Door: Erik Jan Koedijk, strategisch adviseur
Er is een tsunami aan datalekken. Laten we met alle medewerkers in organisaties nu de handen ineen slaan om dit te gaan stoppen. Samen kunnen we dat! Op 25 maart 2021 maakt de NOS wederom een nieuw datalek bekend. De NOS schrijft: ‘De privé-adressen en telefoonnummers van mogelijk miljoenen Nederlanders zijn in handen gevallen van criminelen. Ze zijn gestolen bij een bedrijf dat autogarages ict-diensten aanbiedt. Naast de NAW-gegevens gaat het ook om e-mailadressen, kentekens, telefoonnummers en geboortedata, blijkt uit onderzoek van de NOS. De gegevens worden op een populair hackersforum te koop aangeboden.’ Het treft mogelijk miljoenen Nederlanders.
Wat we leren van het bericht is dat de data wellicht oudere data bevat. Maar ja, wanneer het gaat om je geboortedatum dan maakt het natuurlijk niet uit wanneer deze wordt gestolen. Tijd om de digitale werkomgeving veiliger te maken, samen kunnen we dat, samen veiliger! Lees en deel dit blog met je netwerk om aan de slag te gaan.
TIPS voor organisaties
Organisaties hebben veel uitdagingen met digitale transformatie. Hierbij 5 tips om datalekken te voorkomen. Uiteraard zijn er veel meer tips, maar laten we elkaar helpen. Laten we een beweging in gang zetten.
1. Stel twee factor authenticatie binnen jouw organisatie, ook bij cloudaccounts!
Veel marketing- en sales professionals gebruiken ’tooltjes uit de cloud’. Denk aan tools om planningen mee te vereenvoudigen, e-mails mee te versturen of bestanden met elkaar te vergelijken. Besef je goed dat je daarmee overal persoonsgegevens laat rondslingeren. Stel in ieder geval twee factor authenticatie in. Een volledige uitleg tref je hier aan op deze website. Binnen jouw digitale samenwerkingsstrategie zou je hier trouwens wel een beleid voor moeten hebben ontwikkeld.
2. Leeg je downloadmap met rondslingerende bestanden
We werken veel op afstand en met verschillende technische hulpmiddelen. Om die reden sla je onbewust erg veel data op binnen jouw devices (laptop, pc, smartphone). Omdat die devices steeds grotere opslagcapaciteit hebben staan er voordat je het weet heel veel persoonsgegevens op die er niets te zoeken hebben. Plan dus met jouw team een ochtend in volgende week om gezellig samen een teams sessie op afstand te hebben om dit samen te doen. Deel met elkaar wat je aantreft en verwijder het:-) Zo krijgen hackers geen kans. Oh ja …. leeg ook eens jouw eigen gmail of hotmail waar je toevallig veel xls-jes naar had gestuurd in het verleden om thuis door te werken.
3. Gebruik ALTIJD jouw VPN
Gebruik altijd een VPN – en dan wel een veilige – op je laptop of smartphone wanneer je niet op het gesloten bedrijfsnetwerk werkt. Je wilt niet weten hoeveel data er gestolen wordt van mensen die werken op onbetrouwbare netwerken. Onbetrouwbare netwerken zijn ook netwerken in bijvoorbeeld hotels of starbucks waar je een wachtwoord nodig hebt. Want omdat iedereen datzelfde wachtwoord gebruikt zit je daarna weer gezellig samen op een netwerk. De criminelen die het proberen pik ik er trouwens makkelijk uit hoor, het gedrag valt op. Je vindt ze met name in airportlaunches of bijvoorbeeld in populaire restaurants waar bijvoorbeeld veel zakenmensen komen.
4. De verdwaalde server of database (bij jou of je leverancier)
Je kent het wel: je gaat een nieuwe website lanceren of we gaan een nieuwe samenwerkingstool in gebruik nemen. Alle focus is daar wat er nieuw is maar dat wat oud is vergeten we. Zorg ervoor dat je alle oude systemen en software schoon maakt en dat je dat altijd met twee paar ogen doet. Mocht je zaken bewaren, zorg dan dat deze goed zijn versleuteld en dat wordt gedocumenteerd hoe ermee om wordt gegaan en wat er precies in staat.
