Cybersecurity: Worst case scenarios voorkomen
Welke situaties zijn het meest schadelijk en welke acties kun je ondernemen?
Tijdens een van de maandelijkse online cybersecurity meet-ups hebben we gebrainstormd over welke situaties het meeste schade zouden kunnen aanrichten. En natuurlijk hoe we op tijd kunnen ingrijpen. In deze blog lees je een aantal fictieve voorbeelden, hoe Visma hierop zou reageren en hoe jij zelf zou kunnen handelen.
Benieuwd naar hoe cybersecurity een prioriteit is in de Spend Cloud? Lees verder op de cybersecurity-pagina.
Don’t: Werkapparaten privé gebruiken
Bij Visma hanteren we het beleid dat werkapparaten niet voor privégebruik zijn, tenzij expliciet anders afgesproken. Zo beperk je risico’s en maak je het makkelijker voor het security team om in te grijpen bij incidenten. Stel dat je een werklaptop toch mee naar huis neemt. Voorkom dan dat anderen er gebruik van maken. Deel je inloggegevens nooit met derden, zelfs niet met collega’s.
In dit hypothetische geval heeft de managing director van een fictief bedrijf bovenstaande kennis niet. Hij neemt zijn werklaptop mee naar zijn grootmoeder, omdat hij die avond toch nog wat mails moet beantwoorden. Tijdens het mailen laat hij zijn laptop open achter en logt zijn grootmoeder in op haar email om een website te laten zien. Ze klikt op een link uit een phishingmail en laat de website trots aan haar kleinzoon zien. Beide de grootmoeder en de managing director zijn zich van geen kwaad bewust.
Ondertussen raakt de computer geïnfecteerd met virussen. Cybercriminelen maken bijvoorbeeld gebruik van een keylogger, zodat ze precies zien welke toetsen worden aangeslagen. Hiermee kunnen ze inloggegevens achterhalen en data versleutelen. Deze data kunnen ze verkopen op het darkweb.
De volgende dag heeft de managing director nog steeds niets door en gaat hij op een tour langs diverse organisaties om een presentatie te geven. Dat betekent dat hij bij iedere organisatie gebruik maakt van de wifi en dat die organisaties ook gehackt kunnen worden. Ook gegevens die van deze organisaties worden gestolen, eindigen op het darkweb. Daarnaast versturen de cybercriminelen een phishingmail naar medewerkers vanuit de account van de managing director. Deze is extra geloofwaardig en daardoor extra gevaarlijk.
Pas wanneer een oplettende medewerker contact opneemt met de managing director over de phishingmail, heeft hij door wat er is gebeurd. Hij sluit de laptop meteen af en vernietigt daarmee helaas waardevol bewijsmateriaal. Hoe had deze situatie voorkomen kunnen worden? Daar gaan we in de volgende alinea’s op in.
Do: bewustzijn creëren en verdacht gedrag monitoren
De eerste stap in het voorkomen van zo’n situatie is een cybersecuritybeleid opstellen en dit te delen met alle medewerkers. Dan had de managing director zijn laptop op kantoor gelaten of zijn scherm gelockt wanneer hij niet bij zijn laptop in de buurt was. Ook had de managing director de mail van zijn grootmoeder misschien herkend als phishing, zodat hij tijdig had kunnen ingrijpen. In plaats van dat de managing director de laptop uitzet en daarmee bewijsmateriaal vernietigt, is het beter om de laptop te isoleren en de connectie met netwerken te verbreken.
Verder is het handig als de managing director (en iedereen!) gebruik maakt van een passwordmanager. Dat maakt het lastiger om inloggegevens te stelen en makkelijker om deze te wijzigen wanneer nodig. Daarnaast raden we aan om automatisch overal uit te loggen en alle accounts te resetten, wanneer je doorhebt dat je gehackt bent.
Uiteraard helpen we vanuit Visma door phishingsites te blacklisten, door het monitoren via een tool die Sentinel One heet en door het monitoren van het darkweb. Als de managing director gebruik maakt van Gmail, detecteert Google ook spamgedrag en blokkeren ze deze accounts.
