Naast de digitale transformatie van veel organisaties, heeft de verschuiving naar werken op afstand door Covid-19 de afgelopen jaren heel wat nieuwe kansen gecreëerd voor cybercriminelen. Daarom is het essentieel dat alle bedrijven, groot of klein, de belangrijkste dreigingen voor de cyberveiligheid en websitebeveiligingsproblemen begrijpen, zodat ze stappen kunnen ondernemen om zichzelf te beschermen. Lees verder om meer te weten te komen.
Cyberveiligheidsrisico voor bedrijven #1: Ransomware
Naar verluidt heeft 80% van de bedrijven over de hele wereld in 2021 te maken gehad met een of andere vorm van ransomware-aanval. Ransomware is software die gebruikers van hun computers vergrendelt of de toegang tot gegevens beperkt door de informatie te versleutelen. De gebruiker moet een speciale code invoeren om de toegang te herstellen, en de hacker geeft de code alleen als het losgeld is betaald. De meest kwaadaardige ransomware wist alle gebruikersgegevens, ook al wordt het losgeld betaald.
Veel eigenaren van kleine of middelgrote bedrijven denken dat ze maar weinig waard en dat grote bedrijven veel aantrekkelijker zijn voor criminelen. Ze lezen over cyberaanvallen op grote en bekende organisaties en voelen zich in vergelijking daarmee veilig. Deze grote bedrijven hebben echter op de harde manier geleerd om hun bescherming tegen cyberindringers en hun verdediging tegen toekomstige aanvallen te versterken.
Daarom vinden cybercriminelen het vaak gemakkelijker om kmo's aan te vallen die slechts over minimale bescherming beschikken en niet voldoende kennis hebben om gegevensdiefstal van hun computers te voorkomen. Wachtwoorden liggen er vaak voor het grijpen, evenals informatie zoals bankrekeninggegevens, thuisadressen en zelfs identiteitskaartnummers. Gewapend met deze informatie kunnen cyberdieven geld of identiteiten stelen en cyberaanvallen uitvoeren tegen bedrijven en zelfs overheden.
Hoe bedrijven zichzelf kunnen beschermen tegen ransomware
Lagen beveiligingsmaatregelen: Kies een gelaagde benadering van cyberbeveiliging om het risico op ransomware te verkleinen. Dit betekent dat je een combinatie van verschillende beveiligingstools moet gebruiken. Gebruik bijvoorbeeld een antivirusprogramma van goede kwaliteit op elk apparaat en houd het up-to-date, installeer een firewallen gebruik spamfilters en preventie van gegevensverlies in de cloud. Het gebruik van een combinatie van tools betekent dat als er een faalt, er nog andere tools zijn als back-up.
Maak een back-up van je gegevens: zorg ervoor dat je bedrijf een volledige offline back-up van je systeem heeft die up-to-date is en gescheiden is van het hoofdnetwerk. Dit geeft je toegang tot al je gegevens, zelfs als je bedrijf wordt gekaapt om losgeld. Test je back-up regelmatig om er zeker van te zijn dat deze werkt wanneer je hem nodig hebt.
Bekijk je BYOD-beleid: met de verschuiving naar werken op afstand gebruiken werknemers soms hun eigen laptop of mobiele apparaten om te werken en toegang te krijgen tot het bedrijfsnetwerk. Dit brengt risico's met zich mee, omdat op deze apparaten mogelijk niet de juiste antivirus- of andere beveiligingssoftware is geïnstalleerd. Als medewerkers onderweg werken, hebben ze mogelijk toegang tot openbare wifi-netwerken die niet beveiligd zijn. Om dit tegen te gaan, kun je netwerktoegang beperken tot door het bedrijf uitgegeven apparaten en werknemers verplichten toegang tot het netwerk te krijgen via een VPN of Virtual Private Network.
