In de zorg is het vierogenprincipe een vast gegeven. Of het nu gaat om een medische beslissing of een complexe interventie, een extra paar ogen voorkomt fouten en verhoogt de betrouwbaarheid. Maar hoe zit dat met informatiebeveiliging? 

Bart Koppens, directeur bij Promeetec – is hier duidelijk over: “Veel organisaties vertrouwen blind op hun IT-leverancier, maar je blijft als organisatie natuurlijk zelf verantwoordelijk voor de wijze waarop zaken worden ingericht. Die verantwoordelijkheid kan je niet volledig bij een ander neerleggen. Het is jouw organisatie. Je wilt grip, maar wel door iemand met expertise.”

“Als organisatie werken we met patiëntdata zoals BSN-nummers”

Promeetec is al sinds 1998 een expert in het verwerken van informatie- en declaratiestromen binnen de zorgverzekeringswet (Zvw) en Wet langdurige zorg (Wlz). U kunt ze zien als ‘postkantoor’ van de zorg: Promeetec zorgt ervoor dat facturen correct worden geregistreerd en bij de juiste zorgfinancier terechtkomen. 

Het verwerken van zulke gevoelige gegevens brengt grote verantwoordelijkheden met zich mee. Bart: “Als organisatie werken we met patiëntdata zoals BSN-nummers, adresgegevens en prestatiecodes. Het zegt iets over de gezondheid van een persoon, en dat maakt het bijzondere persoonsgegevens. Daarmee wil je uiterst zorgvuldig omgaan.”

Patiëntdata per mail: dat is iets van vroeger

Bij de beveiliging van die persoonsgegevens komt veel cybersecurity kijken. Dat zijn we nu gewend. Maar het is nog niet zo lang vanzelfsprekend. Bart vertelt: “Vroeger ontving men patiëntdata nog per mail. Dat was destijds heel normaal binnen de zorg. Maar sinds VECOZO nieuwe aansluitvoorwaarden introduceerde, is er veel veranderd. Daarin stond bovenaan: voldoen aan NEN 7510.” 

“We wilden het gewoon goed doen”

Promeetec heeft door de jaren heen flink geïnvesteerd in internationale normen zoals ISO 27001/27701 en NEN 7510. “Die certificeringen zijn niet alleen een eis geworden, ze zijn ook een bewijs naar onze klanten. Het laat zien dat we professioneel met informatiebeveiliging bezig zijn.”

“Voor ons werd het een intrinsieke motivatie: we wilden het gewoon goed doen. Dat het goed voelt.” zegt hij. “Als je met gevoelige data werkt, moet je passende maatregelen nemen. Je moet als organisatie kunnen aantonen dat je professioneel met die data omgaat. Het geeft vertrouwen naar klanten én naar jezelf. 

“Wegens geen klanten gesloten”

“Wat zijn mijn risico’s, en wat is het mij waard om mezelf daarvoor te beschermen?” Die vraag houdt hem dagelijks bezig. “Je wil niet de eerste zijn waarbij je een bordje omdraaien van ‘Wegens geen klanten gesloten’, omdat je doelwit bent geworden van een cyberaanval en er veel data verloren is gegaan of op straat is komen te liggen.”

Dit soort keuzes hebben volgens Bart ook gevolgen voor aansprakelijkheid. “Je hebt met klanten ook altijd gesprekken over aansprakelijkheid. Dus als je het gaat hebben over een boetebeding, dan vragen ze: ‘Welke technische maatregelen heb je getroffen om dit te voorkomen?’ Maar als je lijst aan maatregelen gigantisch groot is, dan zullen ze minder snel zeggen: ‘X is nalatig geweest.’ Hoe risico-avers ben je? Hoe ga je ermee om?” 

Al vroeg een SOC

Veel “concullega’s” investeren volgens Bart nog niet in SIEM-software of een Security Operations Center (SOC), terwijl deze tools juist waardevolle inzichten bieden. Promeetec koos er al vroeg voor om wél deze stap te zetten. Voor hem is een SOC dan ook geen twijfelgeval, maar een logische keuze voor maximale beveiliging en transparantie. Daarmee is Promeetec al geruime tijd goed voorbereid op de NIS2-wetgeving.Eerst in samenwerking met een andere organisatie. Nu in samenwerking met IP4Sure (binnenkort Cyberlab).

Waarom vier ogen nodig zijn in de IT-beveiliging

Hoewel Promeetec zelf veel kennis van IT in huis heeft, benadrukt Bart het belang van externe ondersteuning. “We hebben echt wel verstand van systemen,” zegt hij. “Maar kennis is niet oneindig. Je hebt een specialist nodig om kritisch mee te kijken. Een slager die zijn eigen vlees keurt, dat werkt niet.”

De ogen van IP4Sure

IP4Sure speelt een belangrijke rol in het borgen van de beveiliging. “Het zijn eigenlijk die extra paar ogen,” legt Bart uit. “Zij kijken mee en zorgen ervoor dat er niets aan onze aandacht ontglipt. Ze stellen de kritische vragen die je nodig hebt om scherp te blijven.”
 
De keuze voor IP4Sure was een bewuste: “We zochten naar een partij die dichtbij zit, met ervaring en kennis van zaken. IP4Sure sloot aan bij de SIEM-software die we al gebruikten, zoals Rapid7. Maar wat ik vooral waardeer, is het persoonlijke contact. Ze geven gevraagd én ongevraagd – maar broodnodig – advies.”

Continu verbeteren & het houden van grip

Cybersecurity is geen eenmalige checklist, maar een continu proces. “Normeringen zoals ISO 27001 vereisen dat je constant blijft verbeteren. IP4Sure helpt ons daarbij. Ze wijzen ons op zaken die we zelf misschien over het hoofd zien.” Dit continu verbeteren is volgens Bart de kern van alle normeringen: “Het is fijn als een externe organisatie je daarop wijst.”

Met name het Security Operations Center (SOC) geeft Promeetec veel grip, volgens Bart. “Met een SOC laat je een externe partij meekijken. Dat geeft een onafhankelijk advies en biedt om die reden extra zekerheden. Het helpt ook om aan je klanten te laten zien dat je professioneel werkt.”

Samenwerken met een cybersecurity kennispartner

Een samenwerking met een externe kennispartner op het gebied van cybersecurity vraagt om een open houding. Bart: “De kritische vragen van IP4Sure waardeer ik heel erg in de samenwerking. Maar daar moet je wel voor open willen staan. Sommige mensen willen niets doen met advies. Wij denken: dat advies wordt niet voor niets gegeven.”

Softwaremodules laten testen op kwetsbaarheden

Daarnaast voert IP4Sure regelmatig een pentest uit op nieuwe softwaremodules. “We hebben laatst ook een pentest laten uitvoeren door IP4Sure. We wilden namelijk een nieuw stukje software laten toetsen. Daar wilden we onafhankelijk advies in. Zijn we niks vergeten? Dat hebben we toen ook gevraagd.”

“Als ontwikkelaar wil je het liefst zo snel mogelijk live” Gelukkig was IP4Sure ook snel. “En daar kwamen ook weer hele fijne adviezen uit. Niet zozeer technische kwetsbaarheden, maar ook echt meedenken. ‘Misschien kun je dit anders configureren.’ Dat houdt je als partij scherp. En dat vindt een ontwikkelaar ook heel erg fijn.”

Goed geregeld

Bart is zelfverzekerd dat de security aanpak van Promeetec niet alleen voldoet aan wet- en regelgeving, maar ook echt standhoudt in de praktijk. “Je wilt in de spiegel kunnen kijken en zeggen: we hebben het goed geregeld. Dat vertrouwen geven we door aan onze klanten. En daarvoor hebben we de expertise van een kennispartner als IP4Sure nodig.”
 

De zwakste schakel in de cybersecurity? Dat is nog altijd de mens. Het maakt cybersecurity awareness een belangrijk wapen in elk verdedigingsarsenaal. Maar ook een van de meest complexe. Want: mensen zijn onvoorspelbaar. 

Om daar in cybersecurity awareness (trainingen) mee om te gaan, is wat extra kennis over onze psychologie belangrijk. We zijn als mens slim, maar ook geneigd om fouten te maken. Het gaat om gedrag, biases en bewustwording. 

Even kort: wat is cybersecurity awareness?

De naam geeft al genoeg weg: cybersecurity awareness is het vermogen van medewerkers om cyberdreigingen te herkennen en daarop te reageren. Het liefst creëert het een diep begrip van hoe digitale risico’s organisaties kunnen raken, van malware tot datalekken. 

