een businessmodel geworden voor bedrijven. Reden genoeg om serieus aan de slag te gaan met de online veiligheid van jouw bedrijf. Veel cyberaanvallen zijn te voorkomen als bedrijven enkele basiszaken regelen. De crimineel rammelt weliswaar aan de deur, maar probeert het elders als het teveel moeite kost. Dit zijn de 10 basismaatregelen.
1. Inventariseer kwetsbaarheden
Breng in kaart waar de meest waardevolle (klant)gegevens van jouw bedrijf zich bevinden en hoe deze beveiligd zijn. Een accountantskantoor heeft vaak verschillende applicaties waarin grote hoeveelheden gevoelige data worden verwerkt. Denk aan bankrekeningen, salarissen, fiscale gegevens voor de aangifte inkomstenbelasting en BSN/RSIN-nummers. Breng ook de technische afhankelijkheid van leveranciers in kaart. Denk na wat het voor jou betekent als een bepaalde applicatie van een leverancier wordt geraakt.
2. Voer altijd updates uit
Houd besturingssystemen en programma’s altijd up-to-date. Schakel indien mogelijk de optie in om updates automatisch te installeren. Software veroudert als je geen updates doet; cybercriminelen zoeken voortdurend naar kwetsbaarheden in verouderde software en kunnen zo binnenkomen. In het geval van cloud software word je hierin ontzorgt door de leverancier. Als je apparaten en software up-to-date zijn, loopt je bedrijf minder risico op virussen en cyberaanvallen.
3. Word weerbaarder tegen virussen en kwaadaardige software
Malware, ofwel kwaadaardige software, verstoort, verzamelt of versleutelt informatie. Zorg dat malware niet in computers, smartphones of netwerken belandt. Zodra de malware binnen is, infecteert het andere apparaten of gebruikers. Het is zo gebeurd: een medewerker kan een geïnfecteerde e-mail of bijlage openen, een foute website bezoeken of een USB-stick gebruiken met een besmet bestand. Er zijn vier maatregelen om malware te voorkomen: Stimuleer veilig internetgedrag van collega’s, gebruik een antivirusprogramma, download apps veilig en beperk de installatiemogelijkheden van software. Je kunt niet voorkomen dat het een keer gebeurt, maar je kunt het risico op virussen en kwaadaardige software wel verkleinen.
4. Gebruik sterke wachtwoorden
Om in te loggen op de systemen is het raadzaam sterke wachtwoorden te gebruiken, die niet makkelijk te achterhalen zijn. Welkom01 of 0000 zijn bijvoorbeeld geen goed idee. Het is een veelgebruikte misvatting rondom wachtwoorden en veiligheid om regelmatig je wachtwoord te veranderen. Regelmatig veranderen is niet aan te raden, het gevaar bestaat dat medewerkers gaan variëren met enkel cijfers. Welkom01 wordt dan al snel Welkom02.
Het beste is om gebruik te maken van een goede wachtwoordmanager in combinatie met tweefactorauthenticatie. Deze genereert een sterk wachtwoord, die automatisch wordt opgeslagen. Zo hoeft de gebruiker alleen het wachtwoord van de wachtwoordmanager te onthouden en ben je goed beschermd tegen misbruik.
5. Gebruik tweefactorauthenticatie
Uit de praktijk blijkt dat veel medewerkers binnen accountantskantoren geen gebruik maken van tweefactorauthenticatie. Het wordt vaak ervaren als ongebruiksvriendelijk en lastig. Er is vaak geen beleid rondom tweefactorauthenticatie. Accountantskantoren moeten het gebruik van tweefactorauthenticatie verplichten waar mogelijk. Medewerkers moeten periodiek worden gecontroleerd op het gebruik van tweefactorauthenticatie en het belang moet constant worden toegelicht. Door tweefactorauthenticatie te gebruiken beperk je het risico dat er toegang verkregen wordt met gestolen of gehackte inloggegevens.
