Hoe gevoelig is uw organisatie voor phishing?

Besmetting van uw systemen: Serieuze dreiging!

Phishing is tegenwoordig een veelgebruikte methode waarmee cybercriminelen uw bedrijfsnetwerk en systemen besmetten met schadelijke malware en virussen. Bij phishing wordt misbruik gemaakt van de natuurlijke aard van de mens om een ander te vertrouwen en behulpzaam te willen zijn. Met slimme e-mails (of telefoontjes) worden u en uw medewerkers overgehaald om op foute links te klikken of om bepaalde vertrouwelijke gegevens (bankgegevens, passwords) door te geven. De gevolgen kunnen groot zijn. In sommige gevallen zelfs desastreus. Informatie die in goed vertrouwen werd afgegeven kan worden misbruikt.

Compliance en beleid!

Een goed awareness beleid  is van belang voor het waarborgen van de compliance voor wat betreft security en privacy. Verbeteren van menselijk gedrag is een belangrijk aspect bij het verlagen van de risico’s. Het trainen van medewerkers om verantwoord om te gaan met de ICT-middelen en bedrijfsinformatie is een integraal onderdeel van de maatregelen die iedere organisatie dient te nemen.

Malware – Ransomware

Als je op een link in een phishing e-mail klikt kun je besmet raken met kwaadaardige virussen (malware) die op een later tijdstip hun vernietigende werk zullen verrichten.
Malware kan op uw systemen bijvoorbeeld gaan zoeken naar uw bankgegevens, creditcardgegevens of uw wachtwoorden. Een andere, zéér gevaarlijke vorm van malware is “Ransomware”. Hiermee kan een cybercrimineel uw gegevensbestanden op slot zetten zodat u er niet meer bij kan. Pas na betaling van losgeld (in het Engels: Ransom, vandaar de naam “Ransomware”) belooft de cybercrimineel uw bestanden dan weer vrij te geven.
Of dit daadwerkelijk na de betaling ook gebeurd is maar de vraag. Let wel, we hebben het hier wel over criminelen, nietwaar?

Een hackers aanval!

Tijdens mijn awareness presentaties vraag ik altijd of er misschien heel toevallig iemand in het publiek zit die weleens een phishing e-mail heeft ontvangen. De meeste mensen reageren daar een beetje lacherig op. “Natuurlijk”, zeggen ze dan … en dan een beetje trots: ”Ik heb er afgelopen week wel 6 ontvangen”. Op mijn vraag hoe ze dan wisten dat het een phishing e-mail was is het antwoord vaak: “Dat zijn die mails van de bank, die kun je herkennen want dan zit er een typefout in”. Vervolgens laat ik verschillende phishing e-mails zien die zogenaamd gestuurd zijn door onder andere een bank, de Kamer van Koophandel, een creditcardmaatschappij, een koeriersbedrijf en de ANWB. Het feit dat we het tegenwoordig maar héél normaal vinden als we een phishing e-mail ontvangen is een grote zorg. Met een speciale slide geef ik vervolgens aan dat het ontvangen van een phishing e-mail maar beter gezien kan worden als een serieuze hackers-aanval met mogelijk zéér grote gevolgen voor het hele bedrijf.phishing 2

Uw medewerkers onder vuur

Zoals eerder gezegd wordt er misbruik gemaakt van een menselijke eigenschap. De mens is hierbij een zwakke schakel. Je moet je realiseren dat cybercriminelen zich tegenwoordig steeds vaker richten op de medewerkers van een organisatie.

Maak uw medewerkers bewust.

Uw medewerkers zijn zich niet bewust van de gevolgen als je zomaar overal op klikt of elke bijlage van een e-mail zonder na te denken opent. Daarom is phishing zo gevaarlijk. Om het risico te verlagen om slachtoffer te worden van een phishing aanval moet u ervoor zorgen dat uw medewerkers zich bewust zijn van deze dreiging en van de gevolgen als je erin trapt.

Doe een nulmeting

Met een nulmeting kan bepaald worden hoe gevoelig de organisatie is voor phishing.
Er wordt gemeten hoeveel procent van de medewerkers klikt op een phishing e-mail die de organisatie in gestuurd wordt. Een nulmeting levert belangrijke en zeer gedetailleerde informatie op. Een hoog percentage betekent een hoog risico om slachtoffer te worden van cybercriminaliteit. Pas wanneer u het risico in kaart hebt kunt u de juiste maatregelen nemen. Sebyde biedt bedrijven een gratis phishing test aan. Uit de rapportage blijkt hoeveel procent van uw medewerkers hebben geklikt op foute links.

Train uw medewerkers

Medewerkers van een bedrijf of organisatie dienen bewust te zijn van de gevaren.
Ze meten weten hoe ze hiermee om moeten gaan en wat ze moeten doen als ze een phishing e-mail ontvangen. Belangrijk om je te realiseren is dat je niet alleen op het werk blootstaat aan deze gevaren maar ook thuis. Een medewerker die thuis een phishing e-mail ontvangt (op de telefoon of tablet) zit de volgende dag met datzelfde apparaat weer op het bedrijfsnetwerk. Goede awareness-training is dus van belang. Bij goede training wordt het programma afgestemd op de situatie van het bedrijf in kwestie. Welke security- en privacy-procedures zijn er reeds in gebruik? Wat zijn uw kroonjuwelen? Bestaan er richtlijnen over de omgang et ICT-middelen en bedrijfsinformatie? Afhankelijk van uw bedrijfssituatie wordt de informatie klassikaal of online aangeboden. Een combinatie hiervan (blended learning) is ook mogelijk.

Test uw medewerkers voortdurend

Regelmatige phishing-testen laten zien wat het effect is van een awareness-training en/of een security awareness programma. Met een abonnement kun je met grote regelmaat phishing testen uitvoeren. De resultaten van deze testen bepalen welke maatregelen genomen moeten worden. Dit abonnement verschaft belangrijke informatie over de gevoeligheid van de organisatie voor phishing en de kwetsbaarheden.

Voordurend testen

Sebyde beschikt over een testplatform waarmee u voortdurend uw medewerkers bewust en alert kan houden, lees meer