De 6 doeltreffendste tips om een (nieuwe) phishing-aanval op jouw bedrijf te voorkomen
In de ideale wereld onderneem je actie nog voordat jouw bedrijf wordt gephisht. Welke stappen moet je zetten en hoe voorkom je een (nieuwe) aanval? Phishing-expert Arnout van de Meulebroucke geeft zes tips.
Waarom moet je bang zijn voor een (nieuwe) phishingaanval?
Beter voorkomen dan genezen: het is een mooi gezegde, maar soms gebeurt het onvermijdelijke en kan je niet anders dan proberen de schade te beperken, de gevolgen te dragen en ten slotte te voorkomen dat dergelijke voorvallen zich nogmaals voordoen.
De gemiddelde kost van een grote hack bedraagt tegenwoordig ongeveer vier miljoen dollar, afhankelijk van welke cyber threat intelligence-bron je consulteert. 90% van alle hacks zijn bovendien het gevolg van een menselijke fout, vaak een succesvolle phishingaanval. Cijfers waar een mens niet bepaald optimistisch van wordt.
Werd je het slachtoffer van een hack of cyberaanval, dan wil je natuurlijk voorkomen dat dit nog eens gebeurt. Maar eerst moet je natuurlijk puin gaan ruimen.
Hoe ga je aan de slag?
Voorkomen is beter dan genezen: het is een mooi gezegde, ook in cybersecurityland. De gemiddelde kost van een grote hack bedraagt tegenwoordig immers zo’n vier miljoen dollar, afhankelijk van welke bron je raadpleegt. Bovendien is 90% van alle hacks het gevolg van een menselijke fout, vaak beginnend bij een geslaagde phishingaanval. Cijfers die niet bepaald optimistisch stemmen.
Soms gebeurt het onvermijdelijke echter en heb je geen andere keuze dan te proberen de schade te beperken, de gevolgen te dragen en uiteindelijk te voorkomen dat dergelijke incidenten zich ooit nog voordoen. Maar eerst moet je het puin ruimen.
6 doeltreffende manieren om phishingaanvallen te voorkomen
1. Voor je de schade gaat herstellen, moet je natuurlijk eerst proberen de gevolgen te beperken. En die kan best groot zijn: anti-ransomware-, anti-malware-, antivirus- en andere software helpt natuurlijk in het voorkomen van grote problemen, maar eens een hacker je netwerk weet te penetreren, kunnen de gevolgen (en de kosten) aanzienlijk zijn. Technische middelen helpen dan ook slechts tot op zekere hoogte.
Beperk dus de schade: herstel back-ups, kuis het netwerk uit en zoek naar eventueel ‘afval’ dat hackers kunnen gebruiken om opnieuw aan te vallen. Het heeft immers geen zin om geld uit te geven aan herstelopties als je volgende week opnieuw hetzelfde probleem kan tegenkomen.
We zien dat bedrijven doorgaans erg snel reageren -gelukkig maar – maar de trieste waarheid is dat ze meestal reageren door oefeningen te maken die ze eigenlijk al veel eerder hadden moeten doen. Het is pas na een groot lek dat ze zich afvragen hoe ze hun zwakste schakel, de mens, kunnen versterken. Als je dit nog niet deed, is dit nu het geschikte moment.
1. Beperk de (mogelijke) gevolgen
De eerste stap moet altijd zijn om te proberen mogelijke gevolgen te beperken. En dat kan een behoorlijke onderneming zijn: anti-ransomware, anti-malware, antivirus en andere software helpen natuurlijk om grote problemen te voorkomen, maar als een hacker er eenmaal in slaagt om door de verdediging heen te dringen, kunnen de gevolgen (en de kosten) aanzienlijk zijn. Technische middelen helpen dus maar tot op zekere hoogte.
Als je al werd gehackt, beperk dan de schade: herstel back-ups, ruim het netwerk op en ga op zoek naar ‘rommel’ die hackers kunnen gebruiken om opnieuw aan te vallen. Het heeft immers geen zin om geld uit te geven aan een grondige opruimbeurt als je volgende week weer met hetzelfde probleem kampt.
Wij zien dat bedrijven meestal zeer snel reageren – gelukkig maar - maar de trieste waarheid is dat zij meestal reageren door oefeningen uit te voeren die zij al veel eerder hadden moeten doen. Pas na een groot lek vragen ze zich af hoe ze hun zwakste schakel kunnen versterken, namelijk hun mensen. Als je dat nog niet hebt gedaan, is dit het moment.
2. Tegelijk met het beperken van de schade, moet je evenwel de regels volgen. Sinds de invoering van de GDPR – en verschillende reguleringen sindsdien – is een organisatie verplicht om de nodige instanties op de hoogte te brengen van de omvang van de problemen, wat ze eraan zullen doen en ook: wat deden ze al om dergelijke problemen te vermijden.