Cyberbeveiligingsrisico voor bedrijven #2: phishing
Phishing is nog een andere belangrijke cyberdreiging waarmee bedrijven worden geconfronteerd. Phishing verwijst naar pogingen om gevoelige informatie zoals gebruikersnamen, wachtwoorden en creditcardgegevens te verkrijgen via valse e-mails die ontworpen zijn om op echte e-mails te lijken, of soms via valse websites. Vroeger werden phishingscams uitgevoerd via e-mail. In de afgelopen jaren worden phishingscams steeds meer uitgevoerd via sms (bekend als smishing) en telefonische oproepen (bekend als vishing).
De term spearphishing wordt gebruikt om te verwijzen naar phishingpogingen die gericht zijn op een specifieke persoon of bedrijf. Cybercriminelen gebruiken social engineeringom berichten aan te passen aan hun doelen, waardoor het legitieme e-mails lijken te zijn van bekende contacten. Ze gebruiken verschillende bronnen van online informatie – zoals sociale media of bedrijfswebsites – om een profiel op te bouwen van hun doelwitten. Ze kunnen onder andere zelfs een bedrijf bellen dat zich voordoet als klant om bankrekeninggegevens te krijgen.
Spoofing-e-mails worden vaak rechtstreeks naar de accountmanager van een bedrijf gestuurd met het verzoek om geld over te maken naar de bankrekening van een klant. De e-mail bevat de bankrekeninggegevens en details voor de overboeking. Nietsvermoedende managers hebben zo al bedragen van een paar duizend dollar tot een paar miljoen dollar gestuurd naar de bankrekeningen van cybercriminelen.
Hoe bedrijven zichzelf kunnen beschermen tegen phishing
Denk aan je digitale voetafdruk: denk na over de informatie die je bedrijf online openbaar maakt en hoe dit medewerkers kan blootstellen aan dit soort misdrijven. Dit is je digitale voetafdruk. Als je bijvoorbeeld al je senior medewerkers op je website zet met links naar hun LinkedIn-profiel en hun e-mailadressen en telefoonnummers, dan verhoog je het risico om een phishingdoelwit te worden. (je kunt hier meer lezen over de privacykwesties van LinkedIn.)
Gebruik e-mailfilters: een e-mailfilter is geen garantie dat je geen phishing-e-mails gaat ontvangen, maar het vergroot wel je bescherming. E-mailproviders bieden een reeks filters voor spam en ongewenste e-mail. Het is dus zeker de moeite waard om de markt te onderzoeken voordat je de juiste provider kiest.
Gebruik antivirus: als je een uitgebreid en up-to-date antivirusprogramma op elk apparaat hebt geïnstalleerd, helpt dit om je bedrijf te beschermen tegen phishing-aanvallen en een aantal andere cyberbedreigingen. Een antivirusprogramma met antiphishingfunctie scant de bijlagen van e-mails om te controleren of deze een risico vormen.
Wees op je hoede: let op de signalen van phishing. Bijvoorbeeld een e-mail van je bank waarin je wordt gevraagd om je persoonsgegevens bij te werken, bevat normaal gezien geen spel- en grammaticafouten. Als een e-mail een gevoel van urgentie probeert te creëren, bijvoorbeeld dat je account gehackt is en onmiddellijk moet worden gereset, kan dit een signaal zijn. Als een bericht een URL bevat, beweeg dan met je muis over de URL om te controleren of deze naar de juiste pagina leidt. Het is ook belangrijk dat de URL een SSL-certificaat heeft en begint met HTTPS. Als je over het algemeen een e-mail ontvangt van een onbekende afzender, open enige bijlagen daarin dan niet.
