Phishing is een toenemend probleem voor bedrijven in Nederland. Criminelen vinden steeds meer manieren om tot een geslaagde phishing-aanval te komen.

Hoe wapen je je als organisatie tegen deze cyberbedreiging? Ik bespreek deze vraag met consultant Security & Compliance Wybren de Jong: “Er zijn allerlei nuttige technologieën waarmee je jouw systemen beter beveiligt. Maar uiteindelijk draait phishing om de manipulatie van de eindgebruiker. Dus als je phishing effectief wilt voorkomen moet je belangrijkste focus liggen op het trainen van die gebruiker.”

Zo wapen je je tegen phishing

Wybren: “Er zijn verschillende dingen die je kunt doen om schade door phishing te voorkomen. Maar onthoud dat het allerbelangrijkste is dat je medewerkers niet ingaan op phishing-berichten. De mens is echt de belangrijkste sleutel. Zeker nu veel phishing de eerste beveiligingslagen zoals spamfilters en detectie-tools omzeilt. Zolang je werknemers niet ingaan op de verzoeken in phishing-mails, gaat het goed. Richt daar dus vooral je aandacht op.”

Lees meer: Dit zijn de nieuwste risico’s rond phishing-aanvallen

3 stappen in het voorkomen en inperken van phishing

Wybren adviseert organisaties de volgende stappen in het voorkomen van een geslaagde phishing-aanval en het beperken van de schade wanneer het toch fout gaat:

Stap 1: Voorkom phishing zoveel mogelijk

Wybren: “Het eerste wat je moet doen is zorgen dat phishing-berichten zo min mogelijk bij je medewerkers terechtkomen. Implementeer tools en technologieën om verdachte e-mails te detecteren en te blokkeren. Denk hierbij aan spamfilters, antivirussoftware en Dmarc. Overweeg ook het gebruik van AI en machine learning om patronen van phishing-aanvallen te identificeren en te voorkomen.”

Stap 2: Maak je medewerkers weerbaar tegen phishing

Wybren: “Zoals gezegd zijn de maatregelen uit stap 1 nuttig, maar zeker niet voldoende. Je medewerkers zijn dé sleutel in het herkennen en onderscheppen van een phishing-aanval. Want de aanval verloopt via hun mailboxen.”

“Daarom is het trainen van je medewerkers verreweg de meest effectieve en belangrijke manier om phishing te voorkomen. Het gaat erom dat ze een kritisch stemmetje in hun hoofd krijgen. Dat hen altijd laat dubbelchecken wanneer zij een onverwachte link of ongebruikelijk verzoek binnenkrijgen, of wanneer dit via een ongewone weg gebeurt.”

“Maak je mensen dus bewust van de gevaren van phishing en train ze in het herkennen van verdachte e-mails. Maar werk ook aan het scheppen van de juiste interne cultuur om effectief met phishing om te gaan. Leer mensen bijvoorbeeld dat ze bij twijfel altijd een collega vragen om een mail even door te nemen, voordat zij daar eventuele actie op ondernemen. Dat dat niks is om je voor te schamen, maar dat het juist goed is.”

Herhaal en update de trainingen regelmatig

Phishing-aanvallen en technieken veranderen voortdurend. En je wilt de weerbaarheid onder je mensen top of mind houden. Wybren: “Organiseer regelmatig trainingen en simulaties: herhaling en updates zijn belangrijk. Dit vergroot het bewustzijn en de waakzaamheid van je organisatie, en zorgt dat mensen steeds weten hoe zij moeten handelen.”

Stap 3: Verlaag de impact voor als het toch misgaat

Je kunt allerlei preventieve maatregelen nemen, die de schade beperken wanneer je onverhoopt te maken krijgt met een geslaagde phishing-aanval.

Breng je kwetsbaarheden in kaart en acteer daarop

Breng goed in kaart waar de kwetsbaarheden zitten in je organisatie: zijn dit bepaalde afdelingen, processen, specifieke gevoelige data of bepaalde groepen medewerkers? Maak op die vlakken je processen extra sterk en beveilig ze goed. Gebruik bijvoorbeeld alleen veilige applicaties voor facturen, en mail deze nooit rond. Dan kunnen externen er niet bij.

Extra verificatieprocessen

Bouw extra controles in binnen je bedrijfsprocessen, vooral bij gevoelige transacties en gegevensuitwisselingen. “Implementeer bijvoorbeeld het vier-ogenprincipe, waarbij kritieke acties altijd door twee verschillende medewerkers moeten worden goedgekeurd. Zorg voor duidelijke escalatieprocedures bij ongebruikelijke verzoeken, zeker als deze financieel van aard zijn”, legt Wybren uit.

“Stel daarnaast verificatieprotocollen op waarbij medewerkers bij verdachte verzoeken altijd via een ander communicatiekanaal (bijvoorbeeld telefonisch) om bevestiging vragen. Deze procesmatige beveiligingslagen zorgen ervoor dat een aanvaller niet direct kritieke systemen of gegevens kan bereiken, zelfs als een medewerker slachtoffer wordt van phishing.”

Zero-trust-architectuur

Een zero trust-beveiligingsarchitectuur geeft alleen honderd procent geauthentiseerde gebruikers, applicaties en devices toegang tot jouw ict-omgeving. Je controleert dan continu de toegang van alle gebruikers, applicaties en apparaten tot jouw informatie. Bij elke inlogpoging checkt het beveiligingssysteem hun betrouwbaarheid en of zij mogen inloggen. Dit doet het systeem op basis van de rechten die je zelf toekent aan gebruikers, applicaties en apparaten.

Wybren: “Bij een geslaagde phishing-aanval verlaagt zero-trust de impact, want een aanvaller kan daardoor niet direct bij alle data, maar alleen bij het kleine stukje waar hij op dat moment toegang toe heeft gekregen.”

Lees verder: Zo pas je zero-trust toe binnen jouw organisatie

Rechtenbeheer

Ook data governance en classificatie kun je goed inzetten voor het beperken van de toegang tot gevoelige data en applicaties, bijvoorbeeld op basis van functie. Wybren: “Zorg dat je medewerkers alleen bij die data en applicaties kunnen die zij echt nodig hebben in hun werk. Als zij dan een keer onverhoopt ingaan op een phishing-aanval, dan kan de aanvaller in elk geval niet zomaar bij alle bedrijfsgegevens.

Heb een noodherstelplan

Ontwikkel een noodherstelplan waarmee je organisatie snel reageert en herstelt na een phishing-aanval. Zo’n herstelplan gaat enerzijds over het juiste onderhoud zoals het regelmatig back-uppen van gegevens en het onderhouden van offline kopieën. Anderzijds gaat het om een duidelijk communicatieplan voor noodgevallen. “Het is als het volgen van een slipcursus”, zegt Wybren, “het bereidt je optimaal voor op een ongewenste situatie, zodat je veel beter handelt wanneer het misgaat.” Test de herstelplannen regelmatig, zodat de aangewezen personen altijd weten hoe zij moeten handelen wanneer het nodig is.

Werk samen met erkende ict-partners

Je organisatie weerbaar maken tegen phishing-aanvallen vraagt om de juiste beveiliging en bewustwording, op verschillende lagen. En om het continu up-to-date blijven van de veranderende dreigingen en technieken die aanvallers gebruiken. Wybren: “Denk niet dat je het allemaal zelf moet bijhouden en uitzoeken. Een erkende ict-partner kan je adviseren over de nieuwste ontwikkelen, best practices en wat jouw organisatie nodig heeft om zich optimaal te beschermen. En helpt je bij het implementeren en adopteren daarvan. Het blijft maatwerk.”

Phishing: laat criminelen achter het net vissen

Als organisatie wapen je je vooral tegen phishing-aanvallen door de focus te leggen op de bewustwording en training van je mensen. Implementeer daarnaast de juiste beveiligingstechnologieën, zodat zo min mogelijk phishing-berichten je mensen bereiken. En richt je processen en ict-systemen zo in dat de schade beperkt blijft wanneer het toch mis gaat. Blijf daarbij steeds alert en voorbereid op de nieuwste bedreigingen. Zo blijven jouw data en bedrijfsomgeving veilig en vissen cybercriminelen steeds achter het net!