Hoe beveiligt u optimaal de IT van uw kantoor, als u digitaliseert?
Vandaag is digitaliseren meer dan ooit een must voor verzekeringsmakelaars. Maar als u digitaliseert, moet u ook uw IT beveiligen. Wat zijn dé belangrijkste internetbedreigingen waarvoor u zich moet hoeden, en hoe wapent u zich daartegen? Zet u schrap voor heel wat praktisch advies van cyberbeveiligingsexpert Steven Van Loo.
Cyberbeveiliging: moeten kmo’s en eenmanszaken daar wakker van liggen? “Zeker wel”, steekt Steven Van Loo van wal, beveiligingsexpert bij WizQIT.
“Het maakt daarbij hoegenaamd niets uit hoe groot of klein uw bedrijf is. De meeste cyberaanvallen verlopen namelijk volledig geautomatiseerd tegen internetdiensten die iederéén gebruikt. Malafide programma’s scannen continu populaire onlineservices, waarmee u bijvoorbeeld kunt e-mailen of bestanden delen en verzenden. Zo proberen ze in accounts in te breken, waarna ze er op allerlei manieren misbruik van maken.”
Waar zijn hackers naar op zoek?
“Vaak data, want die zijn geld waard. Heel veel ondernemingen onderschatten de waarde van de gegevens die ze bezitten. Als makelaar weet u misschien hoe een bedrijf dat klant bij u is, aan baanbrekende technologie werkt, waarop het een patent zal nemen. Wanneer ik dat als buitenstaander te weten kom, kan ik daar munt uit slaan op de beurs.
Ook informatie op sociale media is meer waard dan velen denken. Hackers proberen vaak toegang tot iemands account te krijgen, om zich zo een beter beeld van die persoon en zijn vriendenkring te vormen. Daarna kunnen ze makkelijker een phishingaanval uitvoeren.
Daarbij benaderen hackers het slachtoffer vaak via e-mails, waarbij ze doen alsof ze een vriend zijn, of de bank. Dat in een poging om persoonlijke, gevoelige, waardevolle gegevens te ontfutselen. Ze zullen u bijvoorbeeld doorverwijzen naar een website die als twee druppels water op de site van uw bank lijkt, waarop ze vragen om uw bankgegevens in te voeren. Of de ‘vriend’ probeert u te overtuigen een kwaadaardige bijlage te openen.”
Phishing brengt ons tot een tweede goed waar vele hackers op uit zijn.
“Juist: geld. Vaak proberen ze iemand via e-mail te overhalen om een overschrijving te doen. Hun e-mail ziet er dan bijvoorbeeld uit als die van een klant, waarin hij vraagt of u nu meteen op een belegging kunt intekenen. ‘Ik ben op vakantie, maar u hebt mijn akkoord.’ Waarop de geadresseerde overstag gaat, en het geld met de noorderzon verdwijnt.
Bij een andere veelgebruikte methode achterhalen hackers eerst welke bedrijven aan hun slachtoffer leveren, waarna ze de facturen van die leveranciers namaken, met een ander rekeningnummer op. Met misschien wel een vage omschrijving van de geleverde dienst, maar een – in eerste instantie althans – aanvaardbaar bedrag en mogelijk zelfs dezelfde periodiciteit van betaling, zodat het bijna niet opvalt dat het om bedrog gaat. Eén iets zou echter meteen een belletje moeten doen rinkelen: het nieuwe rekeningnummer.
Hoe u niet in de val van deze e-mails en facturen trapt? Bel eerst even naar uw leverancier of klant, ter controle. Want het kan daarna van kwaad naar erger gaan: de eerste keer betaalt u misschien een normaal bedrag, maar het jaar erna ligt dat mogelijk veel hoger, omdat u met de eerste betaling een moeilijk te annuleren contract sloot.”
En dan is er nog de software die u gijzelt, om losgeld te verkrijgen?
“Ja, ransomware. Hoe vaak krijgen we met z’n allen geen e-mails van ogenschijnlijk klanten, met een bijgevoegd document? En hoe snel zijn velen dan niet geneigd om die bijlage meteen te openen? Gaat u daar niet meteen toe over, des te beter. Maar vele anderen vertrouwen e-mails te makkelijk.