5. Afspraken met externe medewerkers en leveranciers
Organisaties werken steeds meer met externe professionals. Die zijn vaak goed in hun eigen vakgebied maar wat minder in de beveiliging van hun eigen apparatuur. Maak dus goede afspraken – op schrift – met elkaar hoe er om wordt gegaan met gegevens en applicaties. Zorg ook voor een goede onboarding van deze mensen. Denk hier aan duidelijk maken welk gedrag NIET is geoorloofd in de organisatie, zoals het gebruik van gratis filesharing tools, het mailen van documenten naar privé e-mail accounts en vul maar in. Wees ook scherp op welke software deze mensen meenemen binnen jouw organisatie, voordat je het weet is jouw netwerk geïnfecteerd. En tenslotte: maak duidelijk welke sancties er staan op foutief / ongeoorloofd datagebruik.
BONUSTIP 1: Pas op met wat je deelt op Social Media, zeker als je binnen data omgevingen werkt
Er wordt steeds meer gebruik gemaakt van social engineering. Ik denk dat de grootste databron voor criminelen om aan interessante ‘ingangen’ te komen LinkedIn is. Je kunt daar precies zien wie waarmee bezig is, immers ‘jan en alleman’ deelt daar allerlei interessante gegevens. Van welke tijdelijke baan ze hebben tot welke functie. Maar wat het bijzonder interessant maakt voor criminelen is om te zien wie nu voor welke technologie verantwoordelijk is. Zo weet een hacker exact wat er wordt gebruikt en waar mogelijke zwamheden zitten. Maak dit dus in je teams bespreekbaar tot hoever je wat wilt delen op Social Media zoals LinkedIn.
BONUSTIP 2: maak een BYOD en BYOT beleid!
Neem je tools, technologieën, apps en software die je thuis ook gebruikt mee naar je werk, dan wordt dat ‘BYOT’ genoemd. Dit staat voor bring your own technology. Sommige organisaties experimenteren ook met bring your own device. Medewerkers gebruiken dan hun eigen laptop of smartphone op het werk. Fantastisch dat op deze manier de slimheid waarmee we thuis gebruikmaken van digitale middelen en technieken meegenomen kan worden naar de werkvloer. Maar ga er wel verstandig mee om! Bescherm de klantdata en andere (geheime) bedrijfsgegevens, zodat deze niet buiten het bedrijf worden verspreid. Wanneer je hier een apart blog over wilt zien, laat dit weten als reactie op de post in social media en we schrijven het voor je! Wil je zelf gastblogger worden op Samen Veiliger, meld je dan hier aan.
Interesse in hoe leuker en veiliger samen te werken, lees dan RESET! In Reset! lees je ook veel tips over hoe om te gaan met cyberweerbaarheid in jouw organisatie en voor organisaties zijn cyberweerbaarheidswebinars beschikbaar.
TIPS voor consumenten om nu echt te gaan doen!
Door de tsunami van datalekken weten criminelen ondertussen veel van je. Denk aan je geboortedatum, BSN, IBAN (bankrekeningnummers), woonadres, postcode, schoenmaat, lengte, gemiddelde hartslag. Hoe dan? Dit heeft als reden dat organisaties (onbedoeld) slordig omgaan met jouw gegevens EN jij veel teveel gegevens achterlaat op websites. Pas daar dus mee op.
Controlevragen: jouw (digitale) identiteit
In deze steeds verder digitaler wordende wereld spelen controlevragen een belangrijke rol om jouw identiteit ‘vast te stellen’. Bel maar naar jouw creditcardmaatschappij, stroomleverancier of gemeente. Vrijwel altijd vraagt iemand: wat is je postcode, je huisnummer? En dan de vraag: ‘mogen we ter controle nog even jouw geboortedatum’. En vervolgens denken ze dat ze jou aan de lijn hebben. Je begrijpt me al: door de tsunami aan datalekken hebben ze nu waarschijnlijk deze gegevens in handen en misschien wel meer zoals je schoenmaat.
