Onlangs werd Limburg.net het slachtoffer van een hacking. Deze instelling is daarmee geen alleenstaand geval. Denk maar aan Stad Antwerpen die in 2022 het mikpunt van een grote cyberaanval was. Maar ook kleine ondernemingen en recent ook een verzekeringsmakelaar zijn het slachtoffer van cybercriminelen.
Een verzekering ligt voor de hand om dit risico op te vangen. Maar hoe goed die polis ook is, het is altijd beter om te voorkomen dan te genezen. Dit artikel geeft een twintigtal praktische tips mee die in ieder verzekeringskantoor kunnen worden ingezet om het risico op een aanval te verminderen. Wat niet wegneemt dat een goede cyberpolis de gevolgen kan opvangen, als het dan toch misloopt.
Het ligt voor de hand dat deze tips meteen ook voor klanten van het kantoor kunnen worden gebruikt, zowel in een commerciële als verzekeringstechnische context.
Dit artikel richt zich tot de effectieve leider en VVD’er van verzekeringskantoren, zonder voorkennis van ICT-technieken voor beveiliging. De tips situeren zich dan ook buiten de technische sfeer van IT.
Inleiding
Oplichting is van alle tijden. Vikings verkochten de spiraalvormige slagtand van de narwal als de hoorn van een eenhoorn. De Eiffeltoren werd door een oplichter verkocht als oud ijzer, en dat zelfs twee keer! Historici kunnen urenlang verhalen van bedotten en afzetterij uit de geschiedenis vertellen. Oplichting via het internet mag ons dus niet verrassen, maar het is met de digitale weg wel een pak gemakkelijker geworden dan vroeger.
Gemakkelijker wil zeggen dat er ook veel meer oplichtingspogingen zijn waardoor het risico op criminele feiten via het internet ook toeneemt.
De modus om via het internet mensen op te lichten evolueert net zoals de digitale revolutie razendsnel. De tijd dat u een mail in gebrekkig Nederlands kreeg van een Nigeriaanse prins met het heugelijke nieuws dat u erfgenaam bent van een fortuin, mits u eerst een kleine bijdrage betaalt, is allang voorbij. Die oude methodes blijven bestaan, maar er zijn nieuwe technieken waar u ook in uw verzekeringskantoor extra voor moet opletten. Dit artikel overloopt een resem tips om te vermijden dat u en/of uw collega slachtoffer wordt van hacking of andere cyberincidenten.
Aanpak cyberrisico’s
Om cyberrisico’s aan te pakken kan uw bedrijf op 4 pijlers steunen.
Eerste pijler: opleiding en training
Sommige bronnen geven aan dat tot 90% van de cyberincidenten door een menselijke fout zijn begaan. Deze ‘human factor’ weegt dan ook zwaar door in het afwenden van een cyberincident. Dit artikel past perfect in dit kader: 20 tips om een cyberincident te vermijden.
Tweede pijler: preventie
Dit is vooral een technisch verhaal waar we hier niet op ingaan. Behalve één element dat wel aan bod komt: dubbele authenticatie.
Derde as: detectie en reactie
Ook dit is een technisch verhaal waar we niet verder op ingaan. Behalve met deze tip: wanneer een cyberincident zich voordoet is het goed om de ervaring met het incident binnen de organisatie met iedereen te delen. Uit fouten kan er veel worden geleerd.
Vierde as: testing
Dit is wat delicater en vergt een goede aanpak, met informatie en toelichting naar medewerkers toe. Bij testing worden opzettelijk pogingen tot hacking naar medewerkers gestuurd, om na te gaan of iedereen nog goed bij de les is. De hacking komt uiteraard uit ‘vriendelijke’ bron. Trapt een medewerker in de val, dan is er geen kwaad geschied, maar kan er een en ander uit het voorval worden geleerd.
Verzekering kan als een vijfde as worden aanzien. Een goede cyberpolis zal zonder twijfel de schade na een incident kunnen beperken en uiteraard die schade ook vergoeden, binnen de perken van de polis. Op de cyberverzekering zelf wordt hier niet ingegaan.
Tips rond attitude
De houding die medewerkers in een verzekeringskantoor innemen ten opzichte van cyberrisico’s kan al een groot verschil uitmaken.
- De eerste en wellicht voornaamste tip is: relax, denk en klik pas dan. Het is door haast en spoed dat men wel eens té snel op een verdachte link klikt en problemen veroorzaakt. Toegegeven, het is soms verleidelijk om heel snel door mailberichten te gaan, zeker wanneer men terug uit vakantie komt en een lijst van 200 berichten moet doorspartelen. Toch kan het nemen van de nodige tijd om een bericht rustig door te lezen tijd sparen. Want het tijdverlies door een cyberincident kan vele keren groter zijn dan de tijdwinst door té snel te gaan klikken.
