Header tips na phishing
17 augustus 2021 / Verdieping

De 6 doeltreffendste tips om een (nieuwe) phishing-aanval op jouw bedrijf te voorkomen

In de ideale wereld onderneem je actie nog voordat jouw bedrijf wordt gephisht. Welke stappen moet je zetten en hoe voorkom je een (nieuwe) aanval? Phishing-expert Arnout van de Meulebroucke geeft zes tips.


Correct en veilig omgaan met informatie is niet alleen noodzakelijk voor elke organisatie, het is eveneens verplicht. Een gebrek aan informatiebeveiliging kan immers leiden tot ernstige gevolgen zoals datalekken of phishingaanvallen. Met een ISO-certificaat toont een bedrijf dat het voldoet aan bepaalde internationale normen. ISO 27001 is een voorbeeld van zo'n norm rond cybersecurity. De voorwaarden die daarin opgelijst staan, helpen organisaties bij het vermijden van grote risico’s. Het Phished-platform helpt aan verschillende voorwaarden voldoen.

Waarom moet je bang zijn voor een (nieuwe) phishingaanval?

Wat is een ISO-certificaat en wat houdt het in?

Voorkomen is beter dan genezen: het is een mooi gezegde, ook in cybersecurityland. De gemiddelde kost van een grote hack bedraagt tegenwoordig immers zo’n vier miljoen dollar, afhankelijk van welke bron je raadpleegt. Bovendien is 90% van alle hacks het gevolg van een menselijke fout, vaak beginnend bij een geslaagde phishingaanval. Cijfers die niet bepaald optimistisch stemmen.

Soms gebeurt het onvermijdelijke echter en heb je geen andere keuze dan te proberen de schade te beperken, de gevolgen te dragen en uiteindelijk te voorkomen dat dergelijke incidenten zich ooit nog voordoen. Maar eerst moet je het puin ruimen.

ISO staat voor International Organization for Standardization. Dat is een organisatie die internationale standaarden, die we ISO-normen noemen, ontwikkelt en publiceert. ISO 27001 houdt in dat een organisatie de vertrouwelijkheid, beschikbaarheid en integriteit van al hun gegevens correct beheert. Via een lijst van eisen toont de norm hoe je dat het best aanpakt.

Een cruciale voorwaarde om ISO 27001-compliant te zijn is het opbouwen van een sterk Information Security Management System (ISMS) of informatieveiligheidssyteem. De standaard eist onder meer dat een organisatie via zo’n ISMS systematisch onderzoekt en bijhoudt welke informatiebeveiligingsrisico’s, zoals slecht beveiligde accounts, er bestaan voor het bedrijf.

Daarnaast moet een ISMS helpen bij het vermijden van die risico’s. Een belangrijk onderdeel daarvan is anti-phishingtraining, zo creëer je immers security awareness bij je werknemers en verhinder je gevaren. Dat draagt allemaal bij aan een nog efficiënter ISMS. Ook houdt ISO 27001 in dat een organisatie de informatiebeveiliging regelmatig evalueert en aanpast.

6 doeltreffende manieren om phishingaanvallen te voorkomen

Graduation iso certificate approved approval

1. Beperk de (mogelijke) gevolgen

Het belang en de voordelen van een ISO 27001-certificaat

Concurrentievoordeel: een ISO-certificaat levert concurrentievoordeel op en demonstreert je betrouwbaarheid, kwaliteit en integriteit.
Klanttevredenheid: klanten zijn gerustgesteld wanneer ze weten dat hun persoonlijke gegevens veilig en met zorg worden behandeld.
Risico’s vermijden: een ISMS verkleint de kans dat informatie gelekt, verwijderd of misbruikt wordt. Phishing awareness draagt daar ook aan bij.
Verlaagd financieel risico: wanneer een bedrijf de wetten niet naleeft, kan het beboet worden.
Kostenbesparing: er wordt efficiënter gewerkt door de toegepaste eisen en dat zorgt voor besparingen.
Betrokkenheid werknemers: elke werknemer is op de hoogte, waardoor informatieveiligheid makkelijker te handhaven is.

De eerste stap moet altijd zijn om te proberen mogelijke gevolgen te beperken. En dat kan een behoorlijke onderneming zijn: anti-ransomware, anti-malware, antivirus en andere software helpen natuurlijk om grote problemen te voorkomen, maar als een hacker er eenmaal in slaagt om door de verdediging heen te dringen, kunnen de gevolgen (en de kosten) aanzienlijk zijn. Technische middelen helpen dus maar tot op zekere hoogte.

Als je al werd gehackt, beperk dan de schade: herstel back-ups, ruim het netwerk op en ga op zoek naar ‘rommel’ die hackers kunnen gebruiken om opnieuw aan te vallen. Het heeft immers geen zin om geld uit te geven aan een grondige opruimbeurt als je volgende week weer met hetzelfde probleem kampt.