Don’t: verdachte USB’s in werkapparaten pluggen
Een medewerker gebruikt haar eigen USB om foto’s van een werkevenement op haar werklaptop te zetten. Helaas is de USB geïnfecteerd en besmet deze de laptop. Dankzij een backdoor krijgen hackers toegang om inloggegevens te stelen. De medewerker is zich nergens van bewust en ontvangt een uur later een mail waarin staat dat persoonlijke data gelekt zal worden als ze geen geld overmaakt. Ondertussen sturen de hackers vanuit haar werkmail phishingmails naar collega’s in de hoop om inloggegevens te stelen van iemand met meer rechten. Wanneer ze toegang weten te krijgen tot klantgegevens, verkopen ze deze op het darkweb.
Do: gebruik zo min mogelijk externe drives
Stap één om dit scenario te voorkomen, is om externe drives en USB-poorten te blokkeren. Ook Sentinel One of Windows Defender kunnen hier weer ingrijpen, zodat het securityteam tijdig kan handelen. Verder is het handig om het netwerk te monitoren om te zien of de software probeert te verbinden met vreemde websites en om IPs te blacklisten.
Daarnaast is het essentieel om belangrijke data te versleutelen. Zorg dat alleen de mensen die data echt nodig hebben voor hun werk, toegang hebben tot de data in plaats van dat iedereen erbij kan. Wanneer je doorhebt dat je gehackt bent, is het belangrijk om je laptop te isoleren in plaats van af te sluiten, net als in het vorige scenario.
Don’t: boze medewerkers bitcoin laten minen
Stel dat een medewerker te horen krijgt binnen een maand ontslagen te gaan worden. De medewerker uit op LinkedIn hoe ontevreden ze hierover zijn en wordt door hackers benaderd om een backdoor achter te laten in ruil voor geld. Dankzij een nieuwe account op de server, kunnen de medewerker en de hackers ook na de uitdiensttreding nog inloggen. Dan implementeert de medewerker wat schadelijke code en gebruiken de hackers de server om bitcoin te minen. Ook schuift de medewerker een deel van de transacties door naar hun eigen banknummer.
Do: een prettig en verstandig offboardingsproces hanteren
Bovenstaande situatie kan voorkomen worden door twee belangrijke dingen: een prettig offboardingsproces en passende rechten. Wanneer je zorgt dat medewerkers niet boos weggaan, maar bijvoorbeeld doorgroeien of prettig het bedrijf verlaten, doet dit scenario zich niet voor. Daarnaast kun je aan de medewerker voorstellen om vakantiedagen op te nemen, zodat ze niet nog een maand ontevreden verder hoeven te werken. Voor high profile functies is het bijvoorbeeld al gebruikelijk dat je direct wordt vrijgesteld van werk.
Aan de andere kant is het ook belangrijk om verstandig om te gaan met rechten en inloggegevens. Zorg dat medewerkers alleen de rechten hebben die ze echt nodig hebben om hun werk te doen, in plaats van dat ze overal toegang tot hebben. Dit geldt dubbel zo hard voor de periode waarin het bekend is dat een medewerker uit dienst zal treden. En houd hun activiteit in de gaten, zodat je meteen weet of servers met vreemde apparaten verbinden en of er geld “verdwijnt”. Controleer ook of er rond de tijd van uitdiensttreding iets veranderd is in rechtensets.
Mocht het toch zover komen dat hackers de servers willen gebruiken om bitcoin te minen, dan is het belangrijk om te monitoren of er miners worden gedownload. Sentinel One en Windows Defender zouden dit kunnen opmerken, zodat het security team tijdig kan ingrijpen.
Wil je meer informatie over cybersecurity?
Met deze voorbeelden willen we aantonen hoe serieus we cybersecurity nemen, ook in bijna ondenkbare scenario’s. Benieuwd naar onze visie en andere maatregelen? Bekijk dan onze cybersecurity-pagina en de Visma Trust Center. Op onze cybersecurity-pagina kun je ook de beveiligingsfactsheet downloaden met nóg meer diepgaande informatie.
Meer informatie over de Spend Cloud?
Neem contact met ons op of vraag meteen een gratis, vrijblijvende demo aan!
Ik wil een demo
