Phishing: kans en impact verkleinen
Een van de grootste bedreigingen voor de beveiliging van bedrijfs- en persoonsgegevens op dit moment is phishing. Hackers proberen steeds vaker en steeds effectiever om mensen zover te krijgen dat ze klikken op een verkeerde link in een mail. Uit de rapportage over gemelde datalekken in 2020 van de Autoriteit Persoonsgegevens staan hacking, malware en phishing op de derde plek van meest voorkomende oorzaken. Vorige maand werden zo de pensioengegevens van duizenden medewerkers van Philips en KLM onderschept door een moment van onoplettendheid van een medewerker. Een zeer geavanceerde aanval, waar iedereen in kan trappen. Hoe bescherm je je zo effectief mogelijk?
De Autoriteit Persoonsgegevens licht toe in haar jaarverslag datalekken 2020:
In 2020 ontving de AP 1.173 meldingen over hacking, malware of phishing-incidenten. Dit is een stijging van 30% ten opzichte van 2019. Bij 41,5% van de meldingen werden meer dan 500 personen getroffen. Dit type datalek komt het meest voor in de sector gezondheid en welzijn (13%) gevolgd door onderwijs (11%), ICT-dienstverlening (9%) en handel en autobranche (8%). Vooral grotere organisaties, die persoonsgegevens van veel mensen verwerken, lijken doelwit van hacking, malware of phishing.
Als organisatie kun je verschillende maatregelen nemen . Het helemaal voorkomen van phishing kan haast niet. Honderd procent veiligheid bestaat immers niet. Je kunt grofweg twee strategieën volgen:
- Je kunt de kans verkleinen dat zich een incident voordoet;
- Je kunt proberen om de impact van een incident te verkleinen als zich toch iets voordoet.
Kans verkleinen
Het verkleinen van de kans op een incident houdt in dat je maatregelen treft die gericht zijn op de oorzaken van incidenten. Dat wil zeggen: het ontwikkelen en uitvoeren van een effectief informatiebeveiligingsbeleid. De belangrijkste factor bij phishing is de mens, dus als je medewerkers zich goed bewust zijn van de gevaren en wat ze moeten doen om problemen te voorkomen kan je de kans verkleinen op een incident. Investeren in goede awareness trainingen en het herhalen ervan draagt hier ook aan bij. Een phishing test uitvoeren helpt ook. Het belangrijkste is immers om medewerkers te trainen zodat ze een phishing mail makkelijker herkennen. Maar je kunt ook technische maatregelen nemen: door het toepassen van tweefactorauthenticatie is het veel onwaarschijnlijker dat een klik op een slechte link ertoe leidt dat een aanvaller langdurig toegang krijgt tot je systemen.
Impact verkleinen
Het verkleinen van de impact van een incident betekent dat je maatregelen neemt die gericht zijn op het zo beperkt mogelijk houden van de schade van een incident. Dit kan gaan over de omvang van de gevolgen, maar ook over de ernst van de gevolgen.
Het helpt erg als degene die per ongeluk toch op de kwade link klikt niet overal bij kan. Maak dus meer onderscheid tussen verschillende datasets of systemen. Dan kan de aanvaller niet direct alle datasets of systemen buitmaken. Als die niet in staat is om kwetsbare gegevens te koppelen aan namen en adressen, kan de aanvaller er weinig mee beginnen.
De impact kun je ook verkleinen door de tijd te beperken dat een aanvaller zijn gang kan gaan. Alleen door goede logs bij te houden van welke medewerker toegang heeft tot welke informatie, kun je zien of zich rare gebeurtenissen voordoen. En het bijhouden van goede logs is niet genoeg. Je moet ze ook structureel onderzoeken op ongewenste incidenten. Goede logging is ook belangrijk om achteraf vast te kunnen stellen welke informatie buit is gemaakt door de aanvallers en om de betrokkenen goed te kunnen informeren.
Welke maatregelen kun je nemen?
