Zit het grootste IT-beveiligingsrisico tussen toetsenbord en bureaustoel?

Afgelopen week werd bekend dat verschillende Nederlandse bedrijven getroffen zijn door geavanceerde gijzelsoftware. Dit stond in een vertrouwelijk rapport afkomstig van het Nationaal Cyber Security Centrum (NCSC) dat in handen is van de NOS.

Woordvoerder Anna Sophia Posthumus van het NCSC benadrukt in een interview met nu.nl dat bedrijven zelf meer moeten doen om hun beveiliging op orde te krijgen. “Zorg ervoor dat je als bedrijf regelmatig updates draait en personeel bewust maakt van de dreiging. Veel ransomware komt binnen via phishing in de mail.”

“Je beveiliging is zo sterk als de zwakste schakel in een bedrijf.”

Wanneer we een voorstelling maken van de zwakste schakel op het gebied van IT, gaan we al snel denken aan technische aspecten. Maar stel dat deze technische aspecten volledig op orde zijn, is dan het gewenste niveau bereikt? Kunnen we namelijk nog wel vertrouwen op het actueel zijn van deze techniek in het steeds geavanceerder wordende kat-en-muisspelletje met cybercriminaliteit?

In het vertrouwelijke rapport van de NCSC staat dat vermoed wordt dat de aanvallers ‘zeroday’ kwetsbaarheden hebben gebruikt. Deze zeroday kwetsbaarheden zijn zeer effectief, omdat deze nog niet bekend zijn bij de leveranciers waarop de kwetsbaarheden betrekking hebben. Hierdoor bestaat een zeer grote kans dat je als aanvaller de betreffende kwetsbaarheid kunt misbruiken. In deze situatie was het actueel zijn van de techniek dus niet voldoende.

Beveiligingsbewustzijn

Wanneer u door middel van bijvoorbeeld een kwetsbaarhedenscan de technische beveiliging van uw organisatie op orde brengt, zet u in onze beleving al een stap in de juiste richting. Echter, een steeds belangrijker onderdeel van de IT-security bestaat uit u en uw collega’s. Als u zorgt voor een hoog beveiligingsbewustzijn bij uw medewerkers, creëert u een goede eerste beveiligingsdrempel voor dit soort phishingmails met malware.

Wat kunt u doen?

  1. Werk aan het beveiligingsbewustzijn van uw medewerkers. Wilt u weten wat het huidige beveiligingsbewustzijnsniveau is van uw organisatie? Dat kan! Wij kunnen dit niveau onder meer begeleiden met een security awareness campagne. Een van de onderdelen hierin is een door ons geregisseerde phishingcampagne. Wordt de phishingmail herkend of worden misschien zelfs gegevens achtergelaten? De phishingcampagne is bedoeld om het huidige niveau van bewustzijn te meten en medewerkers te helpen om pogingen tot phishing in de toekomst te herkennen. Ook kan dit handvatten bieden de stappen te identificeren die nodig zijn, wanneer je slachtoffer van phishing bent.
  2. Software tijdig updaten! Niet alleen besturingssystemen, zoals Windows, maar ook alle applicaties die u gebruikt in uw bedrijfsvoering, moeten worden geüpdatet. Daarnaast is het zaak inzicht te krijgen in de kwetsbaarheden in uw systemen en dit continu te monitoren. Wij kunnen u hierbij begeleiden door middel van onze securityscan.

 

Joanknecht IT-services helpt u verder

Joanknecht helpt al jaren veel bedrijven bij het inzichtelijk krijgen van kwetsbaarheden met een securityscan. Hiermee identificeren we ontbrekende updates en andere kwetsbaarheden binnen uw netwerk. Naast deze technische insteek helpen we u nu ook met het in kaart brengen van misschien wel het grootste IT-risico binnen uw organisatie: de mens.

Contact

Wilt u meer weten over de phishingcampagne of de securityscan? Neem contact op met Lucas Vousten, partner IT-audit, per e-mail of per telefoon op +31 (0)40 240 9516 of met Jeroen Vervoort, IT-auditor, per e-mail of per telefoon op +31 (0)40 240 9494.