Cyberbeveiligingsrisico voor bedrijven #3: zwakke wachtwoorden
Een ander belangrijk IT-beveiligingsrisico voor bedrijven is dat werknemers wachtwoorden gebruiken die zwak zijn en gemakkelijk te raden zijn. Het gebruik van zwakke of gemakkelijk te raden wachtwoorden, of het gebruik van dezelfde wachtwoorden voor meerdere accounts, kan een risico vormen voor gevoelige of financiële gegevens. Kleine bedrijven kunnen een bijzonder risico lopen dat werknemers zwakke wachtwoorden gebruiken omdat ze zich minder bewust zijn van online beveiligingsrisico's. Gemiddeld 19% van professionals gebruikt gemakkelijk te raden wachtwoorden of deelt wachtwoorden met verschillende accounts.
Hackers schrijven programma's met miljoenen wachtwoorden om geforceerd toegang te krijgen tot de IT-systemen van particulieren en bedrijven. Dit worden brute-force-aanvallen genoemd en ze hebben een hoog succespercentage bij het inbreken in computers. Zodra een hacker de toegangscode vindt tot één softwaretoepassing, is de kans groot dat hij toegang krijgt tot andere accounts met hetzelfde wachtwoord.
Hoe bedrijven zichzelf kunnen beschermen tegen zwakke wachtwoorden
Dwing een beleid af voor sterke wachtwoorden: Een sterk wachtwoord bestaat uit ten minste 15 tekens, inclusief een combinatie van kleine en hoofdletters, cijfers en speciale tekens. Gebruikers moeten eenvoudige nummerreeksen zoals "12345" of namen van echtgenoten, kinderen of huisdieren in een wachtwoord vermijden - aangezien een hacker deze informatie gemakkelijk van sociale media kan halen. Sommige bedrijven eisen dat werknemers hun wachtwoorden minstens elke 90 dagen wijzigen.
Gebruik een wachtwoordmanager: je medewerkers moeten overwegen om een wachtwoordmanager te gebruiken. Deze kunnen lange, complexe wachtwoorden genereren en automatisch invullen in aanmeldingspagina's.
Schakel multifactor-authenticatie in: multi-factor authenticatie of MFA zorgt ervoor dat gebruikers meer dan alleen maar een wachtwoord nodig hebben om toegang te krijgen tot zakelijke accounts. Dit omvat aanvullende verificatiestappen, zoals het verzenden van een toegangscode naar een mobiel apparaat. Deze extra beveiligingslaag helpt voorkomen dat aanvallers toegang krijgen tot zakelijke accounts, zelfs als ze een correct wachtwoord raden.
Wijzig standaardwachtwoorden: een frequente fout is het niet wijzigen van de standaardwachtwoorden van de fabrikant op smartphones, laptops en andere soorten IT-apparatuur. Wijzig alle standaardwachtwoorden voordat apparaten aan je personeel worden overhandigd. Controleer apparaten en software regelmatig om ongewijzigde standaardwachtwoorden te detecteren.
Cyberbeveiligingsrisico voor bedrijven #4: Mobiele apparaten
Bedrijven bieden hun personeel vaak smartphones, laptops en tablets om flexibel en op afstand te kunnen werken. Als gevolg hiervan worden meer van onze gegevens dan ooit opgeslagen op tablets en smartphones. Deze apparaten zijn even krachtig als traditionele computers en hebben - omdat ze mobiel zijn en dus de veiligheid van kantoor en huis verlaten - zelfs meer bescherming nodig dan vaste apparatuur. Toch hebben in veel bedrijven de meeste mobiele eindpunten nog steeds geen bescherming tegen bedreigingen zoals phishing, malware en exploits van mobiele besturingssystemen, waardoor ze een van de grootste cyberbeveiligingsrisico's vormen.
Hoe bedrijven mobiele apparaten kunnen beschermen
Schakel wachtwoordbeveiliging in:gebruik een complexe pincode of wachtwoordom te voorkomen dat de gemiddelde crimineel toegang krijgt tot jouw telefoon. Veel apparaten hebben nu vingerafdruk- of gezichtsherkenning om je apparaat te vergrendelen, waardoor we minder afhankelijk worden van wachtwoorden. Deze functies zijn niet altijd standaard ingeschakeld, controleer dit dus.