Ransomware stuurt ook automatisch e-mails met bijlagen uit, op het eerste gezicht afkomstig van een betrouwbare afzender. Eenmaal u de bijlage echter hebt geopend, versleutelt software uw computer, waarna u er geen toegang meer toe krijgt. Als u dan geen goede back-ups hebt, kunt u uw computer alleen deblokkeren door losgeld te betalen.”
Hoe bescherm ik me als makelaar tegen al die misbruiken?
“Door een aantal basisprincipes te hanteren, bespaart u zich al veel onheil. Om te beginnen: deel geen gebruikersnamen en wachtwoorden met medewerkers, voor geen enkele internetdienst. Iedereen moet een eigen account aanmaken.
Deelt u inloggegevens toch, door ze bijvoorbeeld te mailen, dan belanden die onvermijdelijk ergens waar ze niet thuishoren. Bovendien wordt dan vaak voor een makkelijk te onthouden wachtwoord gekozen, waardoor hackers het alsnog vlot achterhalen.
Als het dan misgaat, kunnen de gevolgen enorm zijn. Beeld je eens in dat iedereen met dezelfde makkelijke inloggegevens tot dezelfde cloudopslagdienst toegang heeft, waarop alle facturatiegegevens van de klanten staan. Als een hacker dan het wachtwoord achterhaalt, kan hij valse facturen uitschrijven, in naam van het bedrijf.
En voor wat valse e-mails en facturen betreft: vertrouw zo’n berichten niet zomaar. Kijk bijvoorbeeld eerst naar de afzender van de e-mail. Zijn e-mailadres is vaak niet correct. Net als het internetadres van de website waar een mail u mogelijk naartoe leidt.”
Maakt het uit welke internetdiensten ik gebruik?
“Zeker. Als u bijvoorbeeld gevoelige documenten verstuurt of in de cloud opslaat, via een onlineservice daarvoor, moet u zeker zijn dat niemand anders die kan verkrijgen. Ga er echter nooit zomaar van uit dat de internetdiensten dit zelf volledig garanderen, hoe populair ze ook zijn.
Op weg naar de bestemmeling passeert uw e-mail langs verschillende e-mailproviders. Elk van hen houdt een kopie bij. Tegelijk huren ze bedrijven in die de e-mails back-uppen. Ik beweer nu niet dat al die ondernemingen de e-mails sowieso niet beveiligd bewaren, dat doen ze mogelijk wel. Maar u moet daar zeker van zijn. Diensten voor cloudopslag versleutelen bestanden dan weer eventueel alleen bij het up- en downloaden.
Mogelijk beveiligen de internetdiensten ook alleen die zaken waartoe ze wettelijk verplicht zijn. Bovendien is de wetgeving soms voor interpretatie vatbaar. De Europese GDPR-privacywetgeving schrijft voor dat bedrijven persoonsgegevens adequaat beveiligd moeten bewaren. Maar wat is adequaat? Hoever moeten ondernemingen dan beveiligen?
Hoe kan ik zeker zijn dat mijn mails en bestanden in de cloud genoeg beveiligd zijn?
“Idealiter verstuurt u geen gevoelige bijlagen via e-mail. En wilt u dat toch doen, reken dan op een betalende service, die e-mails gegarandeerd compleet beveiligt, inclusief bijlagen en bijgehouden kopieën. Hetzelfde geldt voor het opslaan van bestanden in de cloud. Kies een dienst waarvoor u betaalt en die uw documenten versleutelt terwijl ze opgeslagen zijn. Of de service zover beveiligt, leest u in de algemene gebruiksvoorwaarden.
Daarbovenop moet u zich via tweefactorauthenticatie kunnen aanmelden. Daarbij logt u niet alleen met een wachtwoord en gebruikersnaam in, maar ook met een tweede factor: bijvoorbeeld met een code die u op uw smartphone ontvangt.”
Hoe bescherm ik mijn lokale informatica tegen bedreigingen?
“Uw computers en servers moet u afdoende beschermen met beveiligingssoftware, op elk toestel apart. Vroeger beschermden zo’n pakketten alleen tegen computervirussen. Vandaag beveiligen ze tegen veel meer. Ook ransomware, bijvoorbeeld. Hoewel dit geen vrijgeleide is om onvoorzichtig te handelen. Softwareontwikkelaars zitten in een onophoudelijke nek-aan-nekrace met de makers van computervirussen en kwaadaardige bestanden.
