Zo bescherm je jouw organisatie tegen gerichte aanvallen

Tegenwoordig kennen we allemaal wel de nieuwsberichten over aanvallen van hackers, waardoor persoonsgegevens op straat liggen, data is gestolen of systemen plat liggen. Iets wat je als organisatie natuurlijk wilt voorkomen. Maar hoe doe je dat? In deze blog helpen we je te beschermen tegen gerichte aanvallen.

Binnen de cyber security kunnen we grofweg twee soorten aanvallen onderscheiden: algemene en gerichte. De eerste soort aanval gaat vaak om virussen of malware en zijn niet specifiek gericht op één organisatie. Het gaat hierbij meestal om financiële motieven of om naamsbekendheid – de kick om in het nieuws te komen.

De tweede soort aanval, de gerichte, heeft als doel om een specifieke organisatie te targeten. Hier kunnen verschillende soorten motieven achter zitten, waaronder wrok en het verkrijgen van informatie om deze door te verkopen. Soms kan het onjuist behandeld voelen en de daaruit volgende wrok al genoeg zijn om een aanval te doen. De hacker heeft het dan dus specifiek op één organisatie gemunt.

Juist de gerichte aanvallen zijn minder onder de aandacht bij organisaties. Dat is ergens ook niet zo gek, want heel vaak weten organisaties helemaal niet dat ze gehackt zijn. In de praktijk zien we vaak dat het gemiddeld 6 maanden duurt voordat organisaties erachter komen dat ze gehackt zijn. En als de hacker zijn werk goed doet, komen ze er helemaal niet achter.

In tegenstelling tot de algemene aanval, is het doel bij een gerichte aanval om geen sporen achter te laten. De hacker doet zich in het systeem voor als normaal gedrag, om zo informatie te verkrijgen zonder dat iemand het doorheeft. Zo kan hij of zij ongemerkt de verkregen data doorverkopen via het dark web.

Maar hoe voorkom je nu zo’n gerichte aanval? We delen drie tips met je, die vaak nog fout gaan in de praktijk:

Tip 1: Hou je aan de processen en procedures

Probeer je te houden aan de processen en procedures die er zijn, want deze zijn met een reden ontwikkeld. Hackers die een gerichte aanval plaatsen hebben vaak jouw organisatie uitgebreid onderzocht. Daardoor weten ze wat de zwakke plekken zijn. Moet jij om 5 uur weg om je kinderen op te halen? Grote kans dat een hacker dan belt om 5 voor 5, zodat je sneller geneigd ben iets even snel te regelen. Zonder het volgen van de juiste procedures dus.

Tip 2: Vertrouw je iets niet? 2 paar ogen!

Het klinkt voor de hand liggend, maar vertrouw je iets niet compleet? Laat dan een 2^e persoon meekijken. Zeker wanneer iemand om 5 voor 5 belt en je geneigd bent om van de procedures af te wijken, is het handig om een tweede paar ogen te laten verifiëren.

Tip 3: Pak de telefoon

Je ontvangt een mail van de baas. Of je even een groot bedrag wilt overmaken vanuit jullie organisatie naar een andere, omdat jullie bezig zijn met een overname. Zo klinkt dit wellicht ongeloofwaardig, maar dit soort dingen gaan vaak nog in de praktijk mis. Een goede manier om dit te voorkomen is door een ander medium te gebruiken. Pak bijvoorbeeld de telefoon om even te bellen naar de desbetreffende persoon. Staat er in de mail dat bellen niet kan? App dan. Zorg er in ieder geval voor dat je eerst bevestiging hebt.

Deze tip zijn wellicht kinderlijk eenvoudig, maar toch gaat dit nog te vaak fout. Denk bijvoorbeeld maar aan de ziekenhuismedewerker die de procedure niet volgt en zijn patiëntgegevens uitgeprint mee naar huis neemt. Ze bieden dus een goede eerste stap richting een veilige organisatie!