Zorg ervoor dat verloren of gestolen apparaten kunnen worden gevolgd, vergrendeld of gewist: als een apparaat van een medewerker verloren is of gestolen wordt, moet je het niet alleen kunnen volgen, maar ook alles erop kunnen verwijderen. Toegangscodes kunnen dieven voor een korte tijd afschrikken, maar waardevolle informatie van het apparaat kunnen wissen voordat ze de kans krijgen om het te zien, elimineert het risico volledig. Zorg er altijd voor dat deze functie is ingeschakeld op elk mobiel apparaat dat je medewerkers gebruiken.
Maak een back-up van de gegevens: net zoals je regelmatig een back-up van je computergegevens maakt, moet je ook een back-up maken van gegevens op de mobiele apparaten van je bedrijf. Als een apparaat zoekraakt of gestolen wordt, is het geruststellend te weten dat je waardevolle gegevens veilig zijn en kunnen worden hersteld.
Houd apparaten en apps up-to-date: zorg ervoor dat je over de nieuwste versies van software en apps beschikt, zodat je ook de nieuwste beveiligingspatches hebt.
Stel een beveiligingsbeleid samen voor mobiele apparaten: voordat een werknemer begint te werken met een mobiel apparaat, moet je een acceptabel gebruiksbeleid opstellen in overeenstemming met de wettelijke voorschriften. Met richtlijnen voor verlies of diefstal van een apparaat, weet het personeel hoe ze moeten handelen. Vraag je medewerkers om een kopie van het beleid te lezen en te ondertekenen voordat ze een mobiel apparaat voor het werk gebruiken om te laten zien dat ze zich bewust zijn van de risico's en weten hoe ze veilig kunnen blijven.
Codeer je gegevens altijd: het is essentieel om encryptie in te schakelen op zakelijke mobiele telefoons. Encryptie van mobiele apparaten werkt door gegevens op je telefoon om te zetten in een onleesbare vorm. Net als bij wachtwoordbeveiliging voor telefoons, moeten gebruikers een pincode of wachtwoord invoeren om de gegevens te decoderen. Moderne smartphones worden meestal geleverd met een bepaald niveau van wachtwoordbeveiliging en encryptie, hoewel sommige veiliger zijn dan andere. Bij Android word je bijvoorbeeld gevraagd om encryptie als optie in te schakelen wanneer je je toegangscode maakt. Schakel versleuteling in op alle fysieke apparaten en ondersteun dit waar nodig met software voor gegevensencryptie.
Cyberbeveiligingsrisico voor bedrijven #5: menselijke fouten
Volgens een studie van IBM uit 2021 zijn menselijke fouten de reden voor 95% van de cyberbeveiligingsinbreuken. Met andere woorden, onbedoelde acties, of het uitblijven van actie, maken inbreuken mogelijk. Vaak betekent dit eenvoudige fouten, zoals klikken op verdachte e-mailbijlagen, onbetrouwbare websites bezoeken of zwakke wachtwoorden of hetzelfde wachtwoord gebruiken voor meerdere accounts (en daarom is er een aanzienlijke overlapping met andere risico's die in dit artikel worden beschreven, aangezien menselijke fouten vaak de rode draad zijn). In wezen zoeken cybercriminelen menselijke zwakheden.
Hoe bedrijven zichzelf kunnen beschermen tegen menselijke fouten
Geef training: de meeste menselijke fouten zijn een gevolg van het feit dat werknemers de risico's niet kennen. Je kunt menselijke fouten verminderen door middel van effectieve trainingen op het gebied van cyberbeveiliging, waaronder het opleiden van werknemers over de risico's van social engineering. Het doel moet zijn om het bewustzijn over cyberbeveiligingsbedreigingen te vergroten, zodat een correct IT-gedrag wordt nageleefd. Personeelstraining, een regelmatige e-mail- of intranetnieuwsbrief of introductiecursussen op het werk helpen allemaal.
