Vijf fouten rond cybersecurity die kmo’s zwak maken

Ondanks alle risico’s van een slecht cybersecuritybeleid negeren kmo’s te vaak deze vijf basisregels om problemen te voorkomen.

Elke organisatie groot of klein is vatbaar voor cybercriminelen. Met de beste tools kan je nog gehackt worden, maar hoe meer fouten je maakt, hoe groter het risico wordt dat je prijs hebt in de nabije toekomst. Voor ons zit Eddy Willems. Hij is al sinds 1989 met cybersecurity bezig en werkt vandaag als security-evangelist bij G Data CyberDefense.

Terwijl we plaatsnemen op de stand van de fabrikant tijdens Cybersec Europe in Brussel in mei, zien we een gefrustreerde Willems die zijn hart moet luchten. “Het is toch ongelooflijk hoe we ons allemaal nog te gemakkelijk laten vangen. Ik kan daar echt woest van worden, in al die jaren hebben we weinig tot niets geleerd.”

Of je nu een eenmanszaak hebt, bij een kmo werkt of binnen enterprise: Willems zet vijf veelvoorkomende fouten in de schijnwerpers en verklapt meteen ook hoe je die kan voorkomen.

Fout 1: Trap niet in phishing, blijf regelmatig trainen

We trappen vandaag de dag nog altijd te vaak in phishing-aanvallen, of we dat nu willen of niet. Zeker gerichte aanvallen maken ons kwetsbaar. “Er zijn regelmatig datalekken die persoonlijke informatie bevatten. Die kunnen hackers gebruiken om persoonlijke phishing-berichten te sturen. Tel daarbij nog tal van zaken die je van heel wat mensen op sociale media kan terugvinden, en je bent vaak een vogel voor de kat”, benadrukt Willems. Lees hier hoe een phishing-aanval tot stand komt.

Een persoonlijk bericht zorgt ervoor dat phishing meer kans heeft op slagen. Cybercriminelen weten dat ook en worden steeds inventiever, zeker voor profielen die ze op het oog hebben om bedrijven te infiltreren. “80 procent van alle ransomware komt vandaag binnen via phishing-aanvallen. Dat is erg hè”, antwoordt hij kwaad. “CEO’s staan al te vaak te pronken met de beste tools die ze hebben ingekocht, maar het probleem zit hem meer bij de mens die getraind moet worden.”

80 procent van alle ransomware komt vandaag binnen via phishing-aanvallen. Dat is erg hè!
Eddy Willems, security-evangelist bij G Data CyberDefense

Dat trainen en blijven trainen is belangrijk voor elke organisatie groot of klein. Recent mocht G Data CyberDefense bij een grote verzekeraar een phishing-simulatie doorvoeren. Over een periode van een maand werden vier phishing-mails verstuurd. “40 procent van de werknemers heeft erop geklikt en de bijlage geopend. Dat is waanzin! Gelukkig heeft de CEO van dat bedrijf snel de ernst van het probleem ingezien en wordt er nu veel meer op training en preventie ingezet.”

Fout 2: Maak werk van multifactor authenticatie (MFA)

Enkel en alleen een wachtwoord gebruiken is vragen om problemen, dat is al jaren zo. Zeker als dat geen unieke wachtwoorden zijn voor elke toepassing door middel van een wachtwoordmanager. Nochtans kan je zelfs een zwak wachtwoord ijzersterk maken dankzij 2FA of MFA. “Dankzij MFA kan je de meeste ransomware-aanvallen perfect counteren en zet je hackers buitenspel”, maakt Willems duidelijk.

Hoeveel kost malware? Met 250 euro kan je al veel schade aanrichten

Hij ijvert er al maar dan tien jaar voor om de talrijke voordelen van MFA te benadrukken, maar volgens hem is de mens een koppig beest dat liever gebruiksgemak boven veiligheid wil. Daarom is hij blij dat Google, Apple en Microsoft de handen in elkaar hebben geslagen om inloggen zonder wachtwoord dankzij MFA te stimuleren met een gezamenlijk collectief via FIDO inlog-standaarden.

