Wat kan er nou gebeuren?
Naar aanleiding van de berichtgeving over het gebruik van privé e-mail accounts voor zakelijke doeleinden door minister De Jonge en burgemeester Halsema kreeg ik de volgende vraag van iemand toegestuurd: “Leg mij eens uit wat het gevaar is als ik mijn zakelijke mail gebruik om mijzelf (bijv.) te herinneren aan iets …”
Het antwoord op die vraag is niet in één zin te geven. We moeten hiervoor goed kijken naar de cyber-risico’s waaraan we tegenwoordig blootstaan en begrijpen dat die cyber-risico’s niet alleen een technisch aspect hebben zoals het risico op een technische inbraak in het netwerk, servers of e-mail systeem. Bij cyber-risico’s speelt het menselijk gedrag (veilig gedrag met ICT-middelen en bedrijfsinformatie) namelijk een zeer grote rol. En dat heeft invloed op de manier waarop cybercriminelen hun activiteiten uitvoeren. Ik probeer in dit blog uit te leggen hoe belangrijk het veilig gedrag van medewerk(st)ers is, hoe cybercriminelen te werk gaan en waarom je zakelijke- en privé e-mail beter gescheiden kunt houden.
Menselijk gedrag: medewerk(st)ers worden verleid
Mensen die mijn blogs volgen weten dat ik me hard maak voor het vergroten van de security awareness binnen het bedrijfsleven. Meer dan 70% van alle cyber-incidenten wordt veroorzaakt door menselijk gedrag. Cybercriminelen maken handig misbruik van gewone menselijke eigenschappen en verleiden hun slachtoffers met slimme social engineering methodes om op een kwaadaardige link of attachment te klikken of vertrouwelijke informatie te delen via een nep-inlog webpagina. Daarom is het van belang dat de mensen in elke organisatie bewust worden gemaakt van deze vorm van criminaliteit. Bewuste mensen zijn weerbaar en dat verlaagt het risico op incidenten en datalekken. Op YouTube heb ik over dit onderwerp een kort (9 minuten) filmpje geplaatst met een presentatie over waarom awareness vergroting belangrijk is: https://www.youtube.com/watch?v=O-w6X3-nnNI&t=1s
Hoe interessant ben ik als medewerk(st)er?
In ieder bedrijf is veel informatie aanwezig. Die informatie is erg interessant voor een cybercrimineel. Waarom? Omdat die informatie veel geld waard is. Denk bijvoorbeeld aan personeelsgegevens, financiële/bank gegevens, marketing plannen, research & development informatie, productinformatie, prijsinformatie, klantenbestanden, prospects, offertes, e-mail accounts, etc. En wat te denken van de bedrijven die (al dan niet tegen de privacy-wetgeving in) duizenden “Kopietjes paspoort”, BSN-informatie of medische gegevens van hun klanten en relaties opslaan en eindeloos bewaren? Op het donkere gedeelte van het internet (darkweb) worden dergelijke gegevens te koop aangeboden.
Mensen die in een bepaalde strategische positie van een bedrijf of organisatie opereren moeten zich ervan bewust zijn dat zij extra cyber-risico lopen. Zij zijn voor cybercriminelen immers een extra interessante doelgroep omdat ze toegang hebben tot strategische en/of vertrouwelijke informatie. Dit geldt natuurlijk in het bijzonder voor mensen die werkzaam zijn in het openbaar bestuur, in de politiek of in de regering.
Cybercriminelen werken stapje-voor-stapje
Een cyber-aanval moet “ergens” beginnen. Er wordt gezocht naar ingangen om digitaal binnen te dringen. Dat gebeurt meestal met een phishing e-mail naar een of meerdere medewerk(st)er(s) waarmee geprobeerd wordt om iemand te laten klikken op een kwaadaardige link of een attachment.
Phishing is nog steeds super-effectief voor cybercriminelen. Veel mensen klikken op de kwaadaardige links in zo’n mail. Wij voeren met regelmaat phishingtesten uit bij bedrijven. Bij die testen zijn de klik-percentages tussen de 25-40% van de medewerk(st)ers eerder regel dan uitzondering. En dat zijn dan niet de moeilijkste phishing e-mails. Dat is jammer, want medewerk(st)ers kunnen getraind worden hoe ze dit kunnen herkennen en hoe ze moeten handelen.
Als er door een medewerk(st)er geklikt wordt op een kwaadaardige link dan kan er malware op je computersysteem terecht komen. Voor de cybercrimineel is het eerste stapje dan gezet! Die malware gaat (automatisch) op zoek naar interessante informatie op je computer. En met de informatie die wordt gevonden (bijvoorbeeld een “handige” spreadsheet met usernames/password combinaties op je computer) kunnen de criminelen de volgende stapjes nemen en op die manier steeds “dieper” doordringen in het bedrijfsnetwerk. Als er dan ook privé informatie wordt gevonden kunnen de criminelen toegang krijgen tot je privé internet accounts zoals bijvoorbeeld je privé e-mail account. Er wordt informatie verzameld en de crimineel krijgt inzicht in de opbouw van het netwerk van je bedrijf en de inhoud van je privé e-mail. Dit proces kan maanden in beslag nemen en gaat door tot het moment dat de “echte” aanval wordt uitgevoerd. Dan worden bijvoorbeeld met ransomware de gegevensbestanden van het bedrijf versleuteld en kun je ze niet meer gebruiken. Weg klantenbestand. Weg projectplanning. Weg marketing/salesplannen. Weg agenda. De schade is niet te overzien, we kunnen dagelijks in de media lezen over organisaties die worden getroffen en soms volledig platgelegd. Je bedrijf ligt stil en er wordt door de cybercriminelen om een losgeld gevraagd. Na het betalen van dat losgeld beloven ze de gegevens weer vrij te geven. Let wel: ze beloven het. Criminelen geven echter geen garanties.
