Cybercrime: wat kan er allemaal fout gaan bij je medewerkers?

Security medewerkers

Het maakt niet uit hoe goed je jouw data, software en systemen ook beveiligt. Als je medewerker op een foute link klikt, gaat het goed mis. In dit artikel vind je voorbeelden van situaties waar medewerkers de achterdeur per ongeluk wagenwijd open lieten staan voor cybercriminelen, of eigenhandig datalekken veroorzaakten.

Cybercrime wordt een steeds groter probleem, blijkt uit onderzoek van ABN AMRO in samenwerking met onderzoeksbureau MWM2. Waar in 2020 nog 29% procent van de bedrijven slachtoffer was geworden van cybercrime, was dat in 2021 maar liefst 45%.Dit is deels te wijten aan een flinke professionaliseringsslag onder cybercriminelen, en deels aan de digitalisering van bedrijven.

Wanneer bedrijven digitaler werken, zijn zij gevoeliger voor beveiligingslekken bij softwareaanbieders. Dat zagen we bijvoorbeeld in 2021 toen hackers via een lek in mailprogramma Microsoft Exchange toegang kregen tot ruim 1200 Nederlandse mailservers

Ook is er bijvoorbeeld meer kans dat medewerkers onoplettend zijn en per ongeluk gevoelige data delen. Ook is de kans dat zij slachtoffer worden van phishing groter. Benieuwd hoe je de security awareness van medewerkers kunt verhogen? Dat lees je in dit artikel met vijf slimme tips.

Voorbeelden datalekken door medewerkers

De kranten staan regelmatig vol met berichten over hacks waar grote sommen losgeld worden gevraagd. Dat gebeurt bij internationale corporates, maar ook in het Nederlandse mkb. Deze voorbeelden geven je een beeld van hoe medewerkers zonder dat ze zich hiervan bewust zijn, cybercrime binnenlaten.

Systeembeheerder zet intranet online

Een bijzonder onhandig voorbeeld zien we bij jeugdzorgbedrijf Samen Veilig Midden Nederland. Volgens een bron wilde de systeembeheerder een nieuwe versie van het intranet testen. Hiervoor had hij een kopie van het intranet op zijn eigen website gezet, zonder dit goed af te schermen. Hij is ook vergeten deze kopie weer te verwijderen.

Het gevolg is dat de telefoonnummers en e-mailadressen van medewerkers op straat lagen. Ook stonden er wachtwoorden van verschillende subwebsites en instructiefilmpjes op deze kopie.

Admingegevens ontwikkelomgeving Belastingdienst toegankelijk

Ook bij de Belastingdienst ging het mis, daar kwam een ethisch hacker genaamd SchizoDuckie erachter dat de beveiliging niet goed op orde was. Een medewerker bleek actief te zijn in een openbare Git-repository.

Vanuit deze repository kon hij de privé-GitLab-repository benaderen waar de admincredentials voor de Microsoft Azure-testomgeving stonden. Toen bij een inlogpoging meerfactorauthenticatie aan bleek te staan, werd deze tot zijn verbazing bevestigd door de medewerker van de Belastingdienst.

SchizoDuckie besloot de Belastingdienst in te lichten en de medewerker op te bellen op een telefoonnummer dat hij gebruikte voor iCloud-account. Hij besloot hen te helpen de beveiliging aan te scherpen. Een cybercrimineel had namelijk flink toe kunnen slaan.

Data gemaild naar verkeerd (en privé) e-mailadres

In Aalten zijn de BSN-gegevens van inwoners van 4 tot en met 23 jaar op straat terecht komen. Een ingehuurde medewerker was bezig om deze gegevens te verwerken voor de rapportage leerplicht, maar kreeg dit tijdens zijn werkdag niet af.
Hij besloot deze gegevens vervolgens naar zijn privé e-mailadres te sturen, met in de bijlage een lijst van verzuimmeldingen van bepaalde kinderen. Dit was uiteraard niet toegestaan binnen de gemeente. Helaas had de medewerker in kwestie ook nog eens de fout gemaakt het e-mailadres verkeerd te schrijven, waardoor de lijst naar een vreemde ging.
Het gevolg was dat de BSN-gegevens van 5.500 personen naar een onbekende waren verstuurd, een flink datalek. De gemeente heeft melding gedaan bij de Autoriteit Persoonsgegevens. Het lijkt erop dat er tot nu toe geen misbruik is gemaakt van de gegevens.

Phishing als risico

In de bovenstaande voorbeelden is er duidelijk sprake van nalatigheid bij de medewerkers. Het komt vaker voor dat medewerkers per ongeluk cybercriminelen binnenlaten door te klikken op een verdachte link, of door een geïnfecteerd bestand te downloaden in een mail. Dit heet phishing.

Een opvallend voorbeeld is een phishingmail van de Lazarus APT-groep aan een luchtvaartbedrijf in Nederland en een politiek journalist in België. Zij kregen zogenaamd een aanbod om bij Amazon te komen werken. In de bijlage zaten documenten in Amazon-thema.

Wanneer de ontvangers deze documenten openden, werden verschillende virussen op hun computers losgelaten om data te stelen. De computer van het Nederlandse slachtoffer was aangesloten op het bedrijfsnetwerk, waardoor meerdere systemen konden worden aangestuurd door de hackers. Denk hierbij aan:

  • Het herschrijven of verwijderen van bestanden
  • Schermafbeeldingen maken
  • Bestanden downloaden en uploaden

Voorbeelden phishingmails

Benieuwd hoe zo’n phishingmail er precies uitziet? De Fraudehelpdesk verzamelt nepmailtjes, zodat je weet hoe je deze kunt herkennen. Opvallend is dat deze zonder uitzondering vragen om op een link te klikken of op een bijlage te klikken.

Wanneer je medewerkers daadwerkelijk op een link klikken, worden ze naar een valse website gestuurd om inloggegevens te stelen. Een bijlage kan bijvoorbeeld een virus bevatten, waardoor de computer en uiteindelijk het hele netwerk gehackt kan worden.

Wanneer je medewerkers zo’n mail krijgen, is het belangrijk dat ze niet direct op links klikken of bijlages openen. Leer ze aan om direct naar de website zelf te gaan, en eerst even te Googlen om te zien of het gaat om een bekende nepmail. Uiteraard benadruk je hier dat het altijd slim is om de IT-afdeling om hulp te vragen.

Lees ook

Altijd op de hoogte zijn? Meld je aan voor de nieuwsbrief

Het platform Ik Wil Mobiel Werken stuurt jou elke 2 weken een overzicht van de nieuwste ontwikkelingen. Wil jij geen nieuwe artikelen missen? Meld je dan nu aan.

Meld je aan

GERELATEERDE ARTIKELENMEER VAN DEZE AUTEUR