Wij zien dat bedrijven meestal zeer snel reageren – gelukkig maar - maar de trieste waarheid is dat zij meestal reageren door oefeningen uit te voeren die zij al veel eerder hadden moeten doen. Pas na een groot lek vragen ze zich af hoe ze hun zwakste schakel kunnen versterken, namelijk hun mensen. Als je dat nog niet hebt gedaan, is dit het moment.

Hoe word je ISO 27001-compliant?

Tips na phishing main

Het ISO 27001-certificaat is dus een echte troef voor iedere organisatie. Om het te verkrijgen, moet je als bedrijf de volgende stappen doorlopen:

  1. Koop en lees de ISO 27001-norm, daarin staan alle eisen waaraan je moet voldoen voor certificering.
  2. Risk Assessment: breng alle mogelijke informatiebeveiligingsrisico’s in kaart. Een phishingnulmeting van Phished kan daarbij helpen.
  3. Risk Treatment Plan: stel per risico een geschikt plan met aangepaste maatregelen op.
  4. Stel een statement of applicability op. Dat is een document waarin je vastlegt welke acties uit de catalogus van beveiligingsmaatregelen van ISO 27001 van toepassing zijn op jouw organisatie.
  5. Maak een totaalanalyse. Daarin breng je stappen 2, 3 en 4 samen. Leg ook vast hoe je met onverwachte voorvallen omgaat en wat je doet als een informatiebeveiligingsrisico zich toch heeft voorgedaan.
  6. Stel een informatiebeveiligingsbeleid op, daaronder valt ook het Information Security Management System (ISMS), waarvan anti-phishingtraining een essentieel deel uitmaakt.

Daarna komt een onafhankelijke partij bij je op bezoek die een audit afneemt. Ben je daarvoor geslaagd, dan krijg je een ISO-certificaat voor drie jaar.

2. Leer van relevante regels

Hoe kan Phished helpen?

Naast het beperken van de potentiële schade moet je je echter ook aan de regels houden. Sinds de invoering van de GDPR - en diverse frameworks sindsdien - is een organisatie verplicht de relevante instanties te informeren over de omvang van eventuele problemen, wat ze eraan gaan doen en ook: wat ze al hebben gedaan om dergelijke problemen voortaan te voorkomen.

Deze laatste stap speelt mee in de grootte van de sanctie die een organisatie kan krijgen wanneer die instantie oordeelt dat er fouten zijn gemaakt. Als je al hebt geïnvesteerd in opleidingen voor medewerkers om cyberrisico’s aan te pakken en te voorkomen, vergeet dat dan niet te melden! Daarnaast moet je ook klanten en partners informeren als hun gegevens (mogelijk) zijn gestolen.

Naast het feit dat Phished zelf haar applicatieservers en data opslaat in Google datacenters die onder andere ISO 27001 en ISO 27017-compliant zijn, kunnen we andere bedrijven helpen bij het behalen van zo’n certificaat. Een eerder vermelde ISO-norm houdt namelijk in dat de organisatie mogelijke informatieveiligheidsrisico’s onderzoekt.

Phished biedt nulmetingen met phishingsimulaties aan waardoor je een overzicht krijgt van eventuele zwakke plekken. Om ISO 27001-compliant te zijn moet je die risico’s ook correct weten aan te pakken. Via onze anti-phishingtraining leren medewerkers allerlei soorten cybergevaren herkennen en ermee om te gaan.

Bovendien draagt de Phished Academy bij tot het behalen van de ISO-norm rond permanente bijscholing over informatiebeveiliging en maakt deze het makkelijk om te meten, bijhouden, documenteren en verbeteren van de information security voor het ISMS. Zo kan je dat ISO-certificaat snel inkaderen en aan de muur hangen.

3. Vooruit kijken: phishing-preventie

Na het beperken van de gevolgen, is het tijd om vooruit te kijken: welke stappen kun je zetten om cyberaanvallen (in de toekomst) te voorkomen? De eerste stap is natuurlijk het opleiden van jouw mensen. Ervan uitgaande dat de technische kant op orde is, kan het tijd zijn om de menselijke kant te versterken door hen te voorzien van de nodige hulpmiddelen en begeleiding.

De tijd dat technische middelen volstonden om een organisatie te beschermen, ligt ver achter ons. Vandaag is het noodzakelijk de kennis en het gedrag van medewerkers op hetzelfde niveau te brengen als de technologische hulpmiddelen. Alleen dan zal een onderneming volledig beschermd zijn tegen steeds complexere bedreigingen.