Usernames/password combinaties worden ook verhandeld op het donkere gedeelte van het internet. Dat is dus ook een mogelijkheid om toegang te krijgen tot accounts van mensen en bedrijven.
Waarom kun je beter je zakelijke en je privé e-mail gescheiden houden?
Zoals hierboven aangegeven gaat het er dus om dat er kleine stukjes informatie worden verzameld waarmee cybercriminelen steeds weer nieuwe “stapjes” kunnen nemen. Alle informatie die gevonden wordt is bruikbaar. Daarom is het van belang dat zakelijke informatie niet in je privé inbox terecht komt. Zéker als het gaat om vertrouwelijke informatie. En dat geldt dus beide kanten op: Zakelijke informatie niet naar privé-mail sturen én privé-informatie niet naar zakelijke e-mail sturen. Zie hieronder een paar argumenten.
Niveau van beveiliging
Er bestaat in de praktijk een groot verschil tussen het niveau van IT-beveiliging op het werk en het niveau van IT-beveiliging bij mensen privé thuis. Het draadloze internet (WIFI) is thuis vaak minder goed beveiligd, in sommige gevallen zelfs nog “open” (zonder wachtwoord). Wachtwoorden worden jarenlang niet veranderd. Worden er wel sterke wachtwoorden gebruikt? Worden die wachtwoorden met anderen gedeeld? Of worden dezelfde wachtwoorden voor meerdere internet accounts gebruikt? Wordt er MFA (Multi Factor Authenticatie) toegepast als extra beveiligingslaag bij het inloggen in internet accounts? Krijgen gasten bij u thuis ook toegang tot uw WIFI? Bent u er dan wel zeker van dat zij "schone" apparatuur hebben?
Speciale aandacht voor je telefoon
Veel mensen lezen hun zakelijke e-mail ook op hun (privé) telefoon. Maar diezelfde telefoon ligt op een terrasje of in een restaurant gewoon op tafel. Is die telefoon wel goed beveiligd? Dit zijn risico’s waar wel goed over moet worden nagedacht.
Je Inbox als interessant archief?
Als je vanuit je zakelijk e-mail (vertrouwelijke) informatie stuurt naar je privé e-mail account komt die vertrouwelijke informatie (dat is in ieder geval je zakelijke e-mail adres en de inhoud + eventuele attachments van de e-mail) dus in je privé e-mail inbox terecht. Bij veel mensen blijft die informatie daar vervolgens voor altijd staan.
Met “spearphishing” kunnen zeer persoonlijk gerichte phishing e-mails worden gestuurd aan één persoon. Als de privé e-mail account van iemand bijvoorbeeld boordevol foto’s staat van zijn/haar paard is het aannemelijk dat de eigenaar van de mailbox een paarden-liefheb(st)er is. Het is dan eenvoudig om met een phishing e-mail een valse “persoonlijk gerichte uitnodiging” te sturen naar zijn/haar zakelijke e-mail adres om zich aan te melden als VIP gast bij een paardenconcours. Met een simpele klik kan het slachtoffer zich dan “aanmelden”.
Logging
Het is niet mogelijk om achteraf na te gaan (logging) wat er met specifieke informatie is gebeurd nadat een e-mail vanuit een zakelijk e-mail adres naar een privé e-mail account is gestuurd. Dit kan tot juridische kwesties leiden en is dus zéker van belang als het zéér vertrouwelijke informatie betreft waarvoor logging noodzakelijk of verplicht is.
Hoe gaan anderen om met de privé-apparatuur?
Als je zakelijke informatie naar je privé e-mail account stuurt is het aannemelijk dat je die e-mail dan ook op een privé apparaat (laptop, computer, tablet, telefoon) gaat lezen. Zijn al die apparaten wel goed beveiligd? Worden die apparaten thuis door meerdere personen gebruikt? Spelen de kinderen ook spelletjes op je laptop of tablet? En klikken ze dan misschien wel eens (per ongeluk natuurlijk!) op een phishing e-mail? Zo ontstaat een risico dat vertrouwelijke informatie op meerdere apparaten terecht komt en de verspreiding ervan een eigen leven gaat leiden.
Overdreven?
Het bovenstaande zal door sommige mensen worden ervaren als “overdreven”. Denk er echter niet te makkelijk over. Informatie lekt sneller dan je denkt en kan dan misbruikt worden. Voorbeeld: Tot overmaat van ramp werd het privé e-mail adres van minister De Jonge tijdens een debat hierover in de tweede kamer (live op televisie!) nog eens duidelijk voorgelezen.
Goede security maatregelen worden omzeild door informatie naar een privé e-mail account te sturen. Uit gemakzucht en “omdat dat praktischer werkt”. Jouw zakelijke e-mail adres kan misbruikt worden door cybercriminelen voor het versturen van phishing e-mails.
Probeer zakelijke en privé email apart van elkaar te houden en wees voorzichtig met het delen van vertrouwelijke informatie. Als er goede security maatregelen beschikbaar zijn maak daar dan goed en verantwoord gebruik van. Als de securitymaatregelen hun doel voorbij schieten en het werk onmogelijk maken ga dan het gesprek aan over de mogelijkheden om dit probleem te verbeteren.
Reactie plaatsen
Reacties