FERMPIE: “Breng ze de beginselen van cyberhygiëne bij en zorg dat de basis in orde is!”

Cybercriminaliteit

Cybercriminaliteit blijft onverminderd toenemen, en ook jouw organisatie is doelwit. Zo simpel is het. We zetten voor de dagelijkse praktijk namelijk meer en meer in op de voordelen van digitalisering, en daarmee neemt ook het risico op cybercrime toe. Met name de kleinere organisaties hebben niet altijd de kennis en kunde in huis om hun cyberveiligheid op orde te krijgen. Met deze 10 tips helpen we alvast met de basis – de cyberhygiëne.

Cyberhygiëne

In de dagelijkse omgang met informatie en dús in de bescherming daarvan spelen mensen de voornaamste rol. Juist de mens heeft daarom een cruciale rol in de cyberhygiëne van een bedrijf. Zie je medewerkers daarom niet als zwakste schakel, maar als bepalende factor in de informatiebeveiliging. En zet niet alleen in op techniek en processen zitten, maar juist ook op het creëren van een veiligheidscultuur

Hoe ga je om met de screening van medewerkers, hoe signaleer je mogelijke problematiek bij medewerkers of hoe zorg je dat zij zich bewust zijn dat zij ook doelwit kunnen zijn van criminelen?

“Wanneer we het hebben over ‘cyberhygiëne’, dan praten we over dezelfde basishygiëne die we zo gewoon vinden in ons dagelijks leven. Handen wassen, de keuken schoonhouden, etenswaren in de koelkast bewaren – et cetera. ‘Hygiëne’ is een verzamelnaam voor alle handelingen die ervoor zorgen dat je zo min mogelijk in aanraking komt met ziekteverwekkers.”

“Cyberhygiëne is het vrijhouden van netwerken en systemen van infecties en vermijden van besmettingshaarden. Het zijn de absolute basismaatregelen voor cyberweerbaarheid.”

FERMPIE

Cyberhygiëne gaat verder dan security awareness, het bewustzijn over veiligheid. Security awareness is de mate waarin mensen risico’s herkennen en zich ervan bewust zijn dat deze de veiligheid van informatie in gevaar kunnen brengen. Welke gegevens verwerken we, hoe kwetsbaar en waardevol is die informatie – en vooral, hoe kunnen we daar voorzichtiger mee omgaan?

Cyberhygiëne gaat over de vólgende stap: informatieveilig gedrag.

Onze tips over cyberveilig gedrag zijn de absolute basis om jouw organisatie te beschermen tegen actuele digitale dreigingen, als fundament voor effectieve cyberweerbaarheid. Daarnaast adviseren we je om je proactief voor te bereiden op incidenten en in gesprek te gaan met andere partijen in de keten. Ondernemers die de basisregels opvolgen, vergroten hun weerbaarheid tegen cyberrisico’s die de bedrijfsvoering kunnen verstoren. En daarmee de cyberweerbaarheid in de keten. Want samen staan we FERM.

  1. Inventariseer je kwetsbaarheden

Inventariseer de ICT-onderdelen, kwetsbaarheden en maak een risicoanalyse. Bij risico’s kijk je naar beschikbaarheid, integriteit en vertrouwelijkheid. Een belangrijk actiepunt is om te identificeren wat je in huis hebt en wat de kwetsbaarheden zijn binnen jouw bedrijf. Breng ook de technische afhankelijkheid van leveranciers in kaart. Een inventarisatie dwingt je ook na te denken over wat te doen in het geval van cyberincidenten en helpt bij het opstellen van een noodplan.

Om te inventariseren hoe kwetsbaar je bent bij een aanval, kunnen deze vragen helpen:

Beschikbaarheid – hoe erg is het dat een systeem het niet meer doet?
Integriteit – hoe erg is het dat bepaalde gegevens niet juist zijn?
Vertrouwelijkheid – hoe erg is het dat gegevens naar buiten lekken? 

  1. Kies veilige instellingen

Controleer de instellingen van apparatuur, software en al je netwerk- en internet-verbindingen. Pas standaardinstellingen aan en wees kritisch op functies en diensten die automatisch ‘aan’ staan.