6. Maak - en houd - medewerkers bewust van de cyberrisico’s
Je kunt alles technisch tot in de puntjes geregeld hebben, medewerkers moeten voldoende alert zijn op verdachte mails, telefoontjes of whatsapp-berichten. Vertel ze regelmatig hoe en waarom ze zorgvuldig omgaan met de bedrijfslaptop. Blijf hameren op het belang van tweefactorauthenticatie en veilig uitwisselen van gegevens.
Stuur eens zelf een nep-phishing-mail uit en ontdek hoeveel collega’s toch op gevaarlijke links klikken. Zorg daarnaast dat het regelmatig aandacht heeft. Als partner of eigenaar van het accountantskantoor is het belangrijk om het onderwerp uit te dragen en natuurlijk zelf het goede voorbeeld te geven.
7. Gebruik de cloud als digitale kluis
Bewaar en beheer de meest gevoelige data in de cloud. Dat is veiliger dan op lokale servers. Softwareleveranciers hebben de kennis en kunde om de clouddienst voortdurend te bewaken, zij zorgen voor een goed slot op de digitale kluis. Zorg dat je ook weet hoe de veiligheid bij je softwareleverancier(s) is geborgd.
8. Beperk toegang
Denk goed na welke medewerker je toegang geeft tot welke data en systemen. Geef medewerkers alleen toegang tot data en systemen die nodig zijn voor het uitvoeren van hun taak. Zo beperk je de handelingen die een aanvaller kan uitvoeren indien deze zich toegang verschaft tot een account. Iedereen de volledige rechten geven klinkt handig, maar het is niet veilig. Als een account gehackt wordt, dan hebben de cybercriminelen beperkt toegang. Nog steeds vervelend, maar minder vervelend dan volledige toegang.
9. Krijg grip op belangrijke back-ups
Maak inzichtelijk wanneer en waar back-ups worden gemaakt. Ontwikkel een schema zodat je precies op de hoogte bent wanneer en in welke software applicaties back-ups worden gemaakt. Maar controleer ook waar deze bewaard worden. Controleer hoe software leveranciers omgaan met hem maken en bewaren van back-ups. Als er iets misgaat, beschik je over de meest recente gegevens. Maak ook back-ups van je netwerk en systemen. Bewaar deze in de cloud, als een digitale kluis. Controleer periodiek of backups compleet zijn en teruggezet kunnen worden.
10. Kies voor de cloud en wees kritisch op ICT-leverancier
Veel kantoren maken gebruik van eigen servers voor hun boekhoud- en aangifteprogramma’s. Dat maakt je als ondernemer kwetsbaar. Zeker mkb-bedrijven hebben niet altijd de middelen en kennis om de veiligheid te waarborgen. Het is daarom raadzaam om gebruik te maken van een clouddienst. Voorkom dat medewerkers binnen het kantoor gebruik maken van gratis clouddiensten. Het risico bij het gebruik van deze diensten is hoog.
Maar ga wel in gesprek met de betreffende ICT-leverancier hoe het bedrijf cybersecurity borgt. Ook al ben je niet thuis in de materie, er bestaan checklists waarmee je een softwarepartner kunt ondervragen. Beschikt de leverancier over veiligheidscertificaten? Hoe ziet de beveiligingsstrategie eruit? Dat zijn belangrijke vragen, die al in de acquisitiefase gesteld moeten worden.
Honderd procent veilig bestaat niet: wat als het fout gaat?
Geen bedrijf kan met 100% zekerheid stellen dat ze beveiligd zijn tegen enige vorm van cybercriminaliteit. Het gevaar ligt altijd op de loer. 70% van de datalekken wordt ten slotte veroorzaakt door menselijke fouten. Maar wat moet je doen als het fout gaat? Bereid je voor met een calamiteitenplan. Met behulp van een calamiteitenplan weet jij precies welke stappen je moet zetten om de schade te beperken. Download de whitepaper ‘Houd cybercriminelen buiten de deur’ en ontdek welke vijf stappen in ieder geval in een calamiteitenplan moeten staan.