Die laatste stap speelt mee in de grootte van de sanctie die ze kunnen opgelegd krijgen wanneer die instantie oordeelt dat de organisatie fouten heeft gemaakt. Investeerde je reeds in opleidingen voor je werknemers om cybergevaren op te vangen en te voorkomen, vergeet deze dan zeker niet te vermelden! Daarnaast breng je uiteraard eveneens klanten en partners op de hoogte als hun gegevens (mogelijk) werden gestolen.
3. Na het indijken van verdere gevolgen, is het tijd om vooruit te blikken: welke stappen kan je zetten om te voorkomen dat dit in de toekomst nogmaals gebeurt? De eerste stap is uiteraard het opleiden van je mensen. Ervan uitgaande dat de technische kant goed zit, is het wellicht tijd om de menselijke kant te verstevigen door hen de nodige tools en begeleiding aan te bieden.
De tijd dat technische middelen voldoende waren om een organisatie te beschermen, ligt al even achter ons. Vandaag is het noodzakelijk om de kennis en het gedrag van medewerkers op dezelfde hoogte te brengen als de technologische hulpmiddelen. Alleen zo zal een bedrijf volledig beschermd zijn tegen de almaar complexer wordende bedreigingen.
2. Leer van relevante regels
Hoe Phished concreet kan bijdragen
Om bedreigingen zo snel en efficiënt mogelijk te minimaliseren, hebben mensen nood aan een zo regelmatig mogelijke opleiding. Onderzoek wees eerder al uit dat cybersecuritytraining al na een maand haar impact verliest. Na zes maanden is alles al volledig vergeten. Daarom is het belangrijk om constant mensen scherp te houden. Phished doet dit aan de hand van korte, geautomatiseerde en gepersonaliseerde training.
Onze phishingsimulaties leren ontvangers de juiste reflexen bij, terwijl de Phished Academy op enkele minuten tijd inzicht verschaft in het belang ervan, het herkennen en omgaan met dreigingen en ze geeft daarnaast nog honderden andere tips over een gevarieerd cybersecurity-aanbod. Ten slotte zorgt Phished ervoor dat mensen zich engageren in de beveiligingsstrategie van hun organisatie. Werknemers die gemotiveerd en voorbereid zijn, zorgen voor een veel beter beschermde organisatie.
Naast het beperken van de potentiële schade moet je je echter ook aan de regels houden. Sinds de invoering van de GDPR - en diverse frameworks sindsdien - is een organisatie verplicht de relevante instanties te informeren over de omvang van eventuele problemen, wat ze eraan gaan doen en ook: wat ze al hebben gedaan om dergelijke problemen voortaan te voorkomen.
Deze laatste stap speelt mee in de grootte van de sanctie die een organisatie kan krijgen wanneer die instantie oordeelt dat er fouten zijn gemaakt. Als je al hebt geïnvesteerd in opleidingen voor medewerkers om cyberrisico’s aan te pakken en te voorkomen, vergeet dat dan niet te melden! Daarnaast moet je ook klanten en partners informeren als hun gegevens (mogelijk) zijn gestolen.
Probeer het gratis uit
3. Vooruit kijken: phishing-preventie
Gelukkig moet je mijn woord niet zomaar aannemen: Phished biedt iedere organisatie een gratis proefperiode aan van 14 dagen, voor 25 ontvangers. Zonder aankoopverplichting – je hoeft zelfs geen betalingsgegevens te delen. Een test start je in drie makkelijke stappen: je maakt een account aan, je laadt ontvangers op (of wij doen dat automatisch voor jou!) en ons platform doet de rest.
Probeer het en je zal merken hoe makkelijk het is om te voldoen aan de basis van cybersecurity: je mensen opleiden tot volwaardige cybersecurity-experts.
Na het beperken van de gevolgen, is het tijd om vooruit te kijken: welke stappen kun je zetten om cyberaanvallen (in de toekomst) te voorkomen? De eerste stap is natuurlijk het opleiden van jouw mensen. Ervan uitgaande dat de technische kant op orde is, kan het tijd zijn om de menselijke kant te versterken door hen te voorzien van de nodige hulpmiddelen en begeleiding.
De tijd dat technische middelen volstonden om een organisatie te beschermen, ligt ver achter ons. Vandaag is het noodzakelijk de kennis en het gedrag van medewerkers op hetzelfde niveau te brengen als de technologische hulpmiddelen. Alleen dan zal een onderneming volledig beschermd zijn tegen steeds complexere bedreigingen.
