De cybersecurity awareness maand van 2022 is bijna ten einde. Ook dit jaar was er weer veel te leren, lezen en bezoeken. De oplettende lezer denkt nu wellicht het volgende en dat is; hoe zit het met de twee thema’s die European Union Agency for Cybersecurity (ENISA) had gekozen? Daar is nog geen woord aan besteedt. En dat klopt ook. Tot nu.
Uiteraard wil ik stil staan bij deze twee (ook) belangrijke onderwerpen. De onderwerpen die dit jaar gekozen zijn, zijn Phishing en Ransomware. Niet geheel verwonderlijk dat deze twee onderwerpen gekozen zijn. Beide onderwerpen zijn sinds lange tijd steeds meer aanwezig in ons digitale leven en zorgen daarmee voor grote problemen. De twee onderwerpen zijn ook nog eens aan elkaar te koppelen. Immers kan via een phishing campagne een medewerker misleidt worden en een website bezoeken en / of een bestand downloaden en openen waardoor ongemerkt “de deur” voor de crimineel geopend wordt. Deze kan dan in de organisatie zijn gang gaan.
Dit betekent overigens niet dat indien je per ongeluk een phishing link aan klikt, er gelijk een ransomware aanval komt. Phishing wordt natuurlijk ook nog heel “traditioneel” gebruikt om naar (inlog)gegeven te vissen. En hoewel jouw organisatie je natuurlijk al heeft vertelt hoe je e.e.a. kunt herkennen willen wij dit hier nogmaals beschrijven. Indien je organisatie je nog niet hier in heeft onderricht geef mij dan een seintje.
Een eerste en eenvoudig item om te controleren is het taalgebruik en spelling. Mijn d en t gebruik is helaas niet altijd 100% (mijn lerares Nederlands kan zich hier nog steeds over opwinden ;-)), maar bij criminelen is het schering en inslag. Daarnaast is de opbouw van de zin vaak ook onlogisch, of hebben ze een online vertaal website gebruikt die niet altijd even goed is. Een ander item om te controleren is de URL waar je geacht wordt op te moeten klikken. Veelal komt het domein van de afzender niet overeen met de link in de e-mail. Een andere tip om scherp op te zijn is tijdsdruk. Vaak wordt er geschreven dat “iets” snel gedaan moet worden op straffe van een boete, slechte beoordeling, etc.. Negeer dit soort zaken en meldt de e-mail (indien zo afgesproken in de organisatie) op de afsproken manier bij het verantwoordelijke team. Zij kunnen aan de hand van de e-mail bepalen of het inderdaad een phishing e-mail is en indien nodig maatregelen treffen. Wees ook niet bang om snel melding te maken indien je per ongeluk toch ergens op geklikt of geopend hebt. Hoe sneller het verantwoordelijke team dit weet, hoe sneller zij (technische) maatregelen kunnen treffen. Zij zullen je eeuwig dankbaar zijn en lering trekken uit het mogelijke incident.
Dat mogelijke incident had er een van het type ransomware kunnen zijn. En in dat soort situaties is o.a. snelheid gewenst. Hoe sneller namelijk systemen (gecontroleerd) afgeschakeld kunnen worden, hoe minder herstelwerkzaamheden er nodig zijn. Wat kun je naast het snel melden nog meer doen om sowieso dit type incidenten te voorkomen? Het lijkt voor de hand liggend maar vaak gebruiken medewerkers toch nog onbekende USB devices omdat het toch net even handig is. Maar dat is het dus niet. Wil je bestanden veilig meenemen, versturen of ontvangen gebruik de hiervoor aangeboden bestandenuitwisseling software zoals door je organisatie beschikbaar is gesteld. Heeft je organisatie nog niet deze middelen beschikbaar gesteld, vraag hier dan om. Daarnaast maken criminelen eenvoudig weg gebruik van (bekende) kwetsbaarheden in applicaties, besturingssystemen en dergelijke. Zorg dus dat je altijd up2date bent met updates van alles wat je gebruikt. Dat maakt het aanvalsoppervlak voor criminelen al weer een stuk kleiner.
Als ICT/ Security team kun je, zoals ik in een eerdere blogpost heb aangegeven, overigens niet alleen afhankelijk zijn van collega’s die wel of niet per ongeluk op een link klikken of een bestand openen. Zorg dat je van te voren dit type incidenten en/of scenario’s hebt doorgenomen en de bijbehorende technische maatregelen hebt getroffen. Een enkele klik of bestand dat geopend wordt zou vervolgens dus niet de gehele organisatie tot stilstand mogen brengen. Voor het geval dat dit toch gebeurd is het dan ook vereist dat hier over is nagedacht en dat acties zijn ondernomen. Denk bijvoorbeeld aan een juiste back-up en restore strategie (die ook getest is). Maak deze strategie onderdeel van het plan dat uitgevoerd moet worden als een incident zich voor doet. En ook hier niet onbelangrijk is dat het plan minimaal één keer doorgenomen moet worden zodat iedereen (alle stakeholders) zeker weet dat het plan werkt.
Wat ik nog mee wil geven is dat indien een incident zich voor doet er over twee zaken heen gestapt moet worden:
- Geen enkele organisatie heeft alle wijsheid in pacht. En zeker tijdens grootschalige cybersecurity incidenten kan door de stress e.e.a. vergeten worden. Schroom dan ook niet om waar nodig gelijk externe expertise in te schakelen. Maak dit ook onderdeel van het incidentplan.
- Wees helder en zoveel mogelijk transparant in je communicatie naar stakeholders (o.a. medewerkers en klanten). Open waar het kan, gesloten waar het moet (je wilt immers criminelen niet wijzer maken dan dat ze al zijn). De (jonge) geschiedenis leert ons dat niet-transparante communicatie vaak een (extra) averechts effect heeft.
Na deze laatste opsomming ben ik aan het einde gekomen van mijn wekelijkse bijdrage in het kader van de Cybersecurity Awareness maand. Ik hoop dat u het informatief en leuk vond. Graag ontvang ik terugkoppeling of tips over onderwerpen voor een volgende keer.
-thijs