Bring your own device (BYOD)/onbeveiligde persoonlijke apparaten
Door de combinatie van werken op afstand en de toegenomen behoefte aan online communicatie en het delen van bestanden, zijn de grenzen tussen zakelijke en persoonlijke apparaten steeds verder vervaagd. Een veelgebruikte oplossing is het implementeren van een BYOD-beleid (Bring Your Own Device). Dit staat het gebruik van persoonlijke apparaten toe, op voorwaarde dat deze over voldoende beveiligingssoftware beschikken en werknemers zich aan het bedrijfsbeleid rond wachtwoorden en fysieke beveiliging houden.
Helaas brengt BYOD aanzienlijke risico's met zich mee en voldoet het vaak niet aan de best practices. Er wordt bijvoorbeeld verbinding gemaakt met onbeveiligde wifi of beveiligingspatches worden niet geïnstalleerd. Hierdoor kunnen kwetsbaarheden ontstaan die erom vragen te worden uitgebuit. Deze kwetsbaarheden kunnen ook risico's opleveren voor uw persoonlijke cyberbeveiliging en uw werkplek of bedrijf.
Personeel (phishing/social engineering)
Ongeacht waar uw personeel werkt, menselijke fouten blijven een veel voorkomende oorzaak van gegevenslekken. Werknemers zijn daarom een van de meest populaire toegangspunten voor een aanval. Ze kunnen via phishing of social engineering worden benaderd om hen ertoe te verleiden op een schadelijke link te klikken of gevoelige gegevens te delen.
Het grootste gevaar hierbij is dat de gebruikers zich er waarschijnlijk niet eens van bewust zijn dat ze worden gemanipuleerd. Hierdoor krijgt de ransomware of andere malware de tijd zich over het netwerk te verspreiden.
Werknemers moeten worden getraind in het herkennen van verdachte activiteiten en hoe ze die snel kunnen melden. Verder mogen ze alleen apparaten gebruiken waarop antivirussoftware en antimalwaresoftware van het bedrijf is geïnstalleerd die op ongeautoriseerde app-installaties en andere dreigingen scant om deze te voorkomen. Zo kunnen problemen die anders door de mazen van het net glippen, worden opgemerkt.
Websites
Hackers zien websites als een gegevensrijke route naar een bedrijfsnetwerk. Zodra de website van een bedrijf is gehackt, kan malware worden ingezet of kunnen gegevens worden gestolen en gebruikt voor social engineering. Hoewel grote sites meestal opvallende doelwitten zijn, mogen kleinere bedrijven er niet van uitgaan dat hun gegevens niet waardevol genoeg zijn om een aanval te ondernemen.
Eén type webaanval is de DDoS (Distributed Denial of Service), waarmee de werking van een website wordt verstoord door een stortvloed aan verkeer te genereren.
Aanvallen middels SQL-injectie voegen schadelijke code aan uw website toe die de beveiliging kan omzeilen en het eenvoudiger maakt om gegevens te stelen, waaronder aanmeldings- en betalingsgegevens. De gebruiker kan ook worden omgeleid naar een nepversie van de site. Met zo'n verscheidenheid aan motieven is bescherming van uw website cruciaal. Naast training en firewalls moet er een strikt beleid zijn voor toegangsbeheer om ervoor te zorgen dat alleen diegenen die actief toegang nodig hebben, wijzigingen kunnen aanbrengen. Penetratietests moeten worden gebruikt om een cyberaanval te simuleren. U kunt dan de beveiligingsprestaties van het netwerk evalueren en kwetsbaarheden identificeren.
Internet of Things
Het aantal slimme apparaten in ons dagelijks leven is drastisch gestegen. Van spraakassistenten in luidsprekers, printers en deurbellen tot camera's en thermostaten, gemak krijgt vaak voorrang op veiligheid. Hierdoor kunnen Internet of Things-apparaten (IoT) het doelwit worden van aanvallers om u te bespioneren. En als één apparaat wordt gehackt, kan dit cybercriminelen de kans geven andere IoT-apparaten in hetzelfde netwerk over te nemen.
Wachtwoorden
Een veelgebruikte en altijd raadzame manier om gegevenslekken te voorkomen is wachtwoordbeveiliging. Dit wordt echter vaak ondermijnd door ingewikkelde vereisten. Wanneer werknemers aan het werk zijn, willen ze snel kunnen inloggen om aan hun projecten te werken en geen moeilijk te onthouden wachtwoorden resetten of wijzigen. Het gevolg is dat slechte gewoonten nog steeds wijdverbreid zijn, zoals zwakke wachtwoorden (kort, gemakkelijk te onthouden), wachtwoorden delen en wachtwoorden op papier schrijven.