Om de kans en de impact te verkleinen zijn er een veelheid aan organisatorische en technische maatregelen die je als organisatie kunt nemen. Welke maatregelen bij jouw organisatie passen, hangt vaak af van de context waarin je werkt. Belangrijk is dat de AVG je verplicht om de maatregelen af te stemmen op de gevoeligheid van je verwerkingen van persoonsgegevens.
Tips voor de organisatie:
- Controleer regelmatig de logbestanden. Logging heeft alleen zin wanneer je ook daadwerkelijk de logging structureel controleert.
De Autoriteit Persoonsgegevens heeft onlangs hard opgetreden tegen bijvoorbeeld het OLVG-ziekenhuis in Amsterdam, omdat dat ziekenhuis weliswaar de toegang tot medische dossiers logde, maar de logbestanden niet regelmatig controleerde. Het ziekenhuis kreeg een boete van 440.000 euro.
De AP schrijft:
“Het ziekenhuis moet bijhouden en regelmatig controleren wie welk dossier raadpleegt. Zo kan het ziekenhuis tijdig signaleren wanneer iemand een dossier raadpleegt terwijl dat niet mag en daartegen maatregelen nemen. Het OLVG hield wel automatisch bij welke medewerker wanneer welk medisch dossier inzag (logging), maar controleerde die logging niet vaak genoeg op onbevoegde toegang.”
- Stel multifactor authenticatie in. Alleen met een wachtwoord inloggen is niet meer voldoende om mensen buiten te houden. Door een tweede beschermlaag toe te voegen, maak je het aanvallers veel moeilijker om je beveiliging te omzeilen.
“Bij een goede beveiliging hoort authenticatie met ten minste twee factoren. De identiteit van een gebruiker om toegang te krijgen tot een patiëntendossier wordt dan bijvoorbeeld vastgesteld met een code of een wachtwoord in combinatie met een personeelspas.”
- Zorg dat er intern een afdeling of plek is waar medewerkers mails kunnen laten controleren. Als iemand een mail niet vertrouwt, is een professionele mening belangrijk. Ook wil je als organisatie in beeld hebben welke aanvallen er aan de gang zijn, omdat het mogelijk doelgericht is. Zorg dus dat medewerkers een meldpunt hebben voor verdachte mails en die berichten daar veilig naartoe kunnen versturen.
- Scherm de toegang tot de servers af door een extra firewall laag tussen het servernetwerk en de andere netwerken te plaatsen.
- Deze maatregel is meestal al van toepassing, maar het is een belangrijke: Toegang tot de servers moet extra goed beschermd zijn, zodat alleen gespecialiseerde medewerkers toegang kunnen krijgen tot de belangrijkste systemen.
- Zorg dat medewerkers gebruik maken van een betrouwbare wachtwoordkluis.
Het afdwingen van regelmatig wisselende, ingewikkelde wachtwoorden is achterhaald. Het is duidelijk geworden dat dat ten koste gaat van de kwaliteit van de wachtwoorden en dat mensen vaak wachtwoorden hergebruiken, waardoor hackers eerder uitgelekte bestanden met wachtwoorden kunnen gebruiken om bij steeds nieuwe systemen binnen te komen. Daarom is het gebruik van een wachtwoordkluis een essentieel deel van de bescherming van je systemen.
- Scan het netwerk op eventuele afwijkingen
Tips voor de medewerker:
- Ontvang je een vreemde mail van een collega? Verifieer de inhoud van de mail dan altijd met de desbetreffende collega door diegene aan te spreken, te bellen, of die collega een aparte mail te sturen ter verificatie (let op: reageer niet op de vreemde mail zelf).
- Ontvang je een mail die je niet verwacht of een mail van een onverwachte afzender? Open deze dan niet. Vraag advies aan de IT-ondersteuning van je organisatie. Als je de mail toch hebt geopend, raak dan niet in paniek, Vul geen gegevens in en log vooral nergens in. Doe je dat toch, neem dan meteen contact op met IT, en verander je wachtwoorden voor dat systeem.