Social engineering: cybercriminelen gebruiken menselijke psychologie en sociale interacties, of doen zich voor als betrouwbare entiteiten, om binnen enkele klikken je organisatie binnen te komen. En alhoewel je nu waarschijnlijk denkt “daar zou ik écht niet intrappen”, gebeurt het toch aanzienlijk vaker dan je denkt. Hoe komt het dat medewerkers zo’n groot risico vormen als het om de cyberveiligheid binnen een organisatie gaat?
De meest voorkomende vorm van social engineering is phishing: een methode waarbij een cybercrimineel zich voordoet als betrouwbare entiteit (bijvoorbeeld als manager binnen je organisatie) die via WhatsApp vraagt om persoonsgegevens aan te vullen of te wijzigen. Op die manier kan een cybercrimineel toegang krijgen tot bijvoorbeeld de bankgegevens van je organisatie of jezelf als medewerker.
Een andere geraffineerde tactiek is het gebruik van gesimuleerde e-mailadressen, die op subtiele wijze zijn vermomd als authentieke e-mailadressen. Tijdens een drukke werkdag kan het als snel zijn dat je als medewerker een foutief e-mailadres over het hoofd ziet en een betrouwbaar uitziende link opent, waarnaar cybercriminelen snel je organisatie binnen kunnen komen. 63% van alle ondervraagde medewerkers geeft aan wel eens in contact te zijn gekomen met phishing. Een kleine 12% geeft aan hier zelfs slachtoffer van te zijn geworden.
Niet alleen phishing, maar ook een ransomware-aanval is een vorm van social engineering. Een ransomware-aanval is een vorm van cyberaanval waarbij kwaadwillende software (malware) wordt gebruikt om de bestanden op een computer of netwerk te versleutelen en de toegang tot die bestanden te blokkeren. De cybercriminelen eisen vervolgens losgeld (ransom) van het slachtoffer (in dit geval, de medewerker) in ruil voor het vrijgeven van de versleutelde gegevens. Verwacht wordt dat in 2025, maar liefst 75% van de organisaties het slachtoffer zal worden van een ransomware-aanval. In 2022 betrof dit slechts 26%*.
*26% treft op het aantal Nederlandse bedrijven dat in 2022 via het CBS Cybersecurity Monitor aangifte heeft gedaan.
Onderzoek van QBE Europe toont dat bijna een derde (31%) van medewerkers toegeeft dat zij fouten hebben gemaakt die van invloed kunnen zijn op de cyberveiligheid van hun organisatie. Simpelweg door op een betrouwbaar uitziende link te klikken, of door dat zij op geïnfecteerde websites terecht zijn gekomen.
Een ongeluk zit al in een klein klikje. Echter zijn er tegenwoordig tal van manieren om ervoor te zorgen dat medewerkers binnen je organisatie cyberveilig te werk kunnen gaan. Bewustwording bij medewerkers omtrent cyberveiligheid is een belangrijk en circulair proces waarbij betrokkenheid van het gehele bedrijf vereist is. Het is essentieel om medewerkers te betrekken en hen te helpen begrijpen hoe hun acties een directe invloed kunnen hebben op de cyberbeveiliging binnen de organisatie, zowel als op hun eigen persoonsgegevens.
Wijs binnen de organisatie een kleinschalige groep medewerkers aan die de risico’s van cyberveiligheid onder medewerkers kan verspreiden. Om je als organisatie de nodige handvatten te geven en je medewerkers een cyberveilige kickstart te geven, delen wij al de volgende tips:
1) Training en voorlichting: door middel van (online) trainingen en realistische casussen, kunnen medewerkers de eerste tekenen van cybercrime (h)erkennen en anticiperen om toekomstige cyberaanvallen.
2) Strikte beleidsmaatregelen: strikte regels met betrekking tot wachtwoordbeheer, of bijvoorbeeld het beperken van de toegang tot gevoelige systemen, zorgen voor een veiliger beleid binnen organisaties.
3) Bewustzijnscampagnes: met het uitdoen van een regelmatige nieuwsbrief met feiten en fabels omtrent cyberveiligheid, flyers om informatie beter te begrijpen en bijvoorbeeld het delen van de status van cyberveiligheid binnen de organisatie, blijven medewerkers zich bewust van de oorzaken en gevolgen van hun invloed op cyberveiligheid op de werkvloer.
We leven in een tijd waar technologie snel verandert, en blijft veranderen. Niet alleen de vorm van cyberaanvallen, maar ook de aanpak van cybercriminelen evolueert. Organisaties moeten blijven investeren in nieuwe veiligheidsmaatregelen, en bewustwording blijven verspreiden om de risico’s van cyberveiligheid onder medewerkers in de toekomst te voorkomen.
Is jouw bedrijf slachtoffer geworden van cybercrime? Lees wat te doen om je bedrijf te beschermen én te herstellen na een cyberaanval.