4. Voorkom overmoed

Politiecommisaris Stijn De Ridder bevestigt wat wij bij Phished al lang weten: iedereen is kwetsbaar als het op phishing aankomt. Zijn visie:

"Enerzijds denk ik bij mezelf 'hoe is het mogelijk dat ze hier nog steeds intrappen?’, maar anderzijds kan ik niet ontkennen dat veel phishingcampagnes zeer professioneel worden uitgevoerd – dat criminelen meer doen dan alleen maar een frauduleuze link toevoegen waarop hun slachtoffers kunnen klikken. Ze zijn vaak in het bezit van uitgelekte gegevens, ‘leads’, die hen helpen hun aanval zorgvuldig voor te bereiden op basis van hun specifieke slachtoffer. Vervolgens benaderen ze hen telefonisch, doen zich voor als bankmedewerker, waarna ze erin slagen hele bankrekeningen te plunderen. Als ik deze verhalen lees, denk ik wel ‘dit zou mij ook kunnen overkomen.’"

Of, om het scherper te stellen: "CEO’s die beweren nog nooit slachtoffer te zijn geworden van een cyberaanval, zijn zich daar simpelweg niet van bewust."

Vind het hele interview met politiecommissaris De Ridder hieronder.

5. Jouw medewerkers hebben tools nodig

Sinds de COVID-19-pandemie werd de thuiswerkende werknemer gebombardeerd met nieuwe (samenwerkings)tools. Van de ene op de andere dag werd niet alleen hun job grondig hertekend, maar ook hoe ze die moeten uitvoeren in veranderende omstandigheden. Nieuwe hulpmiddelen maakten het mogelijk om hun werk vanuit huis te doen, maar vaak kregen zij niet de nodige begeleiding of opleiding om deze tools veilig te gebruiken.

Mensen kunnen achterdeurtjes openen zonder dat ze dat willen, ze kunnen bedreigingen op het bedrijfsnetwerk brengen terwijl ze zich daar niet eens van bewust zijn. Of, zoals Sabine van Hoijweghen van Secutec opmerkt: "Mensen die hun computer niet als een integraal onderdeel van hun werk gebruiken, zijn vaak een stuk kwetsbaarder en hebben dus extra training nodig."

Geïnteresseerd in IT-beveiliging vanuit het oogpunt van een MSP? Hieronder vind je ons interview met Van Hoijweghen.

6. Fris kennis en vaardigheden op

De algemene kennis over onderwerpen op het gebied van cyberbeveiliging is nog nooit zo groot geweest, maar toch lijken mensen meer dan ooit problemen te hebben om bedreigingen daadwerkelijk af te slaan. Enerzijds maakt de enorme hoeveelheid cyberaanvallen het moeilijk om elke poging af te slaan, maar anderzijds speelt er nog iets anders: weten is niet hetzelfde als herkennen.

De Phishing Paradox houdt in dat hoewel meer mensen dan ooit op de hoogte zijn van het fenomeen, ze nog steeds niet altijd weten hoe ze het moeten herkennen. Om veilig te zijn tegen phishing - en andere cyberdreigingen - moet je je actief met het onderwerp bezighouden, trainen en je er beter in verdiepen.

En dat geldt voor alles. Cyberexperts beweren vaak dat bedrijven nu nog niet klaar zijn voor wat hen over vijf jaar te wachten staat, maar durf gerust te stellen dat ze nog steeds niet klaar zijn voor bedreigingen van vijf jaar geleden. Het is hoog tijd dat mensen hun kennis op orde brengen, hun vaardigheden bijspijkeren en hun zwakke plekken gaan aanpakken. Om klaar te zijn voor de toekomst, moet je eerst klaar zijn om de uitdagingen van vandaag aan te gaan.

In de onderstaande video vind je meer inzicht in de bedreigingen van vandaag.

Hoe kan Phished u helpen met phishing-preventie?

Om bedreigingen zo snel en efficiënt mogelijk aan te pakken, moeten mensen zo regelmatig mogelijk worden opgeleid. Uit onderzoek is al gebleken dat cybersecuritytraining na een maand zijn effect verliest. Na zes maanden is alles volledig vergeten, daarom is het belangrijk om mensen scherp te houden. Phished doet dit door middel van korte, geautomatiseerde en gepersonaliseerde trainingen.

Onze phishingsimulaties leren deelnemers de juiste reflexen aan, terwijl de Phished Academy in slechts een paar minuten inzicht geeft in het belang, de herkenning en de omgang met bedreigingen, en honderden andere tips biedt over een breed scala aan cybersecurity-onderwerpen. Tot slot zorgt Phished ervoor dat mensen zich inzetten voor de cybersecurity-strategie. Werknemers die gemotiveerd en voorbereid zijn, zorgen voor een veel beter beschermde organisatie.

Probeer het gratis

Gelukkig hoef je ons niet op ons woord te geloven: zie het zelf tijdens een live demo.

Probeer het en je zult zien hoe eenvoudig het is om aan de basisbeginselen van cyberbeveiliging te voldoen: jouw mensen opleiden tot volwaardige cybersecurityexperts.