Tegelijk is het vandaag belangrijk dat u gevoelige gegevens die lokaal op uw computer staan, versleuteld bewaart. Als iemand dan toegang tot uw toestel krijgt, moet hij nog eerst uw wachtwoord ingeven om de bestanden te lezen. Anders hoeft hij maar even een USB-stick in uw computer in te pluggen, en alle documenten te kopiëren.
Vergeet bovendien niet om uw smartphone en tablet te beveiligen, als u er gevoelige gegevens mee raadpleegt of doorstuurt. Ook die toestellen zijn tegenwoordig vaak het mikpunt, maar weinigen beseffen dat genoeg.”
Moet ik ook mijn lokaal bedrijfsnetwerk beveiligen?
“Dat hangt ervan af. Gebruikt u alleen onlinediensten, dan is lokale netwerkbeveiliging aangeraden, maar niet cruciaal. Hebt u echter gevoelige bestanden en applicaties met vertrouwelijke gegevens op uw lokale computers of servers, dan moet u uw bedrijfsnetwerk wel beveiligen.
Hoe pakt u dit nu aan? Zorg er om te beginnen voor dat uw klanten of bezoekers op een apart draadloos netwerk inloggen, los van een intern draadloos bedrijfsnetwerk. Zo hebben zij daar geen toegang toe en loopt u al minder kans op security-incidenten.
Het draadloze netwerk voor de klanten en bezoekers wordt vaak met een zogenaamde WPA-sleutel beveiligd: een vast wachtwoord dat identiek is voor alle gebruikers. Als u voor deze beveiliging kiest, moet u dat wachtwoord om de zoveel maanden veranderen. Anders behoudt iedereen die ooit die sleutel ontving, verder toegang.
Uw medewerkers laat u beter via een gebruikersnaam en wachtwoord op het interne draadloze netwerk inloggen. Zo is de toegang daartoe voor iedereen apart beveiligd en bestaat er geen algemene sleutel, die snel kan rondgaan en zo bij derden terechtkomen. De drempel om een eigen gebruikersnaam en wachtwoord te delen, ligt vaak iets hoger.
Dwing ook af dat uw werknemers regelmatig hun wachtwoord wijzigen. Op die manier zal het vorige wachtwoord geen toegang meer bieden, mocht een hacker het toch bemachtigd hebben. Wanneer iedereen met een eigen gebruikersnaam en wachtwoord inlogt, kunt u ook achterhalen met welke gebruikersnaam een hacker binnen is geraakt. Dat lukt niet indien u de netwerktoegang louter met een WPA-sleutel beveiligt.”
En wat met het netwerk thuis, nu zo veel mensen telewerken?
“Als beheerder van een bedrijfsnetwerk weet u perfect welke toestellen daarop aangesloten zijn. Maar u ziet niet welke apparaten toegang hebben tot het privénetwerk van uw werknemers. Daarop zitten mogelijk tablets, smartphones en computers zonder enige beveiligingssoftware. Dat zijn allemaal bijkomende potentiële bronnen van infecties.
Belangrijk is dat uw werknemer vanaf zijn werkcomputer veilig op het bedrijfsnetwerk kan werken. Op zijn toestel moet dus de laatste beveiligingssoftware actief zijn, om te voorkomen dat het besmet raakt door andere potentiële infectiebronnen op zijn thuisnetwerk. Zorg er bovendien voor dat uw medewerkers veilig op het bedrijfsnetwerk kunnen inloggen, zonder verder risico op infecties. Dat verloopt het best met een tweede factor of token, zoals wanneer u zich aanmeldt bij uw toepassing voor online bankieren. Op die manier kan een hacker nadien geen verbinding op afstand opzetten, wanneer hij de gebruikersnaam en het wachtwoord heeft kunnen achterhalen.”
Moet ik een specialist inschakelen, voor de cyberbeveiliging?
“Heel veel zaken kunt u zelf regelen, bijvoorbeeld wat de keuze van internetdiensten betreft. Vaak komt u ook ver met gezond verstand en de nodige achterdocht. Maar om uw hard- en software afdoende te beveiligen, rekent u het best op een expert. Desnoods alleen om advies in te winnen, zodat u van in het begin de juiste oplossingen kiest. Op zich hoeven die dan niet veel te kosten. Zo kunt u met een beperkt budget veel verwezenlijken. Blijf ook aandacht voor security hebben: beveiligen is een werkwoord, een proces dat nooit ten einde is.”