- Een goede attitude is de nodige achterdocht wanneer er snel en dringend actie moet worden genomen. Verdachte mails sporen inderdaad heel vaak aan tot snelle actie en het achterliggend idee strookt met de vorige paragraaf. Door spoed aan te manen gaat de lezer minder voorzichtig worden en té snel op de verkeerde URL klikken.
- Nog een goede vorm van gezonde achterdocht is onverwachte berichten wat te wantrouwen. Wanneer een collega al enige tijd ziek is, is een mail van hem of haar misschien niet helemaal koosjer en is voorzichtigheid geboden.
- Het ligt voor de hand dat men nooit wachtwoorden en codes deelt, laat staan op een post-it noteert en bij de pc kleeft. Is dit toch nodig, omdat een collega de computer even moet overnemen bijvoorbeeld, dan is het een goede zaak om onmiddellijk daarna het wachtwoord te veranderen.
- Bij het openen van gevoelige websites, zoals webbanking, is sowieso de nodige voorzichtigheid geboden. Alleen wanneer het initiatief om webbanking te openen van uzelf komt, zal dit geen probleem vormen. Wanneer anderen u opdragen om een webbanking pagina te openen, is dubbele voorzichtigheid geboden.
- En een laatste tip is het aanhouden van wat achterdocht wanneer een mail van een onbekende zelfs in perfect Nederlands binnenkomt. De tijd waarin verdachte mails in slecht Nederlands werden verstuurd is voorbij. Artificiële intelligentie en allerlei vertaalapps maken het criminelen zeer gemakkelijk om hun malafide berichten in goed Nederlands te vertalen. Sommige gebruiken zelfs officiële vertaler-tolk bureaus om hun berichten te vertalen.
Tips rond reactie op berichten
Bij het ontvangen van een bericht zijn er enkele vrij eenvoudige manieren om na te gaan of dat bericht wel betrouwbaar is.
- Een eerste tip is het controleren van het mailadres van de verzender. Hans@bol.com is wat anders dan hans@bol1.com. Een bericht van die tweede Hans is niet te vertrouwen! Ook complexe extensies kunnen een malafide bericht verraden, zoals deze: jasitwa@bcsl.co.ke.
- Een tweede tip is het controleren van de domeinextensie bij een knop die u kan aanklikken. Die moet 100% overeenkomen met de beweerde afzender. Stel dat u een mail krijgt van collega@werk.be. In het bericht is een link gelegd naar collega@werk.org. Die URL klopt niet helemaal; dit bericht is verdacht.
- Bij iedere verdachte mail past meteen een derde tip: bel met de verzender van een twijfelachtige mail. Een telefoontje plegen helpt ook om frauduleuze berichten rond betalingen te detecteren. Krijgt u een mail met de vraag om een som te betalen? Vertrek van het idee dat dit type berichten eigenlijk altijd verdacht zijn. Normaal gezien moet u een factuur of iets dergelijks ontvangen, als vraag tot betaling. Bij twijfel, bel met de verzender om na te gaan of de vraag tot betalen wel koosjer is.
- Ook het verzenduur van de mail kan een indicatie zijn. U verwacht toch niet van uw collega dat die u om 3 uur s ’nachts een bericht stuurt? Een onwaarschijnlijk verzenduur is alweer een indicatie voor een mogelijk verdachte mail.
- Is er een bijlage toegevoegd aan uw mail, waar u dat niet verwacht? Ook dan moet u extra voorzichtig zijn.
- Nog een laatste tip: doe de plausibiliteitstest. Is het bericht dat u kreeg wel aannemelijk? Is de vraag die de zender van het bericht naar u stuurt een verzoek dat u mag en kan verwachten? Is het verzoek wel passend en geschikt in de relatie die u met die tegenpartij heeft? Bij de minste twijfel kan een telefoontje met die tegenpartij iedere twijfel vermijden.
Tips rond werkorganisatie
Ook bij de organisatie van het werk en het leven op kantoor zijn er heel wat middelen voorhanden om het risico op een cyberincident te verminderen.
- Laat vooreerst nooit uw pc of mac telefonisch overnemen, tenzij u zeer goed weet wie uw computer overneemt en waarom. Daarmee vermijdt u telefonische phishing, een klassieke truc om bankgegevens te ontfutselen.
- Controleer af en toe of uw mailbox werd gehackt. Het is wel degelijk mogelijk om een mailbox te hacken. De cybercrimineel kan dan niet alleen uw mailverkeer meelezen en daarmee allerlei zaken over u te weten komen. Maar een cybercrimineel kan ook berichten versturen vanuit uw mailbox alsof ze van u komen.