Echte awareness omvat alles: van het begrijpen van de risico’s van zwakke wachtwoorden en het veilig omgaan met gevoelige gegevens, tot het herkennen van subtiele signalen van ongeautoriseerde toegang. Cybersecurity awareness is een brede, gedragsgerichte aanpak die menselijke fouten wil minimaliseren. 

Dat gaat verder dan kennis over dreigingen. Goed geïntegreerde cybersecurity awareness draait om motivatie. Motivatie om de organisatie samen veilig te houden.

En: inzicht in eigen psychologische “zwaktes”

Het vermogen om even uit te zoomen en vanaf een afstand te kijken naar eigen gedrag. Bewust zijn van de mentale sluiproutes die ons brein dagelijks neemt, waardoor we bijvoorbeeld soms een phishingmail geloven. Want wie daar alert op is, kan zich sneller in het moment erop betrappen. En bijsturen.

Het overkomt namelijk de besten. Ook mensen die volledig op de hoogte zijn van aanvalsmethodes van hackers klikken wel eens op een phishinglink: “Uw pakket staat klaar. Klik om te bevestigen.” 

Cognitieve biases: waarom we fouten blijven maken

Als mens zijn we gewoon niet altijd rationeel. Dat is helemaal niet erg. Ons brein neemt shortcuts om snel beslissingen te maken. Als we dat niet zouden doen, zouden we elke dag uitgeput zijn van alle mentale inspanning. Het is onbewuste zelfbescherming.

Deze shortcuts of mentale sneltoetsen noemen we heuristieken. Handig in veel situaties, maar gevaarlijk in cybersecurity. Want heuristieken leiden tot cognitieve biases – systematische denkfouten -, en die maken ons kwetsbaar.

Bias 1: Optimisme als valkuil

Een van de grootste boosdoeners? De optimism bias. Dat is de overtuiging dat slechte dingen anderen overkomen, maar niet onszelf. “Ik ben niet interessant genoeg voor hackers,” denken veel mensen. Het gevolg? Ze worden minder voorzichtig. Totdat het misgaat.

Bias 2: De kracht van bevestiging

Er is ook de confirmation bias. Dit is de neiging om vooral informatie te zoeken of te geloven die onze bestaande overtuigingen bevestigt. Denk bijvoorbeeld aan iemand die al langere tijd bang is dat zijn privacy in gevaar is of persoonlijke gegevens lekken. En vaak op zoek is naar informatie die deze overtuiging ondersteunt.
Deze persoon trapt dankzij de confirmation bias daardoor sneller in onderstaande mail:

“Belangrijke update: Uw account is mogelijk in gevaar! We hebben verdachte activiteiten opgemerkt en u moet onmiddellijk inloggen om uw gegevens te beschermen. Klik hier om nu uw wachtwoord opnieuw in te stellen.”

Zodra we iets zien dat onze opvattingen of overtuigingen bevestigt, zijn we onbewust direct minder kritisch. 

Blind vertrouwen

De confirmation bias kan ook op een andere manier tegen ons werken. Stel, u bent ervan overtuigd dat phishing-mails altijd vol staan met spelfouten. Wanneer u dan een professioneel ogende e-mail krijgt die volledig correct is opgesteld, herkent u deze minder snel als een bedreiging. 

Onder invloed van de confirmation bias, let u minder op signalen die de overtuiging uitdagen. Dit blinde vertrouwen in uw eigen mentale checklist maakt u vatbaar voor juist de meest geavanceerde aanvallen. 

Bias 3: Uit het oog, uit het hart

Tot slot is er nog de availability heuristic. We baseren risico’s op wat we recent hebben meegemaakt. Als een collega net in een phishing-simulatie trapte, bent u waarschijnlijk even extra alert. Maar een paar maanden later? Dan verliezen we die alertheid alweer uit het oog.

En zo is er nog veel meer gaande in het brein, dat allemaal van invloed is bij cybersecurity awareness. 

(Benieuwd naar meer mentale shortcuts? Op deze website staat een volledige lijst met biases.)

Van abstract naar tastbaar

Denk aan een andere mentale valkuil die losstaat van biases: niet iedereen kan goed abstract denken. Laat cybersecurity nu juist super abstract zijn! Medewerkers begrijpen dat ze voorzichtig moeten zijn, maar ze voelen niet echt de urgentie. Dat komt doordat de gevolgen van een cyberaanval vaak onzichtbaar blijven. Totdat het te laat is.

Awareness gaat om ervaren en voelen

Praktijkverhalen over de gevolgen van phishing bijvoorbeeld. Of eentje over een werknemer die zijn baan verloor omdat hij op een verkeerde link klikte. Of een klant wiens persoonlijke gegevens zijn gestolen. Deze verhalen maken de impact tastbaar. Ze zorgen ervoor dat medewerkers niet denken: “Dit overkomt mij niet.” Ze denken: “Dit wil ik voorkomen.”

Nog krachtiger is medewerkers zelf een aanval laten ervaren. Zo heeft een phishing-simulatie organiseren veel impact.

Frequentie belangrijk bij cybersecurity awareness 

Dit betekent niet meteen dat u elke maand een cybersecurity awareness actie moet organiseren. Dat zou duur zijn. Maar neurowetenschappen tonen aan dat gedragsverandering wel meer vraagt dan een jaarlijkse opfrisbeurt.

Mensen leren niet door passief informatie te ontvangen. Ze leren door te doen. Door fouten te maken. En door herhaling.

Phishing-simulaties zijn een goed voorbeeld. Medewerkers krijgen een realistische e-mail. Klikken ze? Dan krijgen ze direct feedback. Zo leren ze in de praktijk. Herhaling versterkt dat effect. Iedere nieuwe simulatie maakt medewerkers alerter. En na verloop van tijd veranderen hun gewoonten.

Leiders aan zet

Maar cybersecurity awareness vraagt ook om een cultuur waarin cybersecurity onderdeel is van de dagelijkse routine. En daar zijn de leiders aan zet. Zijn ze zich bewust hoe ze cybersecurity awareness heel het jaar door kunnen stimuleren?

Bijvoorbeeld door te belonen voor veilig gedrag. “Fijn dat je dit even komt melden!” En nog belangrijker: door fouten bespreekbaar te maken. 

Psychologische veiligheid is een must

Angst is de vijand van cybersecurity. Als medewerkers bang zijn om fouten toe te geven, blijven incidenten vaak verborgen. Een verkeerde klik wordt niet gemeld. En een klein probleem kan uitgroeien tot een grote crisis.

Hier komt psychologische veiligheid in beeld. Dit is de overtuiging dat we fouten mogen melden zonder negatieve gevolgen. In een veilige werkomgeving voelen mensen zich vrij om te spreken. Om vragen te stellen. En om problemen aan te kaarten. Dit is essentieel voor een sterke cybersecurity-cultuur.

Een fout is een kans om beter te worden

En het is misschien cliché, maar wat het gevolg van een fout ook is; het is altijd een leermoment. Dus leg richting de “veroorzaker” vooral de nadruk op de kans om te leren. “Het is balen, maar we zijn als bedrijf wel goed wakkergeschud. En jij vast al helemaal. Super bedankt dus dat je het bent komen melden. Daardoor konden we ook snel schakelen!”

Een mensgerichte aanpak voor een veiligere toekomst

De grootste kracht – en zwakte – van elke organisatie zijn de mensen. Cybersecurity awareness verstevigt de technologische beveiliging door de mens alerter te maken. 

Mensen alert maken van aanvalsmethodes en hun eigen cognitieve biases. Door een omgeving te creëren waarin leren centraal staat. Door fouten bespreekbaar te maken. En door cybersecurity tastbaar te maken. Het liefst het hele jaar door. Zo bouwt u aan een organisatie met steeds minder kwetsbaarheden in de digitale omheining.

Inspiratie of hulp nodig om cybersecurity awareness te integreren in de organisatie? Bijvoorbeeld met een spearphishing-simulatie? Neem vrijblijvend contact met ons op. 

Welke cybersecurity podcasts zijn nu echt het luisteren waard? Of het nu voor onderweg is of voor in de vrije tijd: in dit artikel geven we tips voor podcasts over dit onderwerp. 

Het team van IP4Sure luistert graag naar podcasts. We hebben ons best gedaan een selectie te maken van zowel Nederlandse als Engelse. En bovenal: zo actueel mogelijk! In het geval van cybersecurity is het wel zo handig te luisteren naar iets dat over het threatlandschap van nu gaat.