Kom direct in actie!
Laten we afspreken dat je de komende maand alles gaat beveiligen akkoord? Zet onderstaande 5 tips in je agenda en voer iedere week een tip uit. Deel deze blog ook met vier van je vrienden.
1. Verander je wachtwoorden en gebruik wachtwoordzinnen en/of een passwordmanager.
De meest belangrijke is “Wijzig (indien mogelijk) je gebruikersnaam en wachtwoorden op onze én andere websites waar je dezelfde gebruikersnamen en/of wachtwoorden hebt gebruikt. Het kan lastig zijn om alle wachtwoorden te onthouden. Hier vind je een aantal passwoordmanagers om je wachtwoorden veilig te bewaren.
2. Klik niet op betaallinks of inloglinks in e-mails
In veel e-mails wordt het voor de lezer makkelijk gemaakt om in te loggen op een website of een betaling te doen. Dit soort links gebruiken kwaadwillende hackers vaak in e-mails om de lezer naar een nep-website te sturen waar zij dan hun inloggegevens invullen en daarmee prijsgeven. De beste manier om dit te voorkomen is om niet op die link te klikken, maar gewoon zelf naar de juiste website van de instantie te surfen en in te loggen.
3. Verwacht je geen factuur of betaalverzoek van een instantie, neem dan contact met ze op.
Als je een factuur krijgt van ons of een andere instantie die je niet kunt plaatsen, neem dan contact op via telefoon of e-mail. Als de factuur echt is, kan de financiële administratie dit bevestigen.
4. Wil je weten of je gegevens ook op andere websites al eens buit zijn gemaakt?
Helaas gebeurt het stelen van gebruikersdata vaker dan je misschien denkt. Op haveibeenpwned.com wordt van veel websites bijgehouden welke data er is buitgemaakt bij eerdere hacks. Hier kun je door jouw e-mailadres in te vullen een beeld krijgen of jouw e-mailadres al eens eerder is buit gemaakt.
Extra tip: stel tweestapsverificatie in
Organisaties die worden gehackt vergeten als dringend acties te geven om tweestapsverificatie (ook wel tweefactor authenticatie genoemd) in te stellen. Geloof me, dit is heel heel belangrijk. Hoe je dat doet? Daar schreef ik onlangs dit uitgebreide blog over, want doe je dat, dan maak je het een hacker heel moeilijk (bijna onmogelijk) om jou te hacken.
Andere websites of apps!
Recent zijn bij veel hacks wachtwoorden gestolen. Gebruik jij voor vele accounts hetzelfde wachtwoord? Indien ja: stop hiermee en ga verschillende wachtwoorden (wachtwoordzinnen!) gebruiken die je beheert in een wachtwoordmanager (zie tip 1).
Phishing
Door de informatie die de hackers momenteel hebben gestolen hebben ze ook de beschikking over jouw e-mailadres. Zorg dus dat je bij jouw e-mailadres allereerst de tweestapsverificatie instelt. Verder valt te verwachten dat je allerlei phishingmails gaat ontvangen de komende tijd. Die afzender kan jouw bank zijn maar ook bijvoorbeeld de belastingdienst. In het Parool valt ook te lezen dat cybercriminelen steeds vaker uit naam van de Belastingdienst Nederlanders geld af te troggelen via phishingmails. En die adressen en gegevens om zo’n mailtje er betrouwbaar uit de laten zien komt uit bijvoorbeeld de recente datalekken.
In het Parool valt te lezen dat de fiscus in 2020 al 150.000 meldingen binnen kreeg over frauduleuze phishingmails en apps. “Dat is ruim vier keer zoveel als de 35.000 in 2019 en het is pas november,” vertelt Jan Polkerman, chief technology officer van de Belastingdienst. In 2017 kreeg de Belastingdienst nog slechts 7700 fraudemeldingen.
Stuur dit door
Belangrijk is elkaar samen veiliger te maken, stuur daarom dit blog door, zodat ook jouw vrienden en dierbaren actie ondernemen om hun accounts beter te beveiligen.