- Zorg voor paswoord hygiëne. Iedereen zal het toegeven; het is niet leuk en vaak zelfs heel lastig om paswoorden regelmatig te wijzigen. Toch is dit een goede truc om hackers te pas af te snijden. Als het onthouden van een paswoord moeilijk is, verzin dan een paswoord en voeg er de nummer van de maand er aan toe. Zo heeft u iedere maand een nieuw paswoord dat toch makkelijker te onthouden is.
- Gebruik ITSME of een andere techniek van dubbele authenticatie (multi factor authentication). Met deze methode van toegang verlenen tot een beveiligde website maakt u het cybercriminelen quasi onmogelijk. Want niet alleen moet men voor een toegang iets weten (een paswoord en login) maar ook iets hebben: een gsm die door het systeem gekend is.
- Laad je toestel nooit op via publieke USB laadstations. Het risico op juice jacking is dan reëel. Maak er een beleid van.
- Schakel bij een incident altijd gespecialiseerde hulp in. Bij ransomware moet u ook de politie én Cert verwittigen. Dat moet u wel omzichtig doen. Bij een gehackt computersysteem kan de cybercrimineel al uw digitale handelingen volgen. Het is dus niet slim om via een mail of andere digitale methode de politie te contacteren. Want de cybercrimineel zal dit merken en in het recente verleden leverde dat meteen een verdubbeling van het losgeld op . . . Het ouderwetse telefoneren met de politie is niet te detecteren en het resultaat is hetzelfde. Deze opmerking geldt ook voor de verzekeraar. Contacteer deze niet via digitale weg, want weerom zal de hacker dit te weten komen. Die weten overigens soms al op voorhand of er een cyberpolis is en tot welke som losgeld verzekerd is. Bij een recente inbraak in een WZC was het losgeld precies gelijk aan de verzekerde som; cyberinbrekers weten dus vaak wat ze doen.
- Maak een BCP-plan zodat er een plan van aanpak bestaat, wanneer de onderneming door een cyberincident wordt getroffen. BCP staat voor business continuity planning en dat is precies de doelstelling ervan: ervoor zorgen dat het bedrijf zo snel mogelijk haar activiteiten kan hernemen na een calamiteit. In dat BCP kunnen heel wat zaken worden opgenomen. Zonder volledig te zijn sommen we er enkele van op:
- Een lijst van contacten. Bij een incident is het belangrijk om meteen te weten wie moet worden gecontacteerd voor welke zaken en hoe die persoon kan worden bereikt.
- De procedure voor incidentenbeheer. Een BCP schrijft voor hoe een incident moet worden aangepakt. Het ligt voor de hand dat een BCP na een cyberincident anders is dan een BCP na een brand, maar de idee blijft hetzelfde: er wordt op voorhand nagedacht over alle taken die moeten worden uitgevoerd bij een incident.
- Voorzie crisismanagement. Dit is erg belangrijk. Bij een incident zal er zonder twijfel heel wat communicatie nodig zijn, waar de doorsnee bedrijfsleider niet mee vertrouwd is. Er moet bij voorbeeld contact worden gelegd met de overheid, politie en eventueel zelfs de Gegevensbeschermingsauthoriteit. De pers moet wellicht te woord worden gestaan. De medewerkers, klanten en leveranciers moeten verwittigd worden. En er moet vaak contact worden genomen met de cybercriminelen, wanneer die losgeld eisen. Al deze communicatie vraagt specifieke vaardigheden en ervaringen, die de doorsnee verzekeringsmakelaar niet heeft.
- Duid verantwoordelijkheden aan. Leg op voorhand vast wie wat zal doen, bij een cyberincident.
- Nog een laatste tip die vooral voor verzekeringskantoren met wat grotere omvang geldig is. Leg aan de Raad van Bestuur de visie en aanpak van cyberincidenten voor. En vooral: start een gesprek op met de Raad van Bestuur betreffende losgeld. Welke houding neemt de Raad op dat vlak aan. Stippel een beleid uit dat strookt met die visie.
Laatste tip
De laatste tip is wellicht de belangrijkste: deel alle tips uit deze tekst met de medewerkers van uw kantoor. Alleen wanneer iedereen in het bedrijf bewust is van het probleem én de manier om risico’s te vermijden, zal de kans op een cyberincident ook daadwerkelijk dalen.
Bron: Advisors Up-to-date
Interessant artikel?
Kijk dan ook eens bij Up-to-date.
Up-to-date staat boordevol interessante artikelen en is een 100% actuele, praktijkgerichte en artikel gebaseerde adaptieve e-learning. Waarmee je gemakkelijk voldoet aan de verplichtingen van de geregelde bijscholing vanuit de IDD, FSMA & ITAA.