Met training kan de alertheid worden vergroot, maar in dit geval zijn praktische oplossingen nodig om een evenwicht te vinden tussen beveiliging en gemak.
Wachtwoordbeheer is een uitstekende oplossing om het probleem van 'te veel wachtwoorden' op te lossen. Hiermee kunnen sterke wachtwoorden worden ingesteld, kan de toegang veilig worden gedeeld en kunnen automatisch nieuwe wachtwoorden worden gegenereerd om het aanmeldingsproces te versnellen en accounts veilig te houden. Bovendien hoeft de gebruiker maar één wachtwoord te onthouden: dat voor Wachtwoordbeheer.
Naast sterke wachtwoorden moet waar mogelijk ook Meervoudige verificatie worden gebruikt om de identiteit van de gebruiker te verifiëren via het apparaat, de locatie of biometrische gegevens.
Toegenomen gebruik van de cloud en online tools
Cloudopslag en cloudgebaseerde tools bieden veel voordelen voor zakelijke gebruikers, vooral voor werknemers die op afstand werken. Cloudservices van derden, vaak bekend als SaaS (Software as a Service), leveren software via een internetverbinding, zodat deze niet lokaal hoeft te worden geïnstalleerd en onderhouden. De voordelen hiervan zijn grotere verwerkingskracht, betaalbaarheid en toegang op afstand tot software en tools.
Alle gegevens die buiten uw beveiligde netwerk worden opgeslagen, kunnen echter kwetsbaar zijn voor gegevenslekken of, erger nog, een serveraanval. Het gebruik van een externe provider betekent ook dat u geen controle heeft over hun gegevensgebruik of beleid.
Om uw gegevens in de cloud te beschermen zijn meervoudige verificatie en effectieve cloudbeveiligingsoplossingen, zoals de Avast Business Hub, essentieel.
Onbeveiligde wifi
Verbinding maken met onbeveiligde wifi brengt vele risico's met zich mee. Zonder versleuteling is alles wat u online doet zichtbaar, onder andere uw browsergeschiedenis, aanmeldingsgegevens en gegevensoverdrachten. Een hacker kan deze informatie gebruiken om gevoelige gegevens te stelen en toegang te krijgen tot zakelijke accounts. Daarnaast bestaat de kans op identiteitsdiefstal. Uw gegevens kunnen vervolgens worden gebruikt in een social-engineeringaanval op uw collega's.
Onbeveiligde wifi is meestal te vinden op treinstations, op luchthavens en in cafés met de aanduiding 'gratis wifi' of 'hotspots'. Gebruik een dergelijke verbinding alleen als laatste redmiddel en dan alleen om te surfen. Gebruik deze nooit voor transacties of sites waarbij u zich moet aanmelden.
In plaats van een onbekende verbinding te gebruiken, kunnen gebruikers onderweg beter hun mobiele telefoons en tablets gebruiken voor een beveiligde verbinding.
Ook de wifiverbinding thuis moet zorgvuldig worden gecontroleerd om te zien of deze de juiste beveiligingsinstellingen heeft.
Delen van niet-versleutelde bestanden
In een hybride werkomgeving is de mogelijkheid om documenten direct te delen essentieel voor samenwerking en productiviteit. Maar als bestanden zonder versleuteling worden verzonden, bestaat er een reële kans op een gegevenslek.
Hoewel de IT-afdeling er verantwoordelijk voor is dat de aanwezige tools (bijv. firewalls) en processen effectieve beveiliging van bestanden tegen nieuwe dreigingen bieden, moeten de mensen zelf ook proactief handelen. Werknemers moeten best practices op het gebied van beveiliging volgen. Zo mogen ze bijvoorbeeld alleen geautoriseerde beveiligingstools gebruiken bij het verzenden en ontvangen van bestanden om vermijdbare fouten te voorkomen.
Meer informatie over versleuteling van gegevens tijdens overdracht.
Schaduw-IT
Schaduw-IT verwijst naar de beveiligingsdreiging die ontstaat wanneer niet-gemachtigde apparaten of softwareprogramma's verbinding maken met het bedrijfsnetwerk zonder medeweten of toestemming van het IT-personeel. Dit is een groeiende dreiging, zoals benadrukt in ons Mobile Workforce Report van 2021.
Schaduw-IT is vaak niet opzettelijk en kan zo eenvoudig zijn als een werknemer die zich op een persoonlijk apparaat bij een werkaccount aanmeldt of ongeautoriseerde software en tools gebruikt op een werklaptop.
Door een gebrek aan middelen tijdens de pandemie is Schaduw-IT nu nog wijder verspreid, omdat sommige bedrijven hun werknemers daarom persoonlijke apparaten liet gebruiken.
Wat de reden ook is, verbindingen waar het IT-personeel niks van weet, vergroten het aanvalsoppervlak van het netwerk en creëren extra toegangspunten die hackers kunnen misbruiken.
Netwerk
Bij het controleren van de netwerkbeveiliging moet u op twee algemene aspecten letten. De fysieke netwerkhardware is een veelgebruikt toegangspunt voor aanvallen in traditionele kantoorruimtes. Daaronder vallen routers, servers en fysieke opslag. Deze elementen vereisen een combinatie van fysieke beveiliging en softwaregebaseerde oplossingen om ze veilig te houden.
Het aantal verschillende typen netwerkaanvallen blijft groeien, van ransomware en malware tot phishing. Hierbij kunnen accountgegevens voor routers en andere fysieke elementen worden verzameld, wat ertoe kan leiden dat de toegangscontrole van het netwerk aan de hacker wordt overgedragen.
Het tweede type is softwaregebaseerde beveiliging voor netwerkverkeer. Daaronder vallen antivirussoftware, serverbeveiliging en firewalls. Door deze maatregelen te implementeren en regelmatig back-ups te maken, kunt u de gevolgen van een gegevenslek of aanval minimaliseren.
Man-in-the-middle-aanvallen zijn ook zorgwekkend, omdat communicatie hierbij langere tijd ongemerkt kan worden onderschept. Dit betekent dat nog meer beveiligde informatie het risico loopt gestolen te worden. Het is daarom uiterst belangrijk dat netwerk- en serverbeveiligingssoftware regelmatig wordt gepatcht zodat moeilijk vindbare aanvallen kunnen worden opgespoord.
Fysieke beveiliging in het openbare leven
Bij apparaatbeveiliging gaat niet het alleen om software. Voor mensen die onderweg werken, kan ook de fysieke beveiliging een significant beveiligingsrisico vormen. De herkenbare voorbeelden zijn een verloren telefoon of een bedrijfslaptop die in de trein is achtergelaten.
Bij fysieke beveiliging speelt ook vertrouwelijkheid een rol. Dit moet daarom beslist in overweging worden genomen wanneer u een apparaat onderweg gebruikt. Zorg dat andere passagiers niet kunnen meekijken op uw scherm en praat niet hardop over zakelijke of gevoelige onderwerpen, omdat deze informatie kan worden gebruikt voor spear phishing.
Het voltallige personeel moet worden getraind in de beveiligingsrisico's en verwachtingen met betrekking tot werken op afstand, omdat het hierbij gaat om een beveiligingspunt dat afhankelijk is van de individuele gebruiker.
Wat kunt u doen om u te beschermen tegen een cyberaanval of gegevenslek?
De grenzen van het netwerk beveiligen
Terwijl de meeste bedrijven tijdens de pandemie gedwongen waren om werken op afstand snel mogelijk te maken, blijven de basisprincipes van bedrijfsbeveiliging hetzelfde, ongeacht de locatie van een werknemer. Al is 'het kantoor' niet langer beperkt tot één fysieke kamer of één fysiek gebouw, de beveiliging van de netwerkgrenzen is nog steeds een van de belangrijkste stappen die uw bedrijf kan nemen om klantvertrouwen, omzet en productiviteit te handhaven en downtime bij cyberaanvallen te minimaliseren.
Hybride werken is een uitdaging voor bedrijven van elke omvang, maar de redenen waarom variëren. Een klein bedrijf heeft meestal niet de financiële middelen die hun grotere tegenhangers wel hebben, maar ze hebben minder werknemers en apparaten die moeten worden beheerd.
De sleutel tot succes is kennis. Zorg dat uw personeel op zijn minst een basistraining in beveiliging en best practices heeft gehad. Medewerkers kunnen dan snel verdachte activiteiten melden om vermijdbare dreigingen te minimaliseren. De Cybersecurity Basics Quiz van Avast is een uitstekende manier om inzicht te krijgen in de beveiligingskennis van uw team en te bepalen waar extra training is vereist.
Uw bedrijf beschermen met geavanceerde antivirussoftware
Bescherm uw bedrijf tegen deze dreigingen voor toegangspunten en andere complexe cyberaanvallen door de cyberbeveiligingsoplossingen van Avast Business te gebruiken voor uw kleine bedrijf of thuiskantoor.