“Ik juich deze nieuwe samenwerking toe, ook al hadden ze dat voor mijn part 10 jaar geleden al mogen doen. Pas op: dit lost niet alle problemen op. Hackers zijn heel inventief en zullen via geavanceerde phishing-aanvallen proberen om ook deze te omzeilen.”

Fout 3: Patchen, patchen, patchen, blijf alles up-to-date houden

Bij de volgende fout hebben we spijt dat we van een kokende Eddy Willems geen foto hebben genomen, want hier komt de stoom pas uit zijn oren. “Patchen, patchen, patchen, waarom hebben we dat vandaag nog niet geleerd. Ik word daar kwaad van! Ik begrijp dat ook niet! Elk toestel dat aan het internet hangt, moet up-to-date zijn.”

Elk toestel dat aan het internet hangt, moet up-to-date zijn.
Eddy Willems, security-evangelist bij G Data CyberDefense

Ook niet elk apparaat moet een rechtstreekse internetverbinding krijgen volgens Willems. Je kan dat vaak prima oplossen met een VPN-verbinding of via het bedrijfsnetwerk. “Waarom connecteren mensen vandaag nog toestellen rechtstreeks op het internet? Omdat ze lui zijn of er niets van kennen. Dat is een groot probleem hè.” Goed dat hij even een slok water neemt, voor hij helemaal oververhit. Hij krijgt even rust wanneer een fan hem vraagt om een handtekening te zetten in zijn boek Het Virus dat ze recent had gekocht.

Fout 4: Zet overal securitytools op waar je kan, ook op je smartphone

We komen bij de vierde fout dichtbij een commerciële boodschap die Willems maar al te graag voor zijn werkgever pusht, maar we stoppen het er toch in omdat het relevant is om stil te staan bij security-tools op elk toestel, zolang het mogelijk is. “Er is niet voor elk toestel endpointbeveiliging, maar doe je best en installeer het op zoveel mogelijk toestellen van laptops tot smartphones en andere (rand)apparatuur.”

CISA verzamelt gratis tips en tools voor betere bedrijfsbeveiliging

Hij wijst ook naar oude toestellen die minder worden gebruikt omdat ze traag zijn, maar toch geconnecteerd blijven met het internet ergens in een hoekje. “Schakel zo’n toestellen uit, zeker als dat servers zijn. Wees niet lui en vernieuw zulke toestellen met een degelijk securitybeleid of beveilig oudere hardware in plaats van ze wezenloos maar toch geconnecteerd achter te laten.”

Fout 5: Doe geen werk op een privé-pc, andersom kan mits goed permissiebeleid

Werk en privé hou je best gescheiden, maar dat geldt ook de laptop die je gebruikt. Doe nooit werkzaken op een privélaptop, dat is gevaarlijk. Andersom mag je op een werklaptop wel privézaken doen van Willems, onder voorbehoud dat de permissies juist zijn ingesteld. “Wie binnen een kmo werkt heeft vaak administrator-rechten, waarmee je een vogel voor de kat bent. Blijf van zo’n laptops privé af, of het loopt vroeg of laat fout.”

“Zelfs organisaties die toch een VPN gebruiken, MFA of bepaalde permissies beheren, moeten opletten. Heel wat security-tools zijn belangrijk, maar ze juist configureren is nog veel belangrijker. Daarom ben ik nooit echt een fan van privégebruik van een werklaptop. Blijf er gewoon af en hou dat strikt gescheiden.”

Cookie	Duration	Description
__gads	1 year 24 days	De __gads-cookie, ingesteld door Google, wordt opgeslagen onder het DoubleClick-domein en houdt bij hoe vaak gebruikers een advertentie zien, meet het succes van de campagne en berekent de inkomsten. Deze cookie kan alleen worden gelezen vanaf het domein waarop hij is ingesteld en zal geen gegevens traceren tijdens het surfen op andere sites.
_ga	2 years	Dit is een basis cookie van Google Analytics, om gebruikers te identificeren op onze website. We gebruiken standaard een gelimiteerde versie van Google Analytics voordat cookies zijn geaccepteerd. Hierbij is data geanonimiseerd en marketingfuncties uitgeschakeld.
_gid	1 day	Dit is een basis cookie van Google Analytics, om gebruikers te identificeren op onze website. We gebruiken standaard een gelimiteerde versie van Google Analytics voordat cookies zijn geaccepteerd. Hierbij is data geanonimiseerd en marketingfuncties uitgeschakeld.
cli_user_preference	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
CONSENT	2 years	YouTube plaatst deze cookie via ingesloten YouTube-video's en registreert anonieme statistische gegevens.
cookielawinfo*	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
IDE	1 year 24 days	Google DoubleClick IDE-cookies worden gebruikt om informatie op te slaan over de manier waarop de gebruiker de website gebruikt om hem relevante advertenties te presenteren en volgens het gebruikersprofiel.
itdaily_lang	1 year	Deze cookie is nodig om de landnotificatie te verbergen. De landnotificatie wordt getoond als je vanuit een land de website bezoekt, waardoor we ook een specifieke Techzine-editie aanbieden. Die melding kan je verbergen middels deze cookie.
itdaily_theme	1 year	Deze cookie slaat op of je de darkmode of de normale versie wilt inschakelen.
PHPSESSID	1 day	Deze cookie komt vooruit uit standaard PHP-applicaties. De cookie wordt gebruikt om een gebruikerssessie op te slaan en te identiiceren. Het is een sessiecookie die direct wordt gewist bij het sluiten van de browser.
test_cookie	15 minutes	De test_cookie wordt ingesteld door doubleclick.net en wordt gebruikt om te bepalen of de browser van de gebruiker cookies ondersteunt.
viewed_cookie_policy	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
wordpress_*	30 days	Wordpress gebruikt meerdere cookies om de website goed te laten functioneren, bijvoorbeeld om het redactioneel team te laten inloggen.
wp-*	1 day	Wordpress gebruikt meerdere cookies om de website goed te laten functioneren, bijvoorbeeld om het redactioneel team te laten inloggen.

Cookie	Duration	Description
_li_id.*	2 years	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
_li_ses.*	30 minutes	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
itdaily_views	1 hour	Dit is een basis cookie om bezoekersaantallen per artikel te berekenen.

Cookie	Duration	Description
__gads	1 year 24 days	De __gads-cookie, ingesteld door Google, wordt opgeslagen onder het DoubleClick-domein en houdt bij hoe vaak gebruikers een advertentie zien, meet het succes van de campagne en berekent de inkomsten. Deze cookie kan alleen worden gelezen vanaf het domein waarop hij is ingesteld en zal geen gegevens traceren tijdens het surfen op andere sites.
_li_id.*	2 years	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
_li_ses.*	30 minutes	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
IDE	1 year 24 days	Google DoubleClick IDE-cookies worden gebruikt om informatie op te slaan over de manier waarop de gebruiker de website gebruikt om hem relevante advertenties te presenteren en volgens het gebruikersprofiel.
test_cookie	15 minutes	De test_cookie wordt ingesteld door doubleclick.net en wordt gebruikt om te bepalen of de browser van de gebruiker cookies ondersteunt.
VISITOR_INFO1_LIVE	5 months 27 days	Een cookie dat door YouTube wordt geplaatst om de bandbreedte te meten en dat bepaalt of de gebruiker de nieuwe of de oude spelersinterface krijgt.
YSC	session	YSC-cookie wordt ingesteld door YouTube en wordt gebruikt om de weergaven van ingesloten video's op YouTube-pagina's bij te houden.