Medewerkers zijn gevoeliger voor de trucs van cybercriminelen dan ze beseffen. In de waan van de dag is een inschattingsfout snel gemaakt. Bescherm uw zorginstelling tegen een cyberaanval en zorg dat medewerkers het hackers niet gemakkelijk maken. In dit artikel leest u hoe.
Theo is net bezig met een patiëntverslag, als hij ziet dat er een mail binnenkomt met informatie over zijn verlofuren. Hij is direct benieuwd en klikt zonder aarzeling op de link. Oei, foute boel. Op zijn scherm verschijnt een melding. Theo is erin getrapt en heeft op een gevaarlijke link geklikt. Gelukkig was het een awareness test en heeft het geen gevolgen. Behalve dan dat Theo zich realiseert hoe makkelijk het mis kan gaan. Wat als dit geen test was geweest?
Wilt u ervoor zorgen dat uw zorgorganisatie bestand is tegen cybercrime? Onderschat dan de menselijke factor in cybersecurity niet. U kunt de IT-beveiliging nog zo goed op orde hebben, uw medewerkers kunnen de deur wagenwijd openzetten voor hackers. Dat gebeurt vaak zonder dat ze het door hebben. Cybercriminelen gebruiken slimme trucs om via medewerkers een weg naar binnen te vinden. Ze omzeilen daarmee de technologische maatregelen die uw organisatie genomen heeft.
Misschien heeft u al eens gehoord van social engineering? Cybercriminelen maken vaak gebruik van psychologische trucs om slachtoffers te manipuleren. Ze verleiden medewerkers tot het onthullen van gevoelige informatie of het uitvoeren van schadelijke acties.
Een bekend voorbeeld van social engineering is phishing. Daarbij doen cybercriminelen zich voor als een betrouwbare partij. Denk maar aan de mails van banken die steeds moeilijker van echt te onderscheiden zijn. Via deze mails worden slachtoffers verleid om persoonlijke informatie te delen, zoals inlogcodes of financiële gegevens. Dat kan ook telefonisch gebeuren.
Een aantal jaren geleden waren de fake e-mails en vreemde telefoontje gemakkelijk te herkennen. Dat is nu niet meer zo. Criminelen kunnen er zelfs voor zorgen dat het telefoonnummer van de instantie op uw scherm verschijnt, waardoor u geen onraad ruikt. Bovendien zijn ze sterk in de kunst van de verleiding. Dit zijn een aantal veelvoorkomende psychologische principes die ze daarbij gebruiken:
Mensen volgen sneller instructies op van personen die ze autoriteit toekennen. Criminelen doen zich voor als gezaghebbende figuren, zoals managers of de bank, om medewerkers te misleiden.
Mensen hebben de neiging om meer waarde toe te kennen aan dingen die schaars zijn. Cybercriminelen gebruiken dat door een gevoel van urgentie te creëren. Bijvoorbeeld door te beweren dat er slechts beperkte tijd is om te reageren, waardoor slachtoffers sneller geneigd zijn om te handelen.
Mensen zijn geneigd om het gedrag van anderen te volgen, vooral in onzekere situaties. Criminelen kunnen nep referenties gebruiken om slachtoffers te overtuigen dat bepaalde acties legitiem zijn. Bijvoorbeeld door te zeggen dat andere collega’s ook al hebben meegewerkt aan de zogenaamde actie.
Het principe van de wederkerigheid gaat erover dat mensen vriendelijkheid graag terugbetalen. Cybercriminelen doen zich bijvoorbeeld voor als een medewerker van een helpdesk en zijn uiterst behulpzaam. Ze wijzen de medewerker op een gevaar dat ze hebben gesignaleerd. Om vervolgens zogenaamd te helpen, waarbij ze de medewerker vragen om mee te werken en gegevens te delen.
Als mensen eenmaal ergens mee hebben ingestemd, hebben ze de neiging om daarmee door te gaan. Zo verleiden criminelen slachtoffers eerst tot kleine, onschuldige stappen, waardoor ze later gemakkelijker grotere verzoeken accepteren.
Mensen doen sneller iets voor iemand die ze sympathiek vinden. Cybercriminelen gebruiken dat principe door uiterst vriendelijk te zijn en het vertrouwen van slachtoffers te winnen, voordat ze om gevoelige informatie vragen.
Niet alleen vriendelijkheid, maar ook angst en dreiging werkt. Mensen zijn vatbaarder voor manipulatie wanneer ze bang zijn voor verlies of schade. Criminelen gebruiken daarom geregeld dreigementen, zoals het blokkeren van accounts, om slachtoffers onder druk te zetten.
Mensen zijn van nature nieuwsgierig. Cybercriminelen maken daar gebruik van door vage berichten achter te laten die nieuwsgierigheid opwekken. Ook een bekende truc is de usb-stick die ergens opduikt, in de hoop dat een medewerker kijkt wat erop staat en daardoor schadelijke bestanden binnenhaalt.
Het begint allemaal met bewustwording. Medewerkers moeten de omvang en de ernst van cybercrime begrijpen. Een kleine inschattingsfout kan enorme gevolgen hebben. Iedere medewerker speelt daarom een rol in de bescherming tegen een cyberaanval. Om de hele organisatie daarvan te doordringen, is het slim om medewerkers te trainen in bewustzijn en handvatten te geven voor veilig gedrag.
