RPCNH
RPCNH

75% ondernemers onbewust onbekwaam op het gebied van cybersecurity

  Cybercrime

Interview met Ernst Bouwman van Infosequre

In het kader van de landelijke mkb phishingtest spreken we met Managing Director Ernst Bouwman van Infosequre. Infosequre is specialist in informatiebeveiliging en phishingtests. Dat preventieve maatregelen tegen cybercrime noodzakelijk zijn, blijkt onomstotelijk uit de resultaten van de tests die bij zowel nationale als internationale organisaties zijn ingezet. Cybercriminelen worden steeds creatiever en professioneler. Ook zien we een negatief effect door Corona: het aantal 'succesvolle' aanvallen is enorm gestegen sinds mensen remote zijn gaan werken. ‘Thuiswerkers klikken blijkbaar makkelijker op een “foute link”’, aldus Bouwman.

Bij de start van Infosequre in 1999 waren slechts de allergrootste corporate bedrijven ter wereld bezig met informatiebeveiliging. Voor het mkb was cybercrime nog een ver-van-mijn-bed-show. Inmiddels hebben cybercriminelen ook de weg naar het mkb gevonden en ben je zelfs als zzp'er niet gevrijwaard van cyberrisico’s. Bouwman benadrukt dat geen enkel bedrijf 100% veilig is. Maar met een continu bewustzijn van de risico’s kunnen veel problemen voorkomen worden. 

“In de waan van de dag vallen phishingmails vaak niet op”


Bouwman wordt door zijn werk regelmatig geconfronteerd met verhalen van ondernemers die geld hebben overgemaakt als gevolg van CEO-fraude of om dreiging van het compleet platleggen van de operatie te voorkomen. Bij de eerste variant speelt social engineering - de aanval op de mens - een belangrijke rol. “Criminelen doen eerst grondig onderzoek en gebruiken relevante informatie, mailadressen en url’s die sterk lijken op gebruikte adressen. Ze kopiëren bovendien de taal van de contactpersonen. En in de waan van de dag vallen kleine verschillen vaak niet op. Een ‘m’ in een mailadres lijkt sterk op de combinatie ‘rn’ bijvoorbeeld.

'Wij zetten in onze tests dezelfde technieken in als cybercriminelen gebruiken. Hierdoor is het goed zichtbaar en meetbaar welke risico's de organisatie loopt bij een professionele aanval. Met een gemiddelde test klikt één op de vier werknemers op een potentieel gevaarlijke link. Bij intensieve testen loopt de score soms zelfs op naar 75%, benadrukt Bouwman. ‘Het blijkt dus niet zo eenvoudig te zijn om dagelijks scherp te zijn én te blijven op veilig werken. Ook bij werknemers die ooit een training hebben gevolgd, dreigt het nog wel eens mis te gaan.’

‘Ons advies is dan ook om naast het inzetten van een goede training ook regelmatig te blijven toetsen of de medewerkers voldoende bewapend zijn om cyberaanvallen af te wenden. Uit onderzoek blijkt dat 90 dagen na de eerste phishing simulatie en tussentijdse training het percentage “slachtoffers” met 23% is gedaald. Getrainde medewerkers staan “aan” en bepaalde signalen worden eerder herkend. Aanbiedingen die “too good to be true” zijn bijvoorbeeld of kleine afwijkingen in de tone of voice. Urgentie zorgt er vaak voor dat men afwijkt van bestaande procedures. Net zoals bij brand. Na de digitale brandoefeningen is dit echter veel minder het geval en worden dus verstandige beslissingen genomen.’

De phishingtests zijn geschikt voor organisaties die hun continuïteit willen waarborgen. ‘Het is absoluut niet de bedoeling dat werknemers worden afgerekend op hun gedrag’, benadrukt de Managing Director van Infosequre. ‘De tests worden anoniem afgenomen en de resultaten worden anoniem gedeeld. Een werknemer die op de foute link klikt, komt op een landingspagina waarop positief stimulerend wordt uitgelegd wat er misging.’ Toen Bouwman in 2015 startte bij Infosequre heeft hij, met name door zijn learning & development ervaring, de nadruk gelegd op bewezen lesmethodieken in de tests. ‘Dit is echt een speerpunt van Infosequre. Op dit moment werken we aan storytelling, gamification en een nieuwe VR-game. Vooral beleving toevoegen en het proces leuk maken, zijn essentieel voor de betrokkenheid van werknemers’, zegt Bouwman. ‘Bij enkele opdrachtgevers laten we teams tegen zelfs elkaar strijden in phishing battles.’ 

“Storytelling en gamification dragen wezenlijk bij aan de betrokkenheid van het team”


Cybersecurity, daar moeten we allemaal iets mee. Of je het nu wilt of niet. Zowel ondernemers als werknemers hebben een belangrijke rol in het veilig kunnen ondernemen. Het is een gezamenlijke effort en één moment van onoplettendheid maakt de complete organisatie kwetsbaar. Het devies: maak cyberweerbaarheid een vast onderdeel van je strategie, maak het interessant en aantrekkelijk en doe het samen. Test, train en deel ervaringen met elkaar. Dat maakt je organisatie in alle opzichten sterker. De gratis mkb phishingtest is in ieder geval, een goede eerste stap.    

Terug
camera

Cybercrime

Onderzoekers noemen een jaarlijkse stijging van cybercriminaliteit van 30% realistisch. Cybercrime brengt schade toe aan grote en kleine (MKB) bedrijven en is niet of nauwelijks op te lossen met opsporing, de preventie van deze vorm van criminaliteit ligt over het algemeen bij de gebruikers van het internet. Het RPC organiseert allerlei activiteiten zoals het congres “De Hacker vertelt” en workshops die zijn gericht op specifieke trends.

Lees meer
camera

Awareness Ondermijning

Criminele netwerken infiltreren de bovenwereld door intimidatie, bedreiging, omkoping en chantage. Dit mag dan soms subtiel zijn, de gevolgen voor ondernemers in het midden- en klein bedrijf en horeca zijn groot. Het bedrijfsleven dient zich er bewust van te zijn dat ondermijning (in)direct leidt tot financiële schade. Op de seminars Awareness Ondermijning ontrafelen we het containerbegrip en ontdek je hoe je een verdachte situatie kunt herkennen en melden.

Lees meer
camera

Excellent Cameratoezicht

Geschat wordt dat er in totaal één miljoen bewakingscamera’s in Nederland zijn. Vaak blijken de beelden teleurstellend en kunnen ze wel gebruikt worden voor registratie, maar niet als bewijslast. Het RPC ontwikkelde samen met haar partners de richtlijnen Excellent Cameratoezicht. Als u heeft geïnvesteerd in een camerasysteem, dan wilt u toch weten of deze voldoet aan de minimale eisen van opsporing? Vraag nu de gratis scan aan!

Lees meer