Leveranciers van apparatuur en software kiezen vaak standaardinstellingen. Ook staan vaak standaard alle instellingen op ‘aan’. Voor het snel en eenvoudig installeren van nieuwe spullen of het krijgen van internettoegang is dit erg handig. Maar als ondernemer ben je erg kwetsbaar voor cyberdreigingen als je deze instellingen vanaf het eerste gebruik niet wijzigt. Je zet dan de deur open voor onbevoegden.

  1. Pas op voor nepmails

De schrik slaat je om het hart. Een mailtje van de bank: ‘Er is een blokkade op uw account gezet. Klik snel op deze link om je gegevens te verifiëren’. Consumenten én organisaties zijn geregeld doelwit van een dergelijk bericht. Niets is namelijk zo populair bij cybercriminelen als ‘phishing’: het op listige wijze hengelen naar gegevens, bijvoorbeeld door een opvallend mailtje dat je verleidt om aan te klikken. Zo’n mailtje is voorzien van gevaarlijke linkjes of bestanden. Wie erop klikt of een bijlage opent, haalt een virus binnen waarmee hackers je account, bestanden of zelfs je computer compleet overnemen.

Onbeholpen pogingen herkennen we inmiddels wel. De beruchte Nigeriaanse prins die een berichtje stuurt omdat er 100.000 euro op je ligt te wachten, zal weinig succes meer hebben. Maar oplichters staan niet stil, waardoor nepmails soms nauwelijks van echt te onderscheiden zijn. Ze lijken afkomstig van betrouwbare bronnen en weten je met autoriteit, noodzaak en urgentie (‘reageer snel!’) te bespelen. Maar een bank of verzekeraar zal via deze weg nooit naar je pincode, rekening of creditcardnummer vragen. Deel deze gegevens daarom nooit en neem bij twijfel rechtstreeks contact op.

  1. Installeer software updates en patches

Iedereen kent die aanhoudende meldingen op je laptop of telefoon. Weer een app die om aandacht zeurt: ‘Er is een update beschikbaar’. Vervelend? Besef dan wel dat het vaak gaat om cruciale beveiligingsupdates. De nieuwste versie van de software is er niet alleen om het gebruiksgemak te verbeteren, maar ook om een lek in de beveiliging te dichten. Voer die update dus toch maar uit wanneer er weer zo’n melding binnenkomt, liefst zo snel mogelijk.

Kijk goed wat je doet. Wanneer je een update installeert, klik je vaak op ‘next’, ‘next’, ‘next’ totdat er ‘finish’ staat. Check bij al die stappen of je de juiste vinkjes zet. Software staat namelijk standaard ‘open’, het is aan jezelf om er de juiste sloten op te zetten. Dat vergt dus enige aandacht en geduld. Per stapje moet je even lezen waar je akkoord op geeft.

Controleer of apparaten en software up-to-date zijn. Installeer beveiligingsupdates direct. Schakel automatische updates in zodat je apparaten en software voortaan altijd draaien op de laatste versie. Producenten van apparaten en software zijn doorlopend bezig om hun producten door te ontwikkelen. Door middel van updates komen de nieuwste functionaliteiten bij de eindgebruikers terecht. Ontdekte kwetsbaarheden of een betere beveiliging worden ook via updates aangeboden. Installeer dus in elk geval altijd direct de meest recente beveiligingsupdates zodat je zo goed als mogelijk beveiligd bent.

  1. Beperk toegang tot data en diensten

Geef medewerkers alleen toegang tot de data en systemen die nodig zijn voor het uitvoeren van hun taken. Dat geldt zowel voor accounts als voor fysieke toegang. Het beperkt namelijk de handelingen die een aanvaller kan uitvoeren indien deze zich toegang verschaft. Ook beperkt het de gevolgen van eventuele fouten van gebruikers.

Beperk ook de toegang van serviceaccounts, machine-accounts en functionele accounts tot het noodzakelijke. Op rollen gebaseerde toegangscontrole kan het beheer van rechten makkelijker maken. Het toebedelen van minimale rechten wordt ook wel het principle of least privilege genoemd. Limiteer daarom het gebruik van beheerrechten.

Zorg daarnaast dat toegang tot data en diensten persoonsgebonden is waarbij elke medewerker een eigen gebruikersaccount heeft. Verander standaardwachtwoorden van apparatuur en systemen bij installatie of ingebruikname. Zorg dat er processen zijn voor in- en uitdiensttreding en interne doorstroming van medewerkers. Geef nieuwe medewerkers alleen toegang tot de middelen die ze nodig hebben. Ontneem accounts van vertrekkende medewerkers direct toegang tot data en systemen. Verwijder ongebruikte accounts. Deactiveer serviceaccounts, en activeer deze alleen wanneer onderhoud plaatsvindt.

Bepaal per medewerker tot welke systemen en data toegang vereist is om te kunnen werken. Zorg dat toegangsrechten worden aangepast als iemand een nieuwe functie krijgt of bij de onderneming vertrekt. Om de kans op ongelukken en misbruik zo klein mogelijk te maken, is het belangrijk dat iedereen binnen en buiten de onderneming alleen toegang heeft tot de systemen die passen bij de werkzaamheden en de periode waarvoor toegang nodig is. Uitgebreide toegangsrechten moeten alleen worden gegeven voor wie dit nodig is.

  1. Gebruik sterke wachtwoorden én meerfactorauthenticatie

Facebook, Netflix, Amazon en Bol.com: we hebben steeds meer online accounts, waardoor het lastig is om iedere keer opnieuw een goed wachtwoord te bedenken. En dan hebben we het nog niet over al je zakelijke accounts. Niet voor niets prijken er in toplijstjes van veel gebruikte varianten nog altijd parels als ‘123456’, ‘qwerty’ en zelfs ‘password’. Maar wat is nu een goed wachtwoord?

Een vuistregel is: maak je wachtwoord uniek. Dat betekent niet alleen ‘geen 123456’, maar ook dat je voor ieder account een apart wachtwoord bedenkt. Want gebruik je voor alles hetzelfde, dan heeft iemand die het vindt of kraakt overal toegang.

Daarnaast geldt hoe meer tekens, hoe beter. Het advies is om hoofd- en kleine letters, cijfers en speciale tekens door elkaar heen te gebruiken, maar dat hoeft heus niet complex te zijn, zoals ‘Sv&$2_**@HdF’. Sterker nog, drie willekeurige woorden of een kort zinnetje zijn minstens zo slim. ‘koekenpan-SPEEN-kinderfiets’: 27 karakters, nagenoeg onkraakbaar. Als je het tenminste aan niemand vertelt.

Paswoorden zelf onthouden is wel zo handig, maar dat kun je ook aan wachtwoordmanager overlaten: met veilige hulpmiddelen zoals KeePass voor Windows en 1Password voor Apple.

Pas daarnaast meerfactorauthenticatie of MFA toe bij accounts die vanaf het internet bereikbaar zijn, accounts die beheerrechten hebben en accounts op essentiële systemen.

MFA voorkomt dat een aanvaller toegang tot een account verkrijgt door het wachtwoord te raden of te achterhalen. Deze wachtwoorden kan een aanvaller bijvoorbeeld verkrijgen door een phishingaanval uit te voeren. Een factor is een middel waarmee een gebruiker zich aanmeldt. Factoren worden ingedeeld in drie categorieën: iets dat u weet (bijvoorbeeld een wachtwoord), iets dat u heeft (bijvoorbeeld een token) of iets dat u bent (bijvoorbeeld een vingerafdruk). Logt u in met factoren uit minimaal twee van deze categorieën, dan spreken we van MFA. Het gebruik van exact twee factoren wordt ook wel tweefactorauthenticatie genoemd. Voorbeelden van MFA zijn een wachtwoord in combinatie met een token of gebruik van een vingerafdruk in combinatie met een eenmalige code.

  1. Voorkom virussen en andere malware

Malware is kwaadaardige software die computersystemen verstoort, informatie verzamelt of versleutelt. Er zijn verschillende manieren waarop malware toegang krijgt tot een computer, smartphone of netwerk. Een gebruiker kan een geïnfecteerde e-mail of bijlage openen, een foute website bezoeken of een besmet bestand via bijvoorbeeld een USB-stick openen. Zodra de malware binnen is, infecteert het de software waar het naar op zoek is en verspreidt zichzelf daarna als een olievlek naar andere apparaten of gebruikers.

Er zijn 4 manieren om malware te voorkomen:

Stimuleer veilig gedrag van medewerkers
Gebruik een antivirusprogramma
Download apps veilig
Beperk de installatiemogelijkheden van software

  1. Vermijd openbare wifi

We speuren graag naar bordjes met ‘Free wifi’, maar dat kunnen we beter afleren. Van wachtwoorden tot privéberichten en persoonlijke gegevens, alles op je laptop of smartphone is vogelvrij op openbare wifi. Dat komt omdat hackers relatief eenvoudig af kunnen kijken bij andere verbindingen binnen hetzelfde onbeveiligde netwerk. Er is daarom nog één onderdeel van ons internetgedrag dat aandacht verdient: de verbinding. Even inprikken op ‘WiFi in de trein’ is af te raden en hetzelfde geldt voor openbare netwerken in horecagelegenheden. Vertrouw liever op de internetverbinding van je telefoon.

De grootste invloed op online veiligheid is uiteindelijk je gezonde verstand. Als een mailtje, berichtje of telefoontje niet helemaal lekker voelt, dan is dat waarschijnlijk terecht. Te mooi om waar te zijn is vaak inderdaad te mooi om waar te zijn: het zijn vooral de iets té aantrekkelijke deals waarmee ze je proberen te verleiden. Gebruik op internet dezelfde waakzaamheid als op straat.

  1. Segmenteer je netwerk en maak back-ups

Het segmenteren van je netwerk beperkt de gevolgen van een aanval. Segmenteren betekent dat een netwerk in meerdere zones wordt verdeeld. Netwerksegmentatie voorkomt dat een virus of aanvaller zich kan verspreiden in het gehele netwerk. Afhankelijk van de wijze van implementatie is netwerksegmentatie een maatregel die de gevolgen van ransomware-aanvallen of DDoSaanvallen beperkt.

Denk bij het segmenteren van netwerken na over hoe deze zones ingedeeld en verbonden zijn. Je kunt bijvoorbeeld zones definiëren met behulp van firewalls, access control lists (ACL’s) en datadiodes. Je kunt er ook voor kiezen een netwerk alleen fysiek benaderbaar te maken, een zogeheten air-gapped netwerk. Zorg in ieder geval dat kritieke systemen in een eigen netwerkzone geplaatst zijn. Hanteer het uitgangspunt dat netwerkverkeer in het algemeen niet toegestaan is en voeg vervolgens specifieke firewallregels toe voor verkeer dat wel nodig is. Als je netwerkverkeer al te rigoureus blokkeert, kan dat zorgen voor verstoringen in de dagelijkse bedrijfsvoering. Dat kun je voorkomen door eerst het netwerkverkeer te monitoren om te bepalen welke informatiestromen nodig zijn, en daarna pas netwerkverkeer te blokkeren.

Het maken en testen van back-ups is essentieel als data en systemen zijn aangetast en hersteld moeten worden. Bedenk van welke data back-ups noodzakelijk zijn en hoelang u deze moet bewaren. Test met regelmaat het terugzetten van back-ups zodat je zeker weet dat de bedrijfsvoering bij dataverlies maar beperkt wordt verstoord.

De 3-2-1 regel kan helpen bij de inrichting van uw back-upproces. Deze regel houdt in dat je drie versies hebt van alle data (de productiedata en twee back-ups) op twee verschillende media (bijvoorbeeld verschillende fysieke harde schijven) met één kopie op een andere locatie voor noodherstel (bijvoorbeeld fysiek). Door back-ups op een andere locatie op te slaan kun je, indien bijvoorbeeld ransomware je bedrijfsnetwerk heeft versleuteld, deze systemen herstellen. Beperk de toegang tot de back-ups. Denk hierbij aan de toegangsrechten, maar overweeg ook het versleutelen van de back-ups zelf.

  1. Weet waar je moet zijn als het misgaat

Organisaties staan er in het geval van een incident, of een dreigend incident, niet alleen voor. Er zijn meerdere partijen en publieke partners die je bij dergelijke situaties kunnen ondersteunen. Weet ze daarom te vinden! In een overzicht op de FERM-website vind je de algemene informatie voor alle Nederlandse bedrijven. En daarnaast is er natuurlijk specifiek voor het Rotterdamse havengebied het Haven Cybermeldpunt.