Verlaag de wachtwoordbelasting: hoewel een sterk wachtwoordbeleid essentieel is, is het verminderen van het aantal wachtwoorden nog altijd de beste manier om menselijke fouten hier te verminderen. Dit kan worden bereikt door wachtwoordmanagers te gebruiken - met multi-factor authenticatie ingeschakeld om de veiligheid te vergroten - en door over te schakelen op apparaten met biometrische authenticatie zoals vingerafdruk-ID.
Kleinere bedrijven kunnen bijzonder kwetsbaar zijn voor online beveiligingsrisico's
Vooral kleinere en middelgrote bedrijven kunnen kwetsbaar zijn voor dreigingen. De oorzaak hiervan is:
- Ze denken vaak niet dat ze het doelwit zullen zijn en zijn daarom niet voorbereid.
- Ze kunnen verouderde systemen hebben of een gebrek aan beveiligingsprotocollen en training, waardoor ze gemakkelijker te hacken zijn.
- Ze hebben minder kans om grote, toegewijde IT-teams te hebben die op de hoogte kunnen blijven van de nieuwste IT-beveiligingsrisico's en websitebeveiligingsproblemen.
Beoordeel het cyberbeveiligingsrisico voor jouw bedrijf
Om de belangrijkste cyberbedreigingen voor jouw bedrijf te evalueren, begin je best met een beoordeling van je huidige beveiligingssystemen. Maak een inventarislijst van middelen, inclusief alle software en hardware. Maak een lijst van plaatsen waar gegevens zijn opgeslagen en wie er toegang toe heeft. Bewaar deze informatie veilig en beperk wie het kan bekijken. Voer een evaluatie uit van je huidige beveiligingssystemen om te ontdekken waar er kwetsbaarheden kunnen zijn. Een bedrijfsrisicobeoordeling helpt je bedrijf veilig te houden.
Afgezien van de tips die in dit artikel worden beschreven, zijn er nog twee praktijken die je moet volgen:
- Zorg voor een plan voor het geval van een cyberaanval: wees voorbereid in geval van nood. Je wilt je bedrijf, werknemers en klanten zo goed mogelijk kunnen beschermen als je wordt aangevallen. Zorg dus dat je een plan hebt waarin wordt beschreven wat je gaat doen in het ergste geval.
- Blijf op de hoogte van de nieuwste cyberbedreigingen voor bedrijven: als je op de hoogte bent van de nieuwste cyberbedreigingen terwijl ze zich ontwikkelen, kun je voorop blijven en weten hoe je jezelf het beste kunt beschermen.
Ten slotte is eindpuntbeveiliging een cruciaal aspect in cyberbeveiliging voor bedrijven. Een eindpunt verwijst naar elk apparaat dat op je netwerk is aangesloten, inclusief laptops, desktops, smartphones, printers, servers enzovoort. Eindpuntbeveiliging is het beschermen van eindpiunten die voor het werk worden gebruikt tegen cyberbedreigingen. Cloudgebaseerde software voor eindpuntbeveiliging is ideaal voor kleine en middelgrote bedrijven, omdat er minder interne middelen nodig zijn om het te beheren en minder verplichtingen vooraf, maar toch biedt het continue bewaking en de mogelijkheid om je eindpunten overal te bewaken.
Lees hier meer over de oplossingen van Kaspersky voor eindpuntbeveiliging.
Kaspersky Endpoint Security ontving in 2021 drie prijzen van AV-TEST voor de beste prestaties, bescherming en bruikbaarheid voor zakelijke eindpuntbeveiliging. In alle tests toonde Kaspersky Endpoint Security uitstekende prestaties, bescherming en bruikbaarheid voor bedrijven.
Gerelateerde artikelen en links:
- Wat is IoT en IoT-beveiliging?
- Dreigingsinformatie
- Wat is een geavanceerde hardnekkige dreiging en welke tekenen wijzen hierop?
- Wat is eindpuntbeveiliging?
Gerelateerde producten: