"De menselijke natuur vormt het grootste veiligheidsrisico"
Wil je als ondernemer zorgen dat je bedrijf cyberveilig is, dan heb je er een flinke klus bij. Dat is de boodschap van Wendy van Ierschot, eigenaar van VIE People, een middelgroot bedrijf in de HR-branche. “Het is niet alleen een kwestie van zorgen voor waterdichte systemen, ook moet je, samen met je personeel, constant alert zijn op phishing en hackpogingen. Juist nu we allemaal thuis werken."
VIE People verleent een hele reeks diensten op HR-gebied, van recruiting tot talentontwikkeling en consultancy. De ruim dertig medewerkers komen veel bij klanten over de vloer. “Mobiel werken, op afstand van elkaar, deden we dus al veel, ook voor de Coronacrisis”, vertelt ze. “Maar zoveel werken vanuit huis is wel redelijk nieuw voor ons. Het grote risico hiervan is de onveilige internetverbinding die collega’s thuis, vaak onbedoeld en onbewust, gebruiken om hun werk te doen. Zo hebben ze soms een te gemakkelijk wachtwoord voor de wifiverbinding. Hackers kunnen gemakkelijk inbreken en privacygevoelige gegevens stelen.”
Hackpogingen
Cybersecurity is een van de grootste uitdagingen van deze tijd voor ondernemers, meent Van Ierschot. “Niet alleen moet je je goed verdiepen in alle soorten hackpogingen en de ICT-oplossingen daarvoor, ook moet je constant alert zijn op phishing en zorgen dat je medewerkers dat ook zijn en blijven. Dat laatste is de zwakste schakel: veel mensen zijn niet bestand tegen mooipraterij van bedriegers aan de telefoon en doorzien moeilijk hun subtiele, uitgekiende methodes om je te chanteren. Hier alert op leren zijn kost veel tijd en energie.”
Training en bewustwording
Met het uitbreken van de Coronacrisis heeft Van Ierschot de cybersecurity omhoog geschroefd. “We zaten er al bovenop omdat wij veel met persoonlijke gegevens werken. Maar nu zet ik in op training en bewustwording van medewerkers. Nieuwe collega’s krijgen een presentatie over cyberveiligheid en wat zij daar zelf aan kunnen doen. Het gaat om discipline: zorg dat je goed wachtwoordbeheer voert, bijvoorbeeld met two factor-authenticatie, maak gebruik van degelijke clouddiensten en houd je personeel scherp door ervaringen te delen. Als een van ons een nepfactuur heeft gehad of een appverzoek om geld over te maken, delen we die berichten via communicatietool Slack, zodat anderen de fraude herkennen.”
Oplichterstrucs
In haar ondernemersnetwerk heeft Van Ierschot al veel oplichterstrucs voorbij zien komen. Een kennis zag op een dag alle schermen van haar bedrijf op zwart springen. Via een lek in een scanapparaat hadden hackers toegang gekregen tot de systemen en zetten de eigenaar onder druk een groot bedrag te betalen om de eigen bedrijfsinformatie terug te krijgen. Een ander heeft meegemaakt dat fraudeurs valse facturen vanuit zijn eigen e-mailaccount verstuurden. Een klant boekte daardoor meer dan een miljoen euro naar een valse bankrekening. Binnen enkele minuten werd dit bedrag verspreid over vele andere bankrekeningen in verschillende landen onder diverse namen zodat het geld niet meer te traceren was.
Drie sloten
Van Ierschot probeert behalve zichzelf, ook haar klanten te beschermen tegen cyberfraude. Toen VIE People een nieuwe vestiging opende, zorgde zij dat klanten het nieuwe rekeningnummer persoonlijk van medewerkers van VIE People te horen kregen. Anders zouden fraudeurs, die lucht gekregen hadden van de verhuizing, misschien nepberichten met een vervalst rekeningnummer sturen. “Iedere ondernemer moet bij elke verandering alert zijn op fraudepogingen van hackers”, zegt Van Ierschot. “Het is net zoals het afsluiten van je huis. Als je in een dorp woont, kun je gewoon de deur achter je dicht doen. Maar woon je in een grote stad, dan zorg je voor drie sloten en een alarmsysteem. We blijven allemaal kwetsbaar.”
Overtuigend
Zelf werd Van Ierschot aan de telefoon benaderd, of zij nog niet geregistreerde domeinnamen die haar bedrijfsnaam bevatten wilde kopen. “Die jongen was zo overtuigend dat ik er bijna intuinde”, bekent zij. “Je moet sterk in je schoenen staan om je gezond verstand te blijven gebruiken.” De trucs worden steeds slimmer, de oplichters brutaler en de technieken geavanceerder. “Bij iedere borrel van mijn ondernemersnetwerk vraag ik door bij collega’s die getroffen zijn door fraude. Die kennis maakt mij alert.”
Tips van Wendy van Ierschot voor ondernemers:
- Reik je personeel tools aan om veilig met elkaar te communiceren. Als ze het zelf moeten regelen, kunnen ze hun toevlucht nemen tot onveilige manieren.
- Besteed binnen je bedrijf ieder halfjaar aandacht aan cyberveiligheid en hoe daar alert op te zijn.
- Deel verdachte berichten en ervaringen van collega’s met fraudepogingen via een apart communicatiekanaal, bijvoorbeeld een appgroep.
- Verbied je medewerkers om algemene wifinetwerken, zoals in de trein, te gebruiken. Deze zijn zeer onveilig. Laat hen een hotspot op de eigen telefoon gebruiken en betaal als werkgever deze data.
- De menselijke natuur is de grootste valkuil. Train je mensen om gladde praters en verdachte berichten te ontmaskeren.
- Zorg dat iedereen altijd updates draait op al zijn apparaten.
- Leer van de ervaringen van andere ondernemers.
Zijn jouw medewerkers op de hoogte van de oplichtingstrucs?
'Social engineering' is een verzamelterm voor de technieken die (cyber)criminelen inzetten om door middel van psychologische manipulatie ondernemers te verleiden persoonlijke of bedrijfsgevoelige gegevens prijs te geven. Als jouw medewerkers deze trucs herkennen, kun je dit soort inbrekers buiten de deur houden.
Ondernemend Nederland vertelt
Het Digital Trust Center streeft naar een digitaal veilig ondernemend Nederland. Dit doen wij door kennis en informatie te bieden waar ondernemers zelf mee aan de slag kunnen. Net zo belangrijk zijn verhalen van ondernemers uit de praktijk. Wat kun jij leren van ondernemers die met een cyberaanval te maken hebben gehad?
Starten met cybersecurity
Heb je nog geen kennis en ervaring? Pak het dan praktisch en gefaseerd aan met de CyberVeilig Check voor zzp en mkb. Weet binnen 5 minuten wat je vandaag te doen staat om je bedrijf beter te beschermen tegen cyberaanvallen. Download je eigen actielijst en ga vandaag nog aan de slag met onze praktische instructies en tips.