infosessie cybersecurity public 2018.04.26 prevor-dag ...ozcs.be/prevor/vorm-comm/c...
TRANSCRIPT
Public
Cybersecurity wordt al te vaak aanzien als een zuiver ICT-probleem.Het is zonder twijfel een gegeven waarbij ICT een cruciale rol speelt, maar juist doordat te veelzaakvoerders er op deze manier naar kijken, maken we het voor cybercriminelen vandaag veel
te gemakkelijk.
Cybercriminelen zijn maar op zoek naar 1 ding: geld.Dat geld vinden ze in ELKE onderneming, ongeacht de sector, en ongeacht de grootte.Sterker nog, juist doordat kleinere ondernemingen veel minder sterk verdedigd zijn op vlak van cybersecurity, zijn ze een zeer lukratieve doelgroep geworden voor hackers.De tijd dat enkel banken en overheden aangevallen werden is definitief voorbij.
Infosessie Cybersecurity
2018.04.26
Prevor-dag Vorselaar Bert Bleukx
Public
Factuurfraude werkt via eenvirus-infectie. Hetzij bij dezendende partij, hetzij bij de ontvangende.De techniek is echter steeds dezelfde:Op één of andere manier vragen zeom het factuurbedrag over te makenop een andere (zogezegde nieuwe)rekening.Tip: doe steeds een cross check. Wanneer je gevraagd wordt op een anderrekeningnummer dan gewoonlijk tebetalen: bel (niet via mail!)
Een cyberaanval begint vaak bij eenwillekeurige PC in je onderneming.Indien daar geen nuttige gegevens tevinden zijn, verspreidt het virus zichdoorheen je netwerk totdat het data gevonden heeft waarmee ze je hetzijkunnen gijzelen (met dreigement om te publiceren) hetzij rechtstreeks meeop de zwarte markt gaan om teverkopen.Tip: Kritische data maximaal scheidenvan de rest van je netwerk
DATA THEFT (GDPR)
FACTUURFRAUDE
Ransomware versleutelt alle gegevens op je PC en netwerk.De laatste versies zoeken zelfs doelgericht naarje back-up schijven om die mee te versleutelen!
Dergelijke versleutelde gegevens zijnonbruikbaar geworden. De enige manier om zeterug te kunnen aanwenden is via invoer van eencode… die je krijgt indien je geld betaalt.
Tip: Installeer een degelijke anti-virus, maakback-ups (die niet rechtstreeks toegankelijk zijn) en CONTROLEER de volledigheid van je back-ups.
RANSOMWARE
Bert Bleukx
Infosessie Cybersecurity
2018.04.26
Prevor-dag Vorselaar
Public
Phishing is DE nummer 1 techniek in cyberaanvallen.Door mensen te misleiden zetten cybercriminelen hun eerste stap in uw onderneming. Door hetzij het verkrijgen van paswoorden, hetzij installeren van een virus. Aandacht voor phishing is DE belangrijkste verdedigingsmaatregel die je moet overbrengen aanje medewerkers. “Medewerkers” in de logica van cybersecurity zijn ALLE mensen die met PC’s van je onderneming werken (ongeacht of ze op je payroll staan of niet).
Met drie tips doorprik je bijna alle phishing-mails:1) Een logo of naam van ondertekenaar is geen bewijs van ‘echtheid’ van de mail. Dit is
publieke informatie die je op het internet kan vinden. IEDEREEN kan zo’n logo in een mail plakken. Laat je daar niet door misleiden.
2) Kijk naar de afzender en de linken door er even met je pijltje over te blijven hangen. Dan krijg je het afzendadres volledig te zien. Ziet er dat verdacht uit? Onmiddellijk stoppen.
3) De inhoud van de mail: Beloven ze je zaken die TE mooi zijn om waar te zijn? Of zijn het zeerassertieve mails die je onder druk zetten om DRINGEND iets te doen? VERWACHT je zo’nboodschap van deze afzender?
Bert Bleukx
Infosessie Cybersecurity
2018.04.26
Prevor-dag Vorselaar
Public
Paswoorden vormen letterlijk de sleutel tot je onderneming. Toch gaan de meeste mensen hier zeernonchalant mee om.Om het voor zichzelf gemakkelijk te maken bezondigen ze zich al te vaak aan 2 grote fouten:- Het paswoord is veel te makkelijk te raden. (algemeen bv “12345678”, of via info op social media
bv de naam van kinderen, partner of huisdier)- Herbruiken van dezelfde paswoorden voor verschillende toepassingen of websitesDaardoor volstaat het voor een cybercrimineel om je 1x een paswoord te ontfutselen via phishing om via dat paswoord in al je andere toepassingen in te breken.
Met eenvoudige geheugentrucjes kan je het leven met paswoorden terug ‘verteerbaar’ maken.Gebruik paswoordzinnen bv“Mijn paswoord van 2018 is geheim” geeft als paswoord “Mpv2ig” als je telkens de 1e letter neemtOf je kiest een lang paswoord dat je goed kan onthouden en vervangt steeds hetzelfde lettertjeof lettertjes door een letter van de toepassing of website. (zie voorbeeldje op de slide)Een ‘password-vault’ app waar je al je paswoorden in bewaart is ook een prima alternatief.Kies wat jou het beste ligt, maar laat ons stoppen met de sleutel van onze PC’s zomaar weg tegeven aan cybercriminelen.
Bert Bleukx
Infosessie Cybersecurity
2018.04.26
Prevor-dag Vorselaar
Public
Cybersecurity is een meerlagen model.Je ICT vormt de basis laag. Daar moet je zelf als manager de prioriteiten duidelijk maken.Sommige delen van je onderneming zijn minder cruciaal, anderen zeer kritisch. De ICT verdedigingsmaatregelen moeten daarop afgestemd zijn om het betaalbaar te houden.
De mens is een enorm belangrijke schakel geworden de laatste jaren. Quasi ALLE cyberaanvallen beginnen bij het misleiden van de mens.Het is een uitdaging: Cybersecurity heeft een sfeer rond zich van complexiteit entechniciteit waardoor veel mensen zich niet aangesproken voelen. Maar het is weldegelijk een verantwoordelijkheid voor IEDEREEN.Tegelijkertijd hebben de meeste veiligheidsmaatregelen een negatief effect op gebruiksgemak waardoor ze ook nog eens onpopulair zijn.Train je medewerkers, hou hen alert door regelmatig oefeningen te organiseren.BETROKKENHEID creëren is DE voornaamste tip. Mensen moeten beseffen dat het NODIG is en het niet beschouwen als een verplicht nummertje ‘omdat de baas het vraagt’
Ondanks alle tegenmaatregelen moet je er vanuit gaan dat ze vroeg of laat binnen zullengeraken. Bereid je daarop voor door jezelf te trainen in een crisissituatie en door monitoring.
ICT is OOK jouw zaak1) Bepaal SAMEN de prioriteiten: wat is belangrijk,
welk soort aanval vrees je het meest2) Dubbelcheck je ICT
Laat je af en toe (1x per jaar) eens screenen door een 3e neutralepartij
Train je medewerkers1) Geef opleiding in de basics: Phishing, virussen, paswoorden2) Geef phishing-oefeningen om als manager beeld te hebben hoe
sterk je ‘human firewall’ is en om hen alert te houden3) BETREK hen. Maak van security geen ‘verplicht nummertje’ want dan
mis je het doel. Mensen gaan ROND de regeltjes proberen te fietsen.Cybersecurity werkt ALS EN SLECHTS ALS de mens MEEwerkt
Bereid je voor: ze ZULLEN binnengeraken1) Oefen je eigen “nightmare”, doe een simulatie als ‘papieren’
oefening. Weet je hoe lang het duurt om je ICT volledig opnieuw telaten installeren? Hoe snel zijn je backups teruggezet? Weet je wie jemoet bellen? Wat je zal vertellen tegen klanten en leveranciers?
2) Zet monitoring opDetectiesystemen die een hackingaanval detecteren. Op dat momentZIJN ze al binnen, maar kan je vaak nog veel schade vermijden door snel in actie te schieten.
Bert Bleukx
Infosessie Cybersecurity
2018.04.26
Prevor-dag Vorselaar