Er wordt vaak gezegd dat mensen de zwakste schakel in de beveiliging vormen. Helaas is dit aloude adagio in 2018 nog altijd volop van kracht. Vrijwel geen enkel bedrijf is tegenwoordig nog veilig voor cyberaanvallen. Werknemers bieden cybercriminelen allerlei kansen om toegang te krijgen tot gevoelige informatie. En daarmee faciliteren ze bedrijfsspionage, gegevensdiefstal en sabotage. Hieronder volgt een overzicht van tien valkuilen waar veel werknemers intrappen:
De gevonden USB-stick
In het kader van een beveiligingsonderzoek werden 300 USB-sticks op openbare locaties achtergelaten. Het doel was om te kijken wat er met deze ‘verloren’ gegevensdragers zou gebeuren. Bijna alle USB-sticks werden door de vinders meegenomen. En in 45 procent van alle gevallen openden die een bestand dat op de stick was opgeslagen. Cybercriminelen kunnen USB-sticks voorzien van geïnfecteerde bestanden. Als die worden geopend, kunnen ze naar data en wachtwoorden zoeken of misbruik maken van nog onbekende kwetsbaarheden. Met een aanvalstechniek genaamd HID-spoofing kunnen ze er zelfs voor zorgen dat een aangesloten USB-stick zichzelf uitgeeft als toetsenbord en de computer vervolgens opdrachten geeft op basis van gesimuleerde toetsenbordaanslagen.
De lucratieve verkoop van bedrijfsgegevens
Iedereen die ooit bij een research & development-afdeling heeft gewerkt kent de waarde van bedrijfsgegevens. Er valt een hoop geld te verdienen aan de illegale verkoop van blauwdrukken, recepturen, ontwerpen en andere handelsgeheimen aan concurrenten. Een ontevreden medewerker met voldoende criminele neigingen kan met goedgekeurde tools voor gegevensuitwisseling zijn werkgever naar de rand van de afgrond brengen.
Klantgegevens stelen bij de overstap naar een concurrent
In sommige sectoren lijkt het een standaardpraktijk om gevoelige klantgegevens mee te nemen naar de nieuwe werkgever. We kennen allemaal die ene verkoopmedewerker die door een concurrent werd aangetrokken en vervolgens al onze bestaande klanten begon te bellen.
De veiligheid opofferen aan gebruiksgemak
Na het installeren van de laatste Windows-updates of een virusscanner kan een computer trager presteren. Werknemers die het niet zo nauw nemen met de beveiliging, geven er de voorkeur aan om dit soort processen volledig te vermijden. Als het mogelijk is om beveiligingsupdates of virusscanners te deactiveren, zullen ze dat niet nalaten, met alle gevolgen van dien voor de bedrijfsbrede IT-beveiliging.
CEO-fraude
Bij CEO-fraude doen cybercriminelen zich voor als de directeur van het bedrijf. Ze bellen of mailen een werknemer en vragen die om een grote som geld over te maken naar een buitenlandse rekening. Vaak worden werknemers hierdoor verrast. Door hun verwarring laten zij zich meevoeren door de autoriteit van de ander en keuren ze de transactie goed. Deze oplichtingstruc (scam) kan bedrijven voor miljoenen euro’s aan schade berokkenen en kan ook ernstige gevolgen hebben voor de werknemer die zich om de tuin liet leiden.
Onbeschermde downloads en streams
Vrijwel elke werknemer heeft tegenwoordig direct toegang tot het internet. Ondanks de voortdurende verbetering van zakelijke systemen voor IT-beveiliging en internetfilters slagen technisch onderlegde werknemers er keer op keer in om de beschermingsmechanismen te omzeilen, zodat ze toegang krijgen tot onveilige online content.
Beveiligingsincidenten verdoezelen
40 procent van alle werknemers veegt beveiligingsincidenten onder het tapijt. Dit blijkt uit onderzoek door Kaspersky en B2B International onder 5.000 bedrijven in alle delen van de wereld. Dat gaat om beveiligingsincidenten zoals scams en malware-aanvallen. Maar als een getroffen werknemer een incident doodzwijgt, kan de kwaadaardige code zich onverstoord een weg door het bedrijfsnetwerk banen.
BYOD
Persoonlijk noem ik BYOD “Bring your Own Devil “. Van het ene moment op het andere vinden gevoelige bedrijfsgegevens hun weg naar smartphones die het privébezit zijn van werknemers waarop geen sprake is van consistente apparaatbeveiliging. Het verlies van mobiele apparaten vertegenwoordigt eveneens een groot risico. Volgens onderzoek is meer dan de helft van alle beveiligingsincidenten bij bedrijven het gevolg van het verlies van mobiele apparatuur.
Spam/phishing
De meest klassieke kwetsbaarheid op het gebied van IT-beveiliging heeft niets aan populariteit ingeboet. Onbezonnen klikgedrag, nieuwsgierigheid naar bijlagen bij mailtjes van onbekende afzenders en het invoeren van gevoelige informatie in velden die daar niet voor bestemd zijn bezorgen het bedrijfsleven een jaarlijkse kostenpost van miljarden euro’s.
Hou je CEO in de smiezen
Ja, dat lees je goed! Je CEO is geen haar beter dan de rest van het personeel. Volgens schattingen van de FBI maakten cybercriminelen de afgelopen drie jaar maar liefst 2,3 miljard dollar buit met oplichtingstrucs die op directieleden waren gericht. Veel CEO’s denken dat ze hierboven verheven zijn. Ze weigeren gebruik te maken van beveiligingssoftware en denken dat hen zoiets nooit zou overkomen.
Toch is er geen reden om de hoop op een veilige IT-omgeving op te geven. Aan veel van deze kwetsbaarheden kan iets worden gedaan, en het is altijd mogelijk om de kennis van data en IT-systemen van je collega’s op te vijzelen.
Dit is een ingezonden bijdrage van Paessler. Via deze link vind je 13 tips om medewerkers IT-security beter te laten begrijpen.
8 uur geleden
