“CRIMINELEN ZIJN SLIM EN PROBEREN OP ALLERLEI MANIEREN BIJ JOU BINNEN TE KOMEN” standaarden op het gebied van informatiebeveiliging. “Criminelen zijn slim en proberen op allerlei manieren bij jou binnen te komen,” vertelt Marieke. “En dat kan op vele manieren. Bijvoorbeeld door een datalek of een inbraak in het systeem, waarna de crimineel dreigt met het in de openbaarheid brengen van gegevens. Heel populair zijn ook phishingmails, waarbij een medewerker op een verkeerd linkje klikt en er vaak ongemerkt malware wordt geïnstalleerd. Daardoor wordt jouw account gebruikt om binnen het systeem een volgende stap te maken naar medewerkers met meer beslissingsbevoegdheid. Bekend zijn ook de DDOS-aanvallen, waarbij er ineens veel mails naar jouw server worden gestuurd, waardoor de servers plat komen te liggen en de beveiliging minder goed werkt.” Nadeel is dat met name kleinere organisaties vaak niet de mensen hebben om de IT goed in te regelen, laat staan optimaal te beveiligen. Bovendien is daar vaak minder budget voor en dus is het risico op een cyberaanval evident. “Het is vreselijk als het je overkomt,” geeft Marieke aan. “Daarom zou elke organisatie er goed aan doen om zich goed voor te bereiden. Zoals bijvoorbeeld de Technische Universiteit Eindhoven onlangs. Er werd in het weekend een aanval gesignaleerd en meteen actie ondernomen. Daardoor lag het systeem er wel een tijdje uit, maar kon grote schade worden voorkomen.” OPEN CULTUUR “Wat kleinere organisaties kunnen doen? Zorg in elk geval dat je een plan klaar hebt liggen. Bijvoorbeeld wie je kunt bellen als zich een aanval voordoet. Zorg dat je de cybersecurity op orde hebt en creëer een open cultuur binnen je organisatie. Heeft iemand een fout gemaakt, dan moet hij of zij dat zo snel mogelijk kunnen en durven melden. Anders worden de gevolgen vaak alleen maar erger. Vroegtijdig ingrijpen is bij een cyberaanval van essentieel belang.” Verder raadt Marieke phishingtrainingen aan: “Waar kun je wel of niet op klikken, waar moet je op letten, zitten er spelfouten in de mail, wie is de afzender? Ook is het verstandig medewerkers alleen toegang te geven tot informatie die ze nodig hebben. Maak een back-up, elke dag en het liefst nog vaker. Voer updates uit, dat wordt echt nog te vaak vergeten. En tenslotte kun je een ethische hacker uitnodigen, die jouw systeem checkt en waar mogelijk hiaten eruit kan halen.” IN THE CLOUD Tenslotte, we hadden het er al even over, werkt elk NOAB-kantoor met gegevens van de klant. De klant die ervan uitgaat dat zijn gegevens in vertrouwde handen zijn. “Nederlandse ondernemers moeten voldoen aan de privacywet AVG, waardoor de persoonsgegevens worden beschermd. Dat brengt veel verplichtingen voor de ondernemer met zich mee,” weet Marieke. “Het verbaast ons daarom dat het met het hosten vaak fout gaat. Veel gegevens worden in the cloud gezet, maar vaak blijkt dit bij een buitenlandse organisatie te zijn, die niets te maken heeft met Nederlandse wetgeving. Hoe zit het dan met de veiligheid van die gegevens? Je weet niet wat er met de data gebeurt, je zet het in feite in de etalage. Daarom adviseren wij onze klanten altijd om te kiezen voor een Nederlands of Europees bedrijf, dan weet je zeker dat je te maken hebt met een cloudleverancier die zich dient te houden aan Europese wetgeving. Ook dat biedt meer veiligheid.” En dan nog maar eens, 100% veiligheid bestaat niet. “Dat klopt. Maar, als je als cloudleverancier over het certificaat ISO 27001 beschikt, kun je bijna 100% veiligheid garanderen. En als kantoor zelf een ISOcertificering behalen of delen van deze kwaliteitsnorm implementeren, is natuurlijk ook een heel mooi streven.” *Kijk voor deze vijf basisprincipes van digitale weerbaarheid op www.ncsc.nl. NOAB.NL 11 TRENDS EN ONTWIKKELINGEN
12 Online Touch Home