Het begrijpen van de psychologische principes die cybercriminelen gebruiken is cruciaal om u te beschermen. Vergroot het bewustzijn van manipulatieve tactieken door educatie en training in te zetten. Hoe herken je cybercrime? Wat moet je doen als er iets verdachts gebeurt? Hoe kun je veilig werken? Een awareness training geeft antwoord op deze vragen.
Toch is weten nog iets anders dan doen. Als wij een awareness training inzetten is het daarom altijd een combinatie van voorlichting en praktijk. Medewerkers krijgen eerst video’s te zien met duidelijke uitleg over hoe cybercriminelen te werk gaan. Daarna doen we een aantal ervaringstesten. Dat kan bijvoorbeeld een phishing mail zijn, om te testen wie daar op klikt. Medewerkers zijn vaak verrast dat ze erin trappen en daarna zijn ze een stuk alerter.
Na bewustzijn komt de vraag: wat is dan veilig gedrag? Dit kan variëren van het creëren van sterke wachtwoorden en het vermijden van onveilige verbindingen, tot het herkennen van verdachte e-mails en het rapporteren van beveiligingsincidenten. Afhankelijk van de risico’s en processen die voor uw organisatie gelden, kunt u daar een passende standaard voor maken. Om u op weg te helpen bespreken we zes onderdelen die uw medewerkers veilig laten werken.
Sterke wachtwoorden zijn de eerste verdedigingslinie tegen ongewenste toegang. Moedig medewerkers aan om unieke, complexe wachtwoorden te gebruiken en ze regelmatig te wijzigen. Implementeer ook technologieën zoals two-factor authentication om een extra laag aan de beveiliging toe te voegen.
Het is belangrijk om altijd de afzender van een mail te controleren en sceptisch te zijn bij onverwachte berichten. Het is een goede gewoonte om zelf contact op te nemen met de afzender om te checken of een bericht klopt. Hetzelfde geldt voor telefoontjes. Een andere goede gewoonte is om hyperlinks altijd te controleren, voordat u erop klikt. Als u er met uw muis overheen beweegt wordt de URL zichtbaar. Tot slot kunnen medewerkers verzoeken verifiëren bij collega’s en managers, voordat ze actie ondernemen.
Met de groei van mobiel werken is het essentieel om bewustwording over mobiele beveiliging te vergroten. Zorg dat ook smartphones en tablets goed beveiligd zijn. Herinner medewerkers aan het gebruik van wachtwoorden en het vermijden van onveilige apps. Daarnaast is een beleid voor het gebruik van social media absoluut niet overdreven.
Veilige werkgewoonten zijn niet beperkt tot digitale acties. Fysieke beveiliging is ook cruciaal. Medewerkers moeten documenten veilig opbergen en schermen vergrendelen bij het verlaten van hun bureau. Deze eenvoudige gewoonten voorkomen dat iemand die zomaar binnenloopt achter een computer zijn gang kan gaan.
Belangrijk is dat medewerkers een fout durven te melden. Moedig medewerkers aan om incidenten te melden en zorg dat u ze ervoor beloont. Het laatste dat u wilt, is dat medewerkers iets verzwijgen uit schaamte. Zorg ook voor heldere procedures, zodat iedereen weet wat er moet gebeuren als er een verdachte situatie is.
Met regelmatige tests kunt u in de gaten houden hoe het medewerkersgedrag op het gebied van cybersecurity is. Op basis daarvan kunt u constructieve feedback geven en vaststellen wat er nog beter kan. Regelmatig aandacht besteden aan cybersecurity, bijvoorbeeld in een teamoverleg, houdt iedereen scherp.
Universiteit Twente deed onderzoek naar het effect van een cyber awareness training. Ze lieten medewerkers van zorginstellingen deelnemen aan een escaperoom-simulatie van een cyberaanval. De eerste resultaten tonen aan dat de escaperoom inderdaad het cybersecuritybewustzijn onder zorgmedewerkers verhoogt. Deelnemers geven bijvoorbeeld aan meer te letten op phishing, tijdig software-updates te installeren en sterke wachtwoorden te gebruiken.
Ook onze eigen ervaringen met trainingen zijn positief. Door een training te combineren met praktijktesten maken we het praktisch en zetten we in op een daadwerkelijke gedragsverandering. Ook maken deze tests het medewerkersgedrag inzichtelijk. Daardoor weet u hoe het bewustzijn onder medewerkers daadwerkelijk is en wat er nog verbeterd kan worden.
Wilt u ervoor zorgen dat medewerkers bewust zijn van de risico’s van cybercrime en veilig handelen? Vanuit Gflex kunnen we concreet met u aan de slag om dat voor elkaar te krijgen. Ook kijken we graag met u mee naar zwakke plekken in de ICT security. Veiligheid staat bij ons hoog op de agenda. Maar we maken het ook niet duurder dan nodig is en denken mee over voordelige oplossingen die bij uw organisatie passen.
Meer weten? Maak een afspraak voor een kennismaking of laat ons een inventarisatiescan uitvoeren. Dan kijken we met u mee en geven we vrijblijvend advies.