Alert op phishing – informatiebeveiliging

Phishing kan serieuze risico’s met zich meebrengen als niet de juiste beveiligingsmaatregelen zijn toegepast. Een onderdeel hiervan is ‘Het voorzien in bewustzijnstraining om risico’s te verkleinen’ (ISO 27001: A7.2.2 uit de verklaring van toepasselijkheid). In dit artikel bewustwording rondom Phishing.

Phishing is het ‘vissen of hengelen’ naar informatie van een slachtoffer. Cyber criminelen maken informatie buit om hier voordeel uit te halen. Informatie heeft al snel méér waarde dan op het eerste gezicht lijkt. Hoeveel ben jij bereid te betalen als al je bedrijfsgegevens buitgemaakt en encrypt zijn? Hoeveel kost het jouw bedrijf als de servers voor enkele uren niet bereikbaar zijn? Wat kost het je als cybercriminelen de data van je klanten openbaar maken? Vergeet hierin niet je imagoschade mee te tellen!

Phishing is dus een manier om informatie buit te maken en dit gebeurt dikwijls door het plaatsen van malware. Als malware is geplaatst kunnen de cybercriminelen de data oneigenlijk gebruiken of ontoegankelijk maken (versleutelen ofwel encrypten) en losgeld vragen om de informatie weer vrij te geven. In dit geval wordt de malware, ransomware genoemd. En nee, helaas zijn niet alleen grote bedrijven slachtoffer. Wij komen het regelmatig tegen dat zelfs eenmanszaken slachtoffer worden van deze praktijken.Phishing - Van Voorst Consult

Voorkomen is beter dan genezen en dat spreekwoord mag best letterlijk genomen worden want als je gegevens buit gemaakt zijn, heb je geen grip meer waar deze gegevens zijn en wat hiermee gedaan wordt.
Het weren tegen phishingaanvallen is niet in één oplossing te gieten. Je moet het zogenoemde: ‘defence in depth’ toepassen. Door verschillende lagen van beveiligingsmaatregelen wordt de kans en/of gevolg steeds iets kleiner. Het begint met awareness en tijdig doorvoeren van updates, zorg daarnaast voor goede end-point security of anti-virus software. Om schade van verlies te beperken zorg je voor een betrouwbare (offline) back-up.

Phishing kun je herkennen door ‘slecht’ taalgebruik, vreemde teksten, een niet kloppend e-mailadres of de hyperlink re-direct naar een website die niet matcht met de afzender. Krijg je een e-mail of ander tekstbericht van je bank waarin om je persoonsgegevens of inloggegevens wordt gevraagd, dan moeten de alarmbellen gaan rinkelen. De bank zal jou nooit informatie vragen via een email of SMS. Wordt er gevraagd om persoonlijke gegevens? Wachtwoorden? Laat dan altijd de IT/security officer binnen jouw bedrijf meekijken of overleg met een van onze adviseurs.

Het trainen van awareness kan je vormgeven via een phishing-test. Er zijn verschillende platforms die een dergelijke test aanbieden. Eén van deze aanbieders is www.infosecinstitute.com Zij hebben duidelijke en gratis templates, uiteraard bedoeld om te verleiden voor een premium account. Na het doorlopen van de stappen wordt direct inzichtelijk welke medewerkers in de phishing-mail zijn getrapt. De medewerker die op de link klikt wordt doorgeleid naar de website van Infosec waar een leerzame trainingsvideo klaar staat.

Veel succes deze awareness invulling te geven. Neem vrijblijvend contact op met jouw aanspreekpunt binnen Van Voorst Consult om meer te weten te komen over de IT-diensten die wij aanbieden.