Start je gratis trial
4. Voorkom overmoed
Politiecommisaris Stijn De Ridder bevestigt wat wij bij Phished al lang weten: iedereen is kwetsbaar als het op phishing aankomt. Zijn visie:
"Enerzijds denk ik bij mezelf 'hoe is het mogelijk dat ze hier nog steeds intrappen?’, maar anderzijds kan ik niet ontkennen dat veel phishingcampagnes zeer professioneel worden uitgevoerd – dat criminelen meer doen dan alleen maar een frauduleuze link toevoegen waarop hun slachtoffers kunnen klikken. Ze zijn vaak in het bezit van uitgelekte gegevens, ‘leads’, die hen helpen hun aanval zorgvuldig voor te bereiden op basis van hun specifieke slachtoffer. Vervolgens benaderen ze hen telefonisch, doen zich voor als bankmedewerker, waarna ze erin slagen hele bankrekeningen te plunderen. Als ik deze verhalen lees, denk ik wel ‘dit zou mij ook kunnen overkomen.’"
Of, om het scherper te stellen: "CEO’s die beweren nog nooit slachtoffer te zijn geworden van een cyberaanval, zijn zich daar simpelweg niet van bewust."
Vind het hele interview met politiecommissaris De Ridder hieronder.
5. Jouw medewerkers hebben tools nodig
Sinds de COVID-19-pandemie werd de thuiswerkende werknemer gebombardeerd met nieuwe (samenwerkings)tools. Van de ene op de andere dag werd niet alleen hun job grondig hertekend, maar ook hoe ze die moeten uitvoeren in veranderende omstandigheden. Nieuwe hulpmiddelen maakten het mogelijk om hun werk vanuit huis te doen, maar vaak kregen zij niet de nodige begeleiding of opleiding om deze tools veilig te gebruiken.
Mensen kunnen achterdeurtjes openen zonder dat ze dat willen, ze kunnen bedreigingen op het bedrijfsnetwerk brengen terwijl ze zich daar niet eens van bewust zijn. Of, zoals Sabine van Hoijweghen van Secutec opmerkt: "Mensen die hun computer niet als een integraal onderdeel van hun werk gebruiken, zijn vaak een stuk kwetsbaarder en hebben dus extra training nodig."
Geïnteresseerd in IT-beveiliging vanuit het oogpunt van een MSP? Hieronder vind je ons interview met Van Hoijweghen.
6. Fris kennis en vaardigheden op
De algemene kennis over onderwerpen op het gebied van cyberbeveiliging is nog nooit zo groot geweest, maar toch lijken mensen meer dan ooit problemen te hebben om bedreigingen daadwerkelijk af te slaan. Enerzijds maakt de enorme hoeveelheid cyberaanvallen het moeilijk om elke poging af te slaan, maar anderzijds speelt er nog iets anders: weten is niet hetzelfde als herkennen.
De Phishing Paradox houdt in dat hoewel meer mensen dan ooit op de hoogte zijn van het fenomeen, ze nog steeds niet altijd weten hoe ze het moeten herkennen. Om veilig te zijn tegen phishing - en andere cyberdreigingen - moet je je actief met het onderwerp bezighouden, trainen en je er beter in verdiepen.
En dat geldt voor alles. Cyberexperts beweren vaak dat bedrijven nu nog niet klaar zijn voor wat hen over vijf jaar te wachten staat, maar durf gerust te stellen dat ze nog steeds niet klaar zijn voor bedreigingen van vijf jaar geleden. Het is hoog tijd dat mensen hun kennis op orde brengen, hun vaardigheden bijspijkeren en hun zwakke plekken gaan aanpakken. Om klaar te zijn voor de toekomst, moet je eerst klaar zijn om de uitdagingen van vandaag aan te gaan.
In de onderstaande video vind je meer inzicht in de bedreigingen van vandaag.
Hoe kan Phished u helpen met phishing-preventie?
Om bedreigingen zo snel en efficiënt mogelijk aan te pakken, moeten mensen zo regelmatig mogelijk worden opgeleid. Uit onderzoek is al gebleken dat cybersecuritytraining na een maand zijn effect verliest. Na zes maanden is alles volledig vergeten, daarom is het belangrijk om mensen scherp te houden. Phished doet dit door middel van korte, geautomatiseerde en gepersonaliseerde trainingen.
Onze phishingsimulaties leren deelnemers de juiste reflexen aan, terwijl de Phished Academy in slechts een paar minuten inzicht geeft in het belang, de herkenning en de omgang met bedreigingen, en honderden andere tips biedt over een breed scala aan cybersecurity-onderwerpen. Tot slot zorgt Phished ervoor dat mensen zich inzetten voor de cybersecurity-strategie. Werknemers die gemotiveerd en voorbereid zijn, zorgen voor een veel beter beschermde organisatie.
Probeer het gratis uit
Gelukkig hoef je ons niet op ons woord te geloven: zie het zelf tijdens een live demo.
Probeer het en je zult zien hoe eenvoudig het is om aan de basisbeginselen van cyberbeveiliging te voldoen: jouw mensen opleiden tot volwaardige cybersecurityexperts.