Dit zijn onze zo recent mogelijke aanraders, inclusief een absolute favoriet van heel ons team (nummer 4!).

Nederlandse podcasts

We beginnen met de Nederlandse podcasts. Stiekem zijn er nu niet zoveel actuele podcasts van de Hollandse bodem. Maar deze zijn recent en echt het luisteren waard:

1. De Dienst geeft een kijkje bij het AIVD

Klaar om in de wereld van de AIVD te duiken? De Dienst is de podcastserie die u meeneemt achter de schermen van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD). En dat doet de podcast op een manier waardoor u bijna vergeet dat u niet zelf op missie bent.

Liesbeth Rasker stapt in de schoenen van een nieuwe AIVD-medewerker en volgt de basistraining die elke inlichtingenofficier doorloopt. Maar als het om cybersecurity gaat, raden we vooral seizoen 2 aan: Operatie POSITRON.

Hierin staat een onderzoek naar een cyberaanval centraal. Luisteraars konden toen het seizoen net uit kwam zelf een actieve rol nemen in het onderzoek door technische challenges op te lossen. De opdrachten staan niet meer online. Maar u kunt uiteraard nog steeds luisteren en ontdekken of Liesbeth en haar team de oorsprong van deze aanval weten te achterhalen.

Spotify
Apple

2. Takedown van de Nederlandse politie

‘Takedown’ is een spannende podcastserie van Team High Tech Crime (THTC). Dit gespecialiseerde team van de Nederlandse politie houdt zich bezig met complexe, (inter)nationale cybercrimezaken. In elke aflevering reconstrueert tech-journalist Vivianne Bendermacher één fascinerende zaak: van het opsporen van grote malware-aanbieders tot het ontmantelen van wereldwijde cryptocommunicatiediensten.

Vivianne spreekt met betrokkenen en medewerkers van THTC, die u een exclusief kijkje geven in hun specialistische werkwijze. Het geeft praktijkgericht een beeld van hoe de Nederlandse politie zich bezig houdt met het opsporen van cybercrime. 

Spotify
Apple

3. Poki

Alexander Klöpping en Wietse Hage nemen u elke week mee in hun denkbeeldige helikopter om vooruit te blikken op ontwikkelingen binnen de AI: “Hé, hebben jullie door dat we onderweg zijn naar…?” 

Poki is met name een aanrader voor iedereen die de ontwikkelingen van AI op een begrijpelijke manier wil volgen. Klöpping en Hage brengen hun enthousiasme en kennis over op een manier die voor iedereen toegankelijk is. Inhoudelijk en vermakelijk dus. 

Ze bespreken de nieuwste ontwikkelingen, filosoferen over de toekomst en houden een scherp oog op het heden. Onderwerpen als privacy en cybersecurity komen naast AI geregeld aan bod. 

Spotify
Apple

Lees hier een blog dat we een poos geleden schreven naar aanleiding van een aflevering van Poki:

Engelstalige podcasts

Nu de Engelstalige aanraders: 

4. Darknet Diaries (onze absolute favoriet!)

Eigenlijk gaf elke podcast-luisteraar bij IP4Sure Darknet Diaries als absolute favoriet op. Deze podcast, gemaakt door Jack Rhysider, zit ook gewoon enorm sterk in elkaar. 

Darknet Diaries over alles wat zich afspeelt in de schaduwen. Hackers, datalekken, schaduwregeringen, hacktivisme en cybercrime: alles komt aan bod. Rhysider onderzoekt waargebeurde verhalen over malware, botnets, cryptografie, cryptocurrency, cybercrime en internetprivacy.

Elke aflevering duurt gemiddeld 30 minuten tot een uur en richt zich op één specifiek onderwerp. Door middel van originele interviews, geluidsfragmenten en Rhysider’s boeiende vertellingen wordt elk onderwerp grondig en spannend behandeld. De journalistieke stijl van de show heeft veel lof ontvangen.

Spotify
Apple

5. What the Hack

“Gehackt worden, in een phishingval trappen, opgelicht worden of het slachtoffer worden van identiteitsdiefstal, u weet dat het geen pretje is, tenzij u het geluk heeft om het aan de jongens van “What the Hack?” te kunnen vertellen.” Is de intro op de website van What the Hack. 

What the Hack is de bekroonde wekelijkse true cybercrime podcast waar u onvergetelijke verhalen hoort en waardevolle adviezen krijgt. Elke week duiken Adam Levin en zijn team in de wereld van cybercrime en delen ze verhalen van echte slachtoffers. Ze bespreken wat er misging en geven praktische tips om uzelf beter te beschermen tegen dergelijke dreigingen.

Deze podcast is perfect voor iedereen die meer wil weten over cyberveiligheid, maar ook houdt van spannende en leerzame verhalen. Of u nu een doorgewinterde security professional bent of gewoon geïnteresseerd in de verhalen achter de schermen van cybercrime, “What the Hack?” biedt iets voor iedereen.

Spotify
Apple

6. Cyber Security Headlines

Tot slot een laagdrempelige cybersecurity podcast: Cyber Security Headlines. In slechts zes tot acht minuten bent u elke werkdag bij met het laatste nieuws op het gebied van cybersecurity. Perfect voor als u weinig tijd heeft, maar toch even iets interessants wilt luisteren.

Aan het eind van de week is er een iets langere aflevering. Namelijk van 20 minuten. Dan nodigen ze een security expert uit om de belangrijkste verhalen van de week te bespreken in de Week in Review show. 

Cyber Security Headlines is dus altijd actueel, snel en boeiend – ideaal voor iedereen die up-to-date wil blijven, maar niet zoveel tijd heeft.

Spotify
Apple

Dat waren ze dan: onze aanraders

Hopelijk zit er iets tussen voor u. En vergaart u liever kennis over cybersecurity op een andere manier? Dan zijn onze blogs misschien een aanrader.  

Bij zakelijke relaties denkt niemand snel aan een second opinion. Terwijl we bij de dokter er wel sneller een aanvragen. Zeker als er twijfel is over gezondheidsrisico’s willen we zeker zijn van een goede diagnose. Zodat we op tijd juiste behandeling krijgen. Logisch dat we die zekerheid willen. Het gaat wel om onze gezondheid. 

Maar ook als het gaat om cyberveiligheid, is een second opinion net zo gegrond. Zoals er van een medische diagnose veel afhangt, is dat ook bij cybersecurity. Een second opinion is niet direct teken van wantrouwen tegenover de huidige leverancier. Of naar uw eigen kunde en beslissingen als – bijvoorbeeld – IT-manager. Het is hoofdzakelijk een risico verlagende zet.

Wat mag ik verwachten van een second opinion?

Een second opinion biedt een onpartijdige en externe evaluatie van de bestaande cybersecurity strategieën, los van bestaande leveranciersrelaties of technologische voorkeuren.
Externe input om de effectiviteit van hun huidige cybersecurity maatregelen te beoordelen dus. Het biedt:

1. Beheersing van risico’s

Door een onafhankelijke evaluatie in de vorm van een second opinion uit te voeren, komen potentiële risico’s eerder aan het ligt. De kans dat iets blijft liggen is kleiner. Want meer ogen hebben ernaar gekeken. Dat verlaagt het risiconiveau aanzienlijk.

2. Onafhankelijke blik

Een second opinion biedt een objectieve beoordeling van de cyberveiligheid van de huidige IT-omgeving. Hierdoor kunnen organisaties een duidelijk beeld krijgen van waar ze staan. Het kan bevestigen dat ze goed bezig zijn. Of brengt juist blinde vlekken aan het licht.

3. Cybersecurity expertise

Een second opinion van een externe cybersecurity partij kan ook juist ontbrekende kennis aanvullen. Misschien regelt uw IT-team de cybersecurity zoveel mogelijk zelf, maar willen ze wel tips vanuit een cybersecurity professional. Vooral bij complexe vraagstukken is een cyber expert die onafhankelijk meekijkt handig.

4. Zin in innovatie

Leuke bijkomstigheid: een second opinion stimuleert innovatie. De kijk van een ander kan als een stimulerende frisse wind werken. Eentje die de zin om weer te innoveren en nog beter te worden, aanwakkert. 

Hoe pakt u een second opinion aan?

Het aanvragen van een second opinion klinkt spannender dan het in de praktijk is. U mag ervan uitgaan dat er met een nuchtere en realistische blik naar uw vraagstuk gekeken wordt. Maar hou wel met het onderstaande rekening:

1. Stel (samen) een doel

Waarschijnlijk weet u al waarom u de second opinion wil. Misschien is er twijfel. Misschien wilt u gewoon extra zekerheid en risicobeheersing. Maar: bepaal duidelijk op welke aspecten u een second opinion wil. En welke doelstellingen u ermee wil bereiken. Dit kan samen met de partij die de second opinion uitvoert.

2. Selecteer een onafhankelijke partij

Onderzoek wel de onafhankelijkheid van een partij. Het laatste wat u wil is een second opinion van iemand die u vooral cybersecurity oplossingen van andere merken aan wil leveren. Zorg er dus voor dat ze onafhankelijk zijn. Dat ze geen belangenconflicten hebben met bijvoorbeeld uw huidige leverancier. Neem eventueel uw huidige leverancier ook mee in de reden dat u voor een second opinion kiest.

3. Aanbevelingen en advies

Bespreek de bevindingen en aanbevelingen met uw interne team. Het liefst samen met de partij die de second opinion heeft uitgevoerd. Gebruik deze informatie om weloverwogen beslissingen te nemen voor de toekomst. Zodat uw second opinion ook echt zorgt voor minder risico’s in de toekomst.

Een second opinion van IP4Sure

Onze cybersecurity consultants denken op de lange of op korte termijn mee met uw organisatie. Zij kijken met een frisse blik naar uw cybersecurity. Zeker tijdens een second opinion geven ze onafhankelijk advies. Hun enige doel: uw cyberveiligheid echt verhogen, met aandacht voor uw organisatiespecifieke cybersecurity risico’s. 

Meer weten over het samenwerken met een cybersecurity consultant van IP4Sure? Of direct een second opinion aanvragen? Neem hier contact met ons op. 

Een bezoek aan het 17e eeuwse Paleis Het Loo belooft een onvergetelijke ervaring te zijn die je onderdompelt in het koninklijke verleden van Nederland. Architectonische pracht, weelderige tuinen en vorstelijke vertrekken. Een levendig cultureel centrum dat het hele jaar door een scala aan tentoonstellingen, evenementen en activiteiten biedt voor bezoekers van alle leeftijden.

Innovatie en vooruitstrevendheid binnen het paleis

Maar wie denkt aan Paleis Het Loo, zal door het historische imago misschien niet direct denken aan ICT of cybersecurity. Toch schuilt er een hele digitale wereld achter het paleis. En Martijn – ICT Manager bij Paleis Het Loo – houdt zich dagelijks bezig met de gezondheid ervan. Samen met IP4Sure.

Martijn: “Het management is enorm innovatief en vooruitstrevend. Ook op het gebied van ICT. Dat heeft mij aangenaam verrast toen ik hier 9 jaar geleden kwam werken. Je hoeft niet als manager te vechten binnen de organisatie om security op de agenda te zetten. Het nut en de noodzaak van cybersecurity is volkomen helder bij Paleis Het Loo.” 

Hoe scherp je ook bent: een foutje is zo gebeurd

De ogen van Martijn fonkelen bij het onderwerp. “Ze zeggen vaak: cybersecurity is een ding voor de ICT-afdeling. Maar het is echt een organisatieonderdeel.” Volgens Martijn heeft dat alles te maken met het meest kwetsbare punt als het om security gaat: de acties van de mens. 

“Je kan het nog zo afgesloten hebben: maar er is altijd een manier om het via een persoon toegankelijk te krijgen. En dat is eigenlijk best wel zorgwekkend. Want: hoe scherp je ook bent, hoe gefocust je ook bent op alles, het is voor iedereen steeds lastiger om dreigingen te herkennen.” Een menselijke fout is daardoor zo gebeurd. “Voorheen kreeg je een phishing mailtje en daar stonden dan 60 spelfouten in. Dat is tegenwoordig wel anders.”

“Het is een kat en muis spel waar je bovenop moet zitten”

Artificial Intelligence in het threatlandschap

“Een goed voorbeeld is nu Artificial Intelligence. Hoe aanvallers complete telefoongesprekken kunnen imiteren op basis van iemands stem. Dan denk je dat je opgebeld wordt door een familielid, terwijl het heel iemand anders is die om geld vraagt.” Is het nog wel mogelijk echt van nep te onderscheiden?

Volgens Martijn geven dit soort ontwikkelingen aan hoe snel het threatlandschap wel niet verandert: “Het is een kat en muis spel waar je bovenop moet zitten”.

De ideale IT-omgeving kent geen oponthoud

Met er bovenop zitten bedoelt Martijn overigens niet dat Paleis Het Loo een digitale Fort Knox waarin uit veiligheidsoverwegingen niets meer kan, moet worden. “Dat is misschien wel het zwaarste en moeilijkste punt in security: hoe krijg je alles zo veilig terwijl het ook nog werkbaar is voor collega’s?” 

Volgens Martijn is daarom de ideale IT-omgeving eentje waarin medewerkers met veel vrijheid in alle veiligheid kunnen werken. Zonder opstoppingen bij metalen deuren. “Je wil zo schaduw-ICT voorkomen.” Als iedereen om te hinderlijke securitymaatregelen heen probeert te werken, ben je de grip kwijt.

Collega’s met een security mindset

Volgens Martijn is draagvlak op de werkvloer een essentiële stap voor een veilig beleid. “Ik denk dat de bewustwording een van de belangrijkste onderdelen van cybersecurity is. Dat iedereen begrijpt waarom securitymaatregelen er zijn. Waarom ze die mails moeten controleren op phishing, bijvoorbeeld.” 

Hoe Paleis Het Loo de mens binnen de organisatie securityminded krijgt? Daar hebben ze verschillende strategieën voor. “We houden in de gaten wat actueel is” vertelt Martijn “Dan haken we daarop in. Bijvoorbeeld met een mailing over verschillende cybersecurity onderwerpen.” Die onderwerpen lopen uiteen. “Ze zijn niet alleen zakelijk. We delen ook kennis over cyberdreigingen in de privé omgeving”.

Cybersecurity als terugkerend agendapunt

Hoe meer je over cybersecurity praat. Hoe meer het gaat leven binnen een organisatie. “Het is ook periodiek een onderdeel van het directieoverleg. Hoe staan we er met cybersecurity voor? Zijn er nog nieuwe ontwikkelingen? Welke stappen willen of moeten we nog zetten?” Martijn glimlacht “Dat is wel heel mooi.” 

Eerst een basis aanleggen, daarna verder kijken

Maar laten we het technische deel van cybersecurity zeker niet vergeten. Daarin ligt ook de samenwerking tussen Paleis Het Loo en IP4Sure. “Als de basis goed is en goed blijft – dat is wel het voornaamste – dan kun je samen op detailniveau gaan kijken hoe je nóg minder kans loopt om te worden gehackt. Om nog weerbaarder te worden.” aldus Martijn. 

De samenwerking met IP4Sure

IP4Sure en Paleis Het Loo zijn elkaar op het pad gekomen door een ander museum. De ICT Manager daar raadde IP4Sure aan: “Toen hebben we een gesprek gehad. En meteen voelde ik dat de aanpak van IP4Sure past bij Paleis Het Loo. Het klopt gewoon.”

“Je kan echt merken dat je samenwerkt met iemand die veel verstand van security heeft.”

Waar dat met name aan ligt? “Ze kunnen snel schakelen, hebben alle technische middelen en kennis, en zijn flexibel.” vertelt Martijn. “Langzaam zijn we samen uitgekomen op een cybersecurity strategie die past bij Paleis Het Loo.” 

In gesprek met skilled experts

Met name zijn samenwerking met een van de security consultants van IP4Sure vindt hij fijn. “Het één op één contact vind ik heel erg prettig. Ik hoef maar te bellen of een bericht te sturen. En: hij geeft mooie adviezen. Je kan echt merken dat je samenwerkt met iemand die veel verstand van security heeft. Een skilled expert waaraan je merkt dat die je echt verder wil helpen.”

Extra inzichten en bevestigingen

Samenwerken met de cybersecurity experts van levert IP4Sure levert nieuwe inzichten op. Maar: bestaande inzichten hebben in het geval van Martijn ook bevestiging gekregen.

“Dat we niet kunnen blijven stilzitten op het gebied van cybersecurity. Dat je continu moet meebewegen om het veilig te houden. Cybersecurity is een onmisbaar deel van de ICT-omgeving. Waarbij de mens in de organisatie een cruciale rol heeft. Dat wordt vaak vergeten.”

IT-leveranciers staan voor de uitdaging om functionele maar ook veilige oplossingen te bieden. Wat doet u met cyber security vraagstukken van klanten? In dit artikel verkennen we de voordelen van samenwerken met een cyber security kennispartner. 

Wat is een cyber security kennispartner?

Een cyber security kennispartner adviseert en ondersteunt organisaties bij het beveiligen van hun IT-infrastructuur en gegevens. Ze bieden expertise – en fungeren als klankbord – op gebieden zoals risicobeheer en dreigingsdetectie. En: proactief kwetsbaarheden identificeren en op te lossen.

Als IP4Sure doen we dit o.a. op de volgende manieren: 

– Cyber security consultancy
– Cyber security audits
– Pentests 
– Managed Detection & Response (SOC) 

Lees hierover meer aan het einde van dit artikel.  

Sterker als totaal leverancier

Investeren partnerschappen die niet alleen de functionaliteit, maar ook de veiligheid van IT-diensten waarborgen. Dat maakt een sterke totaal leverancier. Deze aanpak brengt de volgende voordelen met zich mee:

Bouw vertrouwen op als ICT-partner

Niemand kiest bewust voor onveiligheid. Als we een ‘gewone’ optie met daarnaast een optie die bewijst veiliger te zijn voor ons neus krijgen, is de keuze snel gemaakt. Die eerste valt dan meteen af. Zo werkt het al helemaal in de ICT. Zeker als het gaat om streven naar een zo veilig mogelijke dienstverlening. 

Door samen te werken met een cyber security expert laat u zien dat u deze verantwoordelijkheid serieus neemt. Het toont aan dat u niet alleen de functionaliteit van uw diensten waardeert, maar ook de bescherming ervan. Een versterking van uw reputatie als betrouwbare partner. 

Speel in op bredere vraagstukken

Bij klanten die op zoek zijn naar een IT-leverancier die actief meedenkt over hun beveiligingsbehoeften werkt een samenwerking al helemaal positief:

Een MKB-bedrijf dat zijn gevoelige gegevens wil beschermen, zoekt een IT-leverancier die meer biedt dan alleen software-oplossingen. Door samen te werken met een cyber security bedrijf kan de IT-leverancier een uitgebreider pakket aanbieden dat niet alleen de functionele behoeften van de klant vervult, maar ook zijn veiligheidszorgen wegneemt.

Toegang tot specialistische kennis 

Eigenlijk is het inmiddels een hele klus helemaal up-to-date te blijven van de nieuwste bedreigingen. Het verandert allemaal zo snel. Door samen te werken met een cyber security expert krijgt u toegang tot specialistische en actuele kennis of diensten die u zelf mogelijk niet in huis hebt. Een kennispartner om van te leren over cyber security. En: een kennispartner waar u specialistische diensten aan uitbesteed.

Bijvoorbeeld Managed Detection & Response diensten. Een Security Operations Center (SOC) monitort continu op beveiligngsincidenten en geeft hier meldingen van. Om direct in te grijpen wanneer dat mogelijk is. Een digitale alarmcentrale die vaak 24/7 opereert. Zo’n SOC-dienst verhoogt de online beveiliging van organisaties aanzienlijk. 

Een groeiend bedrijf is bezorgd over de toenemende dreiging van cyberaanvallen. Ze benaderen hun vertrouwde IT-leverancier, die onlangs een partnerschap is aangegaan met een gerenommeerd cyber security bedrijf. Dankzij deze samenwerking kan de IT-leverancier gespecialiseerde oplossingen aanbieden die specifiek zijn afgestemd op de beveiligingsbehoeften van de klant.

Objectieve evaluatie van eigen diensten

Dan nog het objectief evalueren van eigen diensten: het kan knap lastig zijn dat zonder roze bril te doen. En zelfs als u als dienstverlener in staat bent wel met een écht kritische bril te kijken, dan is een onafhankelijke audit voor een potentiële klant alsnog waardevoller. Zeker wanneer een klant bewijs wil van de veiligheid van de IT-diensten die ze afnemen.

Officieel mag een audit ook enkel door een externe partij uitgevoerd, overigens. Anders is het geen audit te noemen. 

Cyber security experts kunnen onafhankelijke beoordelingen uitvoeren, waardoor uw klanten meer vertrouwen krijgen in de veiligheid en betrouwbaarheid van uw diensten. Denk hierbij aan cyber security audits, maar ook aan pentesten. 

Een financiële instelling zoekt een nieuwe IT-leverancier om hun kritieke systemen te beheren. Door te kiezen voor een leverancier die regelmatig wordt beoordeeld door een gerenommeerd cyber security bedrijf, kunnen ze er zeker van zijn dat hun gegevens in veilige handen zijn.

Wij delen onze cyber security kennis

We delen onze kennis graag met IT-dienstverleners. Onze cyber security consultants zijn er om u te ondersteunen bij concrete vraagstukken. Ze fungeren als een bron van expertise, denken actief mee tijdens brainstormsessies en bieden oplossingen die aansluiten bij uw unieke behoeften.

Naast advies bieden we ook concrete diensten en tips die bijdragen aan een betrouwbare IT-dienstverlening:

Cyber security consultancy

Blijf op de hoogte van de nieuwste cyber bedreigingen. Het dreigingslandschap verandert voortdurend, daarom is het essentieel om open te communiceren over cyber bedreigingen en incidenten met uw klanten. Als u extra expertise nodig heeft, staan wij voor u klaar.

Cyber security audits

Start met een cyber security audit om een overzicht te krijgen van de huidige stand van zaken. Identificeer snel verbeterpunten om uw cyber veiligheid naar een hoger niveau te tillen.

Pentests

Voer een pentest uit om praktijkgericht uw beveiligingsniveau te testen. Onze ethische hackers brengen kwetsbaarheden aan het licht door IT-infrastructuren actief aan te vallen. Een positief pentest rapport is sterk bewijs voor uw klanten.

24/7 Managed Detection & Response

Een dader op heterdaad betrappen voorkomt veel schade. Weet altijd wat er speelt met onze Managed Detection & Response dienst. Ons Security Operations Center (SOC) monitort continu op incidenten en geeft meldingen, zodat direct ingrijpen mogelijk is. 

Samenwerken met kennispartner IP4Sure

Wilt u meer weten over het samenwerken met een cyber security kennispartner? En over onze cyber security audits, pentests en SOC-dienst? Neem vrijblijvend contact met ons op voor een kennismaking!

De mens als belangrijke factor binnen de cyber security is op zichzelf niets nieuws: met social engineering spelen hackers al decennia lang in op de menselijke onoplettendheid. Toch is er volgens Gartner een shift gaande als het gaat om de mens binnen de cyber security. 

Volgens Gartner is de verwachting dat richting 2027 zeker de helft van alle CISO’s (Chief Information Security Officers) de mens meer een hoofdrol gaat laten spelen binnen security architecturen en programma’s. Want ondanks de inspanningen om cyber security mensvriendelijker te maken, is er wereldwijd steeds meer de realisatie dat dat nog wel meer kan. 

Gartner redeneert dat recente statistieken de ogen van CISO’s opent en de menselijke focus wel moet gaan verscherpen.

90% van werknemers neemt bewust beveiligingsrisico’s

90% klinkt bijna absurd. Geen enkele organisatie heeft zoveel roekeloze en kwaadwillende medewerkers rondlopen, toch? Het ding is: dit opvallende percentage heeft daar niet veel mee te maken. Natuurlijk, er zitten altijd boze (ex)collega’s bij die bewust risico’s nemen uit wraak. Maar de volledige verklaring is een stuk onschuldiger (al is helaas het risico daardoor niet kleiner):

De verklaring ligt bij de operationele wrijving op de werkvloer als het gaat om cyber security. De mens is in deze wereld tenslotte snelheid en efficiëntie gewend. Sommige cyber security oplossingen bemoeilijken de workflow. Denk bijvoorbeeld aan 2FA of MFA. Wie denkt dat niemand zich frustreert bij het invoeren van een 2FA code heeft het mis. Want die frustratie gaat in sommige gevallen zover dat mensen die veilige extra stap volledig omzeilen, bijvoorbeeld door 2FA in de eerste plaats niet in te stellen.

Daarnaast zijn er nog een tal aan andere ogenschijnlijk onschuldige acties die risico’s veroorzaken op te noemen. Denk aan het installeren van third-party apps op werklaptops, buiten het beveiligingsprotocol om. Kwade bedoelingen zijn er dus vaak niet bij: de meeste medewerkers nemen risico’s juist omdat ze gewoon lekker willen werken. Maar ja, wel met alle gevolgen van dien.

Een nieuwe aanpak die acceptatie verbetert

De acceptatie van cyber security op de werkvloer verbeteren: er zijn natuurlijk al wat bedrijven mee bezig. Maar zeker in organisaties die nog niet zo lang cyber security hebben omarmd als een investering die belangrijke bedrijfsrisico’s dekt, is de cyber security inrichting nog lang niet mensgericht genoeg. 

Hoe mensgerichte cyber security eruitziet

Mensgerichte cyber security start met het omarmen van de menselijke psychologie. In plaats van verwachten en eisen dat medewerkers zich houden aan het beveiligingsbeleid, juist het beveiligingsbeleid aanpassen aan de mens. Rekening houden met menselijke neigingen en reacties.

Zoals dus de neiging om niet vertraagd te willen worden. 

De nadruk niet enkel op de technologische oplossingen, maar ook op het beïnvloeden van de acties van individuen binnen een organisatie om de algehele weerbaarheid te versterken. Ideaal gezien ziet dat er zo uit:

1.Continue evaluatie van menselijk gedrag:

Analyse van het gedrag van werknemers om patronen van onveilig handelen te identificeren en erop in te spelen. Installeren medewerkers buiten het protocol om steeds apps van derden? Kijk dan of die apps op een veilige manier binnen het protocol te faciliteren zijn. 

Flexibele benaderingen die rekening houden met verschillende gebruikersprofielen en werkstijlen dus!

2. Slimme technieken:

Ontwikkeling van beveiligingsmaatregelen die zich aanpassen aan de diversiteit van menselijk gedrag. En uiteraard inspelen op de workflow, dus oplossingen die zo min mogelijk vertragend werken.

3. User-centric security policies:

Formulering van beveiligingsbeleid dat niet alleen gericht is op het afdwingen van regels, maar ook begrijpelijk en acceptabel is voor medewerkers. Het beste is dat medewerkers (tot op zekere hoogte) inbreng krijgen bij het opstellen van beleid om een gevoel van betrokkenheid en verantwoordelijkheid te bevorderen.

4. Gebruikersfeedback en betrokkenheid stimuleren:

Inzamelen van feedback om continu het mensgerichte ontwerp van beveiligingsmaatregelen te verbeteren.Actieve betrokkenheid van medewerkers bij het identificeren van potentiële beveiligingsproblemenstimuleren. Een gevoel van eigenaarschap helpt bij gedragsverandering.

Holistische cyber security

Met deze voorspelling opent Gartner eigenlijk een holistischer cyber security tijdperk. Eentje waarin we hard gaan werken aan een beveiligingsbeleid dat geregeld herzien mag worden, puur zodat deze niet alleen vanuit technisch en theoretisch oogpunt klopt, maar ook in de praktijk écht aansluit op de mens! Een benadering van twee kanten.

Want ja, het hoge percentage is zeker naar beneden te dringen door de menselijke psychologie meer mee te nemen in het cyber security beleid. Maar: menselijke fouten blijven gebeuren. Hoe dan ook. Eén slechte nacht en een slaperige collega kan al in een phishingactie trappen. Het is daarom altijd belangrijk een vangnet te hebben. Een goed voorbeeld van zo’n vangnet is een Security Operations Center: een digitale alarmcentrale die verdachte activiteiten detecteert.

Wie weet bent u zelf al eens met social engineering in aanraking gekomen. Die kans is namelijk groot. Wat social engineering is? En hoe het er in de praktijk uit ziet? In dit artikel geven we voorbeelden. 

Wat is social engineering? 

Social engineering is een vorm van manipulatie ten behoeve van cyberaanvallen. Aanvallers zettenpsychologie in om iemand te misleiden iets te doen. Zo maken ze misbruik van menselijke eigenschappen als vertrouwen, empathie, nieuwsgierigheid of haast. 

Bij social engineering gaat het dus niet om de technische kwetsbaarheden, maar om menselijke kwetsbaarheden. Binnen de cyber security komt de uitspraak “De mens is de zwaktste schakel” geregeld voor. Daar speelt social engineering op in. En het doel? Dat is vaak het verkrijgen van gevoelige data of toegang tot systemen. 

Voorbeelden van social engineering

We gaan direct over naar de voorbeelden van social engineering. Dan gaat het zeker meer tot de verbeelding spreken.

1. Toegang tot webapplicatie met phishing

Phishingacties: een vorm van social engineering waar u vast ooit eens aan bloot bent gesteld. In dit voorbeeld leest u hoe aanvallers phishing gebruiken om toegang te krijgen tot een webapplicatie waarin klantgegevens opgeslagen staan: 

1. Doelwit kiezen: Een aanval start altijd met een doelwit. Bij veel phishingacties schieten aanvallers met hagel. Maar wanneer een hacker toegang wil krijgen tot een onderdeel van een organisatie, doet die eerst onderzoek naar – in dit geval – de applicatiebeheerder. 

2. Een e-mail opstellen: De volgende stap is het maken van een zo persoonlijk en realistisch mogelijkee-mail. Tegenwoordig gaat dat met veel zorgvuldigheid. Aanvallers zijn steeds beter in staat een e-mail op te stellen die er precies uitziet als die van bijvoorbeeld de provider van de webapplicatie. Zelfs aan de afzender is soms niet te zien dat het om een nep-mail gaat. 

3. Inspelen op menselijke eigenschappen: De inhoud van de mail kan zijn “Er is een beveiligingsprobleem! Onderneem nu actie”. Angst, druk en urgentie: aanvallers zetten het allemaal slim in om het doelwit snel tot actie over te laten gaan. Want hoe gehaaster het doelwit is: hoe groter de kans dat die zonder na te denken handelt. En dus in deze social engineering val trapt. 

4. De phishing-link: in het geval van dit voorbeeld, wil de aanvaller dat het doelwit toegang geeft tot de webapplicatie. Enkel inloggegevens zijn al genoeg. Daarom is de kans groot dat de phishing-link leidt naar een pagina die lijkt op de inlogpagina van de provider. Het doelwit doorloopt haastig de authenticatiestappen. En deze inloggegevens? Die komen direct bij de aanvaller terecht.

Bovenstaand voorbeeld is veelvoorkomend. Dagelijks zetten aanvallers deze vorm van social engineering in om aan inloggegevens te komen. Maar phishing is ook op andere manieren in te zetten. Bijvoorbeeld omcreditcardgegevens te stelen. Het is daarom belangrijk om dagelijks waakzaam te zijn: voelt een mail erg urgent aan? Ga dan altijd na of de mail wel echt is.

2. Een ander voorbeeld van social engineering: de “USB Drop Attack”

Deze vorm van social engineering laat misschien minder snel een belletje rinkelen. We geven meteen een uitleg: bij een USB Drop Attack laat een aanvaller besmette USB-sticks achter op strategische locaties. Dat kan de parkeerplaats van het doelwitkantoor zijn, maar aanvallers gaan soms ook zo ver dat ze fysiek de locatie betreden en de USBs binnen kantoren achterlaten. 

1. USB-sticks personaliseren: Aanvallers met oog voor detail personaliseren de USB-sticks die ze ingekocht hebben van tevoren. Bijvoorbeeld met het logo van het doelwitbedrijf. Of juist met labels die nieuwsgierigheid opwekken zoals “Gegevens XYZ”. Het hoeven overigens niet altijd USB-sticks te zijn. Er bestaan ook USB-kabels waarop malware te installeren is.

2. Het besmetten van de USB-sticks: De aanval start met het besmetten van de USB-stick. Vaak zorgt de aanvaller dat de USB direct malware zoals ransomware (of een keylogger) installeert. Of iets waardoor ze de computer kunnen overnemen. Hoe dat kan? Lees hier meer over de USB Rubber Ducky.

3. USB-sticks achterlaten: De aanvaller gaat na wat goede plaatsen zijn om de USB-sticks achter te laten. Het belangrijkste is dat werknemers de doelwitorganisatie ze makkelijk kunnen tegenkomen.

4. Slachtoffer gebruikt de USB: Of het slachtoffer de USB nu gebruikt omdat ‘ie er snel eentje nodig heeft, of omdat ze nieuwsgierig zijn naar “Gegevens XYZ”: als haast of nieuwsgierigheid het winnen van verstand, slaagt de social engineering actie. 

5. Besmetting: Nu de USB in de computer zit, kan de malware zich verspreiden. 

Steeds meer (grote) organisaties hebben een beleid rondom USB-sticks. Maar nog lang niet elk bedrijf heefthun personeel bewust gemaakt van de risico’s van het gebruik van onbekende USB-sticks. Belangrijk om voorzichtig te zijn met digitale opslag die in onbekende omgevingen worden aangetroffen.

3. Voorbeeld van CEO-fraude

Social engineering is ook in te zetten om direct geld van een organisatie te stelen. Vaak passen aanvallers dan CEO-fraude toe. Hierbij doet de aanvaller zich voor als iemand in een C-level functie. Hieronder het complete voorbeeld: 

1. Identificatie doelwit: De hacker start weer met het doelwit. In dit geval kijkt de hacker naar CEO en de financiële afdeling van het bedrijf. Via bijvoorbeeld LinkedIn neemt de aanvaller kennis van de namen en rollen van belangrijke medewerkers. Ook het verkrijgen van e-mailadressen is van belang. LinkedIn en de bedrijfswebsite zijn beiden een belangrijke bron.

2. E-mailadressen vervalsen: Nu de aanvaller weet hoe het originele emailadres van de CEO is opgebouwd, is het tijd om deze te vervalsen. Hackers maken dan een nieuw e-mailadres aan dat lijkt op het originele, maar dan met een subtiele wijziging. Denk aan een extra punt of een kleine lekker L ipv een hoofdletter I. 

3. E-mailen: De volgende stap is het versturen van e-mails vanaf het vervalste adres. De hacker doet zich voor als de CEO en verzoekt mensen binnen de financiële afdeling om geld over te maken naar een externe bankrekening (die van de hacker of van een katvanger). Vaak zijn deze mails ook urgent van aard. 

4. Het overboeken: Hoe overtuigender, ogenschijnlijk legitiemer en realistischer de e-mail, hoe groter de kans dat de financiële afdeling ingaat op het urgente verzoek en het geld overmaakt. 

Social engineering: de mens als zwakste schakel

Een infrastructuur kan technisch nog zo waterdicht zijn: als een collega in een social engineering actie trapt, is er alsnog sprake van een cyberaanval. Het geeft maar aan hoe belangrijk het is alert te zijn op de natuurlijke kwetsbaarheden van de mens. 

Letterlijk iedereen kan slachtoffer worden van social engineering. Een gebroken nacht en een blue monday kunnen al genoeg zijn om alle alertheid te verliezen. Kijk daarom of het mogelijk is sommige kwetsbaarheden technisch op te vangen. Zo helpt Check Point Harmony tegen verschillende vormen van social engineering via e-mail. 

Loyaliteitscampagnes van BrandLoyalty

Wie ooit bij een supermarkt heeft gespaard voor glazen, ovenschalen of besteksets heeft al eens kennis gemaakt met BrandLoyalty. “We ontwikkelen loyaliteitscampagnes voor de foodretail,” vertelt Ben de Laat, Head of IT Security bij BrandLoyalty “Dit doen we wereldwijd”.

BrandLoyalty werkt de campagnes uit van spaarkaarten tot pannenset: “Kenmerkend is dat we hoogwaardige producten in de markt zetten. We willen dat je er écht jaren plezier van hebt. Niet dat je een pan op het vuur zet en je er vervolgens al niks meer aan hebt.”

De organisatie is niet alleen werkzaam binnen Nederland, maar werkt op grote schaal: “Het is een global loyalty provider met kantoren in 16 landen, waarvan het hoofdkantoor in Den Bosch staat. Van daaruit worden alle generieke diensten aan de regionale kantoren geleverd, zo ook IT & IT Security.”

IT & IT Security bij BrandLoyalty

“Onze IT-afdeling heeft security jarenlang als algemeen onderdeel van de verantwoordelijkheden gehad. De vragen en eisen vanuit klanten en autoriteiten werden alleen steeds complexer en belangrijker.” vertelt De Laat “Vanuit die drijfveer hebben we toen besloten dat security permanent vertegenwoordigd moest binnen de organisatie.”

Een Shift Left aanpak volgde: eerst de security uitwerken, dan pas iets bouwen of inrichten.Binnen BrandLoyalty is het de uitdaging cyber security zo werkbaar mogelijk te maken. Dat het de organisatie dient, in plaats van hindert. Daardoor komen volgens de Laat vragen als “Met welke risico’s kunnen we leven en welke niet?” geregeld aan bod. Zijn loep ligt niet alleen op de techniek, maar – vooral – op de mens die erin werkt, de klanten én consumenten.

“Voor mij is samenwerking heel erg belangrijk. Mensen de gelegenheid geven om ownership te creëren voor de dingen die ze doen. Dus ook binnen het securitydomein.” Dat doet De Laat onder andere door “Medewerkers iets te leren over security en daar de tools en capability voor geven.”

“Onze visie past bij IP4Sure. Daarin hebben we common ground gevonden.”

De cyber security vraag aan IP4Sure

BrandLoyalty vond het verstandig meer te gaan rapporteren en de stand van security voortaan meetbaar te maken. “Ik had wel het een en ander aan tools van onze Amerikaanse moederorganisatie.” Toch wilde het team hierin liever zoveel mogelijk autonoom blijven. De vraag was dus: welke tool past bij BrandLoyalty’s behoefte de staat van hun cyber security te meten én te rapporteren?

Gestandaardiseerde oplossingen, begrijpelijk voor engineers en een uitstekend trackrecord waren belangrijke criteria voor de tool en leverancier selecties die we moeten doen. De Laat: “Als een engineer niet begrijpt wat hij moet doen met de output van welke tool dan ook dan heb je de verkeerde tool gekozen!”

Eén keer en dan niet meer

De Laat: “Daarbovenop willen we nooit dingen twee keer doen. Elke keer wanneer ik iets op probeer te zetten, vraag ik: wat proberen we nou écht te tackelen? En: hoe kunnen we dat in één keer beetpakken? Het liefst geautomatiseerd? Dit zodat we over een half jaar niet weer hetzelfde vraagstuk of probleem voor ons hebben liggen. Met een klein team moet je slim zijn, automation is dan dé manier om zaken maar één keer in je handen te pakken.”

Waarom IP4Sure?

“Ik vind IP4sure lekker kort op de bal spelend. Het is echt een no-nonsense club: ze werken fijn en pragmatisch. Stap voor stap échte resultaten boeken. Je wil tenslotte tools hebben die meaningful zijn. Waar ik een hekel aan heb zijn dingen die onnodig heel complex zijn, eindeloos duren om te integreren, en waar uiteindelijk alsnog niemand van snapt wat het doet.” Dat wollige is precies waar IP4Sure ver vandaan blijft: cyber security is tenslotte al ingewikkeld genoeg van zichzelf.

De gekozen tools

InsightVM en InsightIDR van Rapid7 bleken het beste aan te sluiten bij de securitybehoeften van BrandLoyalty. In het kort is InsightVM een Vulnerability Management tool die helpt effectief kwetsbaarheden te identificeren. InsightIDR is een XDR & SIEM-oplossing die IP4Sure inzet voor de SOC-service. De tool helpt te monitoren op verdachte activiteiten.

De samenwerking: InsightVM

“Voor beide producten zag de samenwerking er heel anders uit.” vertelt De Laat “We zijn als eerst begonnen met het inrichten van InsightVM”. IP4Sure heeft mandaat gekregen om alles te installeren en De Laat controleerde of alles naar wens was. IP4Sure hielp bij het leveren, configureren en inrichten. “Vervolgens was het onze teams om de kwetsbaarheden op te lossen.”

De Laat: “Buiten wat advies van IP4Sure bedruipt zich dat zelf eigenlijk wel goed. Daar hebben we weinig hulp bij nodig.” Het team van De Laat heeft enorm mooi werk neergezet als het gaat om het gebruik van InsightVM. Het verkrijgen van inzicht is één ding, maar de kwetsbaarheden die bovenwater komen efficiënt en effectief oplossen is een tweede.

De aanpak van BrandLoyalty: een schoolvoorbeeld

BrandLoyalty gebruikt InsightVM precies volgens het boekje. Ze halen écht het onderste uit de kan. “Er kwam eerst een stortvloed aan inzichten binnen. Iedereen was aan het zuchten en steunen door al het werk dat er ‘ineens’ lag.” vertelt De Laat. Al die kwetsbaarheden waren natuurlijk altijd al aanwezig, alleen nu de kop uit het zand getrokken was, leek er ineens veel werk te liggen (tastbaar?).

“Ik zei: jongens, we gaan beginnen bij de kwetsbaarheden met het hoogste risico.” vervolgt De Laat. Risico gebaseerd werken dus. “Maar wederom: ik wil hier maar één keer mee bezig zijn en dan niet meer. Dus wanneer blijkt dat het patchen van Windows niet periodiek gebeurt, dan moet dat voortaan geautomatiseerd”. Dat heeft voorkomen dat engineers een hoop terugkerend werk bleven houden.

Inzicht maakt secure

Aan het begin was het even slikken en omschakelen “Maar toen het team eenmaal de nieuwe mindset had, ging alles steeds sneller. Voor je het weet ben je door 80% van de kwetsbaarheden heen.”. Inmiddels heeft BrandLoyalty zelfs 95% weggewerkt.

Het is aan het begin even extra werk, maar als dat is weggewerkt gaat het enkel nog om kleine dingen om te verhelpen. De meest kritieke risico’s waren dankzij het risico gebaseerd werken als eerste opgelost. Die hadden tenslotte hoogste prioriteit. En de algehele security? Die is een heel stuk beter dan voordat er inzicht was!

De samenwerking: InsightIDR/SOC

Dan nog InsightIDR: “We hebben dit volledig uitbesteed aan IP4Sure.” vertelt De Laat. Hij is erg enthousiast over deze SIEM-oplossing. “Mijn ervaring is dat de informatie die eruit komt concreet is. We hebben de SOC-dienst van IP4Sure afgenomen zodat zij het laatste kaf van het koren scheiden”. Geen false positives voor BrandLoyalty dus.

De SOC-dienst helpt BrandLoyalty met het monitoren, het oppakken van de incidenten en het rapporteren ervan. Uiteraard moest ook hier het een en ander geautomatiseerd: “We willen graag maar 1 keer zaken aanpakken waar dat kan en snel tot de kern van het probleem komen, IDR helpt ons daarbij.”

“Wanneer er follow-up nodig is door BrandLoyalty, willen we dat het meteen in ons ticket systeem terecht komt. En dat als onze engineers erop reageren, dat het meteen terug komt bij IP4Sure. Zodat IP4Sure kan oordelen of het correct is afgehandeld. Per slot van rekening zijn zij de security specialisten, niet de engineers in ons team”. De Laat vervolgt: “Die feedbackloop – het vier ogen principe – is continu nodig om dat lerend vermogen in stand te houden.”

Precies weten wat er speelt

Er gebeurt ontzettend veel binnen een netwerk. Normaal blijven die incidenten en kwetsbaarheden onder de radar. Meer inzicht betekent daarom meteen véél meer incidenten De Laat wil die incidenten zelf niet uitpluizen: dat was zijn voornaamste reden te kiezen voor de IP4Sure SOC. Ontzorging is inmiddels een versleten woord, maar het is wel precies de meerwaarde van een SIEM met SOC.

IP4Sure houdt de boel in de gaten en grijpt in waar nodig en mogelijk. Met de wetenschap dat security experts meekijken, kan het IT-team van De Laat zich volledig focussen op waar ze goed in zijn. Ondertussen hopen ze niet dat ze veilig zijn: dankzij alle monitoring weten ze het.

Nooit uitgepraat over security

De Laat raakt niet uitgepraat over security: die passie is goed te zien in zijn werk. BrandLoyalty is wat IT en cyber security enorm vooruitstrevend. Van de Shift Left aanpak tot risico gebaseerd werken: De Laat’s vernieuwende werkwijze geeft hem optimaal controle over BrandLoyalty’s data en systemen. De Laat: “Onze visie past bij IP4Sure. Daarin hebben we common ground gevonden.”

De Helmondse specialist in personeelszaken en werkgeverschap Please, zorgt er al sinds 2000 voor dat ondernemers zich kunnen richten op waar ze goed in zijn: ondernemen. Please verzorgt niet alleen de personeels- en salarisadministratie van ongeveer 1.000 verschillende opdrachtgevers, maar eigenlijk alles wat met werkgeverschap te maken heeft.

HR-specialist Please vroeg om pentest voor hun webapplicatie

Waar het personeel van Please in de begindagen nog veel gegevens handmatig moest verwerken, is nu een heel groot deel van de werkzaamheden geautomatiseerd met slimme software en een uitgebreide webapplicatie. Hier kunnen werknemers en opdrachtgevers terecht voor uiteenlopende zaken, zoals hun urenadministratie, loonstrookjes, management-informatie, contractverleningen, vragen en nog veel meer.

Privacygevoelige gegevens

In dit systeem staan natuurlijk veel privacygevoelige gegevens en gebruikers moeten ervan verzekerd zijn dat deze gegevens optimaal beveiligd zijn. In het kader van ‘de slager moet zijn eigen vlees niet keuren’, schakelde Please cybersecurityspecialist IP4Sure in voor een uitgebreide webapplicatie pentest.

Webapplicatie: UurOnline

De webapplicatie UurOnline was in 2005 het eerste urenportaal in Nederland. Hoewel het ooit begon als een urenregistratiesysteem, dekt de naam de lading allang niet meer. Inmiddels is de door Please zelf ontwikkelde applicatie een volledig online personeelsdossier, waarin werknemers en werkgevers alle personeelszaken terug kunnen vinden. Van urenregistratie tot loonstroken en van contracten tot jaaropgaven. “Het is eigenlijk een volledig personeelsadministratiesysteem,” vertelt Hans van de Ven, Algemeen Directeur van Please.

“Onze filosofie is dat je terecht moet kunnen bij één loket en één contactpersoon voor al je werkgerelateerde zaken. Er zijn iets meer dan 800.000 kleine werkgevers in Nederland, die bij elkaar de grootste werkgever van Nederland zijn. Die hebben meestal niet de beschikking over een HR-afdeling of specialisten op het gebied van arbeidsovereenkomsten of salarisadministratie. Deze bedrijven willen we ontzorgen, door de gespecialiseerde partner te zijn die ze nodig hebben.”

Meer dan 15.000 actieve gebruikers

UurOnline wordt op dagelijkse basis geraadpleegd door meer dan 15.000 actieve gebruikers, die erop moeten kunnen vertrouwen dat hun gegevens veilig zijn en dat de applicatie voldoet aan de eisen die de Europese privacywet, de AVG, stelt. En niet alleen de gebruikersinterface moet waterdicht zijn, ook de externe systemen van opdrachtgevers, die via een API gegevens uitwisselen met UurOnline, moeten dat op een veilige manier kunnen doen. Hoewel Please over een professioneel team van developers beschikt, dat veiligheid hoog in het vaandel heeft, besloot het bedrijf om de ultieme beveiligingstest uit te besteden aan een partner.

“Wij gaan heel secuur om met de gegevens die klanten ons toevertrouwen. Niet alleen wijzelf willen zeker weten dat onze beveiliging strenge tests doorstaat, ook onze opdrachtgevers willen bewijs zien dat onze systemen zo veilig zijn als wij beweren.”

Klanten vragen om een recent pentestrapport

“Ze vragen bijvoorbeeld naar het laatste pentest rapport en dat mag vaak niet ouder zijn dan een jaar, of liever: zes maanden. Logisch, want de software wordt voortdurend bijgewerkt, waardoor er altijd nieuwe beveiligingsrisico’s kunnen ontstaan. En dan gaat het niet alleen om de software die we zelf ontwikkelen, maar ook over software van derden. Wij gebruiken bijvoorbeeld Microsoft Web Services en de updates die Microsoft uitrolt, kunnen ook beveiligingsrisico’s op ons platform introduceren. Dat wil je regelmatig laten testen.”

Uitslag pentest: zeer positief!

Van de pentest zelf heeft Please weinig gemerkt: “We hebben ons datacenter van tevoren ingelicht dat er getest zou worden, want je wil natuurlijk niet dat ze poorten blokkeren en het reguliere verkeer er last van heeft. De applicatie werd heel uitgebreid onderzocht door IP4Sure. Er is bijvoorbeeld gekeken of er zonder login ingebroken kon worden en of je met een bepaalde identiteit ook bij gegevens kon komen waarvoor je geen rechten hebt. We zijn gelukkig met vlag en wimpel geslaagd: van de kritieke doelen is er geen behaald. Goed nieuws dus voor onze developers. Er waren wel wat kleine issues die een minimaal risico vormden, