Stimuleer digitale veiligheid bij werknemers

09-02-2023

In deze roerige tijden kost het steeds meer organisaties veel moeite om het hoofd boven water te houden. Het laatste waar ze nu op zit te wachten is gedoe met (cyber)criminelen. Een gegevensbeveiligingsincident in Nederland kost een organisatie gemiddeld € 270.000. Denk hierbij ook aan imagoschade, dataverlies, het niet kunnen voldoen aan wet- en regelgeving en het verlies van de controle over de IT-infrastructuur. Het is dus van belang dat werknemers hun kennisniveau over cybersecurity bijspijkeren, bijvoorbeeld door scholing.

Fraudevormen

Cyberaanvallen vormen een groot gevaar voor organisaties. Er zijn verschillende fraudevormen waar organisaties zich tegen moeten wapenen. Als een werknemer zich bewust is van al deze varianten, kan hij ze ook herkennen:

  • Phishing (inloggegevens buitmaken). In e-mails vragen ‘werknemers’ vaak om een ‘verlopen’ of ‘gehackt’ wachtwoord te veranderen. De werknemer moet dan eerst het huidige wachtwoord invoeren en dat valt dan in handen van de fraudeurs. Er wordt ook regelmatig geklikt op phishingmails over het deactiveren van een account.
  • Ransomware. De werknemer krijgt meestal vlak na het opstarten van zijn computer een melding op zijn scherm dat hij pas na betaling weer toegang krijgt tot zijn computer en bestanden.
  • Vervalste factuur of spookfactuur. Oplichters onderscheppen facturen via de post, maar ook via hacking. Soms wordt een factuur helemaal nagemaakt. Er kan ook een brief bij zitten waarin staat dat het rekeningnummer is aangepast. Werknemers moeten ook uitkijken voor spookfacturen. Het gaat dan bijvoorbeeld om een aanbieding die eruitziet als een factuur. Wanneer de werknemer betaalt, gaat de organisatie zonder dat de werknemer het weet een overeenkomst aan.
  • Acquisitiefraude. De werknemer wordt benaderd voor het plaatsen van advertenties. Acquisitiefraudeurs willen snel medewerking van de werknemer en hebben meestal een agressieve verkoopmethode. De werknemer denkt dan een handtekening te zetten onder een overzicht van adresgegevens dat hij wordt geacht te controleren. Later blijkt hij ineens te hebben getekend voor een overeenkomst en moet dus betalen.
  • Domeinnaamfraude. De werknemer wordt benaderd door een hosting-partij die meent dat een andere partij een domeinnaam wenst te registreren die erg lijkt op die van zijn organisatie. Om de domeinnaam zelf in handen te krijgen vindt er dan mogelijk en registratie plaats. Maar daar betaalt de organisatie de hoofdprijs voor.
  • DoS-aanval (Distributed Denial of Service). In dat geval wordt door een groot aantal andere computers tegelijk een beroep gedaan op het computernetwerk van de organisatie. Het netwerk is een aantal uren onbereikbaar en zal uiteindelijk bezwijken. De hackers komen bij deze vorm van fraude met een verzoek tot betaling, vaak in bitcoins.
  • Ceo-fraude. De werknemer ontvangt op de financiële administratie een e-mail van de ‘directeur’ met het verzoek om een fors bedrag over te maken naar een bankrekening in het buitenland. De criminelen hebben voorafgaand aan hun acties de e-mailadressen van de ceo en van de functionaris op de financiële administratie achterhaald. Het bedrag moet vaak snel worden overgemaakt.


Maatregelen tegen cybercrime

Aanvallen van cybercrime kunnen zo verstorend zijn dat ze langdurig impact hebben op organisaties en ketens. Op Fraudehelpdesk.nl kan de werknemer de kenmerken van de hierboven genoemde fraudevormen nalezen. Voor handige tips en praktische uitleg over wat hij kan doen en laten, kan de werknemer kijken op veiliginternetten.nl. Wil de werknemer weten welke basismaatregelen getroffen moeten worden om cyberaanvallen te voorkomen en de cybersecurity van de organisatie te verbeteren? De Handreiking Cybersecuritymaatregelen van het Nationaal Cyber Security Centrum (NCSC) is een goed startpunt. Het NCSC heeft tot taak Nederland digitaal veiliger te maken.