Alert op phishing – informatiebeveiliging

PhishingPhishing kan serieuze risico’s met zich meebrengen als niet de juiste beveiligingsmaatregelen zijn toegepast. Een onderdeel hiervan is ‘Het voorzien in bewustzijnstraining om risico’s te verkleinen’ (ISO 27001: A7.2.2 uit de verklaring van toepasselijkheid). In dit artikel bewustwording rondom Phishing.

Phishing is het ‘vissen of hengelen’ naar informatie van een slachtoffer. Cyber criminelen maken informatie buit om hier voordeel uit te halen. Informatie heeft al snel méér waarde dan op het eerste gezicht lijkt. Hoeveel ben jij bereid te betalen als al je bedrijfsgegevens buitgemaakt en encrypt zijn? Hoeveel kost het jouw bedrijf als de servers voor enkele uren niet bereikbaar zijn? Wat kost het je als cybercriminelen de data van je klanten openbaar maken? Vergeet hierin niet je imagoschade mee te tellen!

Phishing is een manier om informatie buit te maken en dit gebeurt dikwijls door het plaatsen van malware ofwel ransomware. Als de cybercriminelen de data hebben kunnen ze dit oneigenlijk gebruiken of ontoegankelijk maken (versleutelen ofwel encrypten). Het gevolg is vaak dat losgeld wordt gevraagd om de informatie weer vrij te geven. En nee, helaas zijn niet alleen grote bedrijven slachtoffer. Wij komen het regelmatig tegen dat zelfs eenmanszaken slachtoffer worden van deze praktijken. Voorkomen is beter dan genezen. Als je gegevens buit gemaakt zijn, heb je geen grip meer waar deze gegevens zijn en wat hiermee gedaan wordt.

Het weren tegen phishingaanvallen is niet in één oplossing te gieten. Je moet het zogenoemde: ‘defence in depth’ toepassen. Door verschillende lagen van beveiligingsmaatregelen wordt de kans en/of gevolg kleiner gemaakt. Het begint met awareness en tijdig doorvoeren van updates, zorg daarnaast voor goede end-point security of anti-virus software. Om schade van verlies te beperken zorg je voor een betrouwbare (off-site en liefst zelfs offline) back-up.

Phishing kun je herkennen door ‘slecht’ taalgebruik, vreemde teksten, een niet kloppend e-mailadres of de hyperlink re-direct naar een website die niet matcht met de afzender. Krijg je een e-mail of ander tekstbericht van je bank waarin om je persoonsgegevens of inloggegevens wordt gevraagd, dan moeten de alarmbellen gaan rinkelen. De bank zal nooit informatie vragen via een email of SMS. Wordt er gevraagd om persoonlijke gegevens? Wachtwoorden? Laat dan altijd de IT/security officer binnen jouw bedrijf meekijken of overleg met een van onze adviseurs.

Een goede awareness-training is een phishing-test. Er zijn verschillende platforms die een dergelijke test aanbieden. Eén van deze aanbieders is www.infosecinstitute.com Zij hebben duidelijke en gratis templates, uiteraard bedoeld om te verleiden een premium account aan te schaffen (lees zelf de privacy policy, wij nemen geen verantwoordelijkheid voor eventuele gevolgen van deze externe dienst). Na het doorlopen van de stappen wordt direct inzichtelijk welke medewerkers in de phishing-mail zijn getrapt. De medewerker die op de link klikt wordt doorgeleid naar de website van Infosec waar een leerzame trainingsvideo klaar staat.

Veel succes deze awareness invulling te geven. Neem vrijblijvend contact op met jouw aanspreekpunt binnen Van Voorst Consult om meer te weten te komen over onze IT-diensten waaronder ISO 27001-certificering, AVG-compliance of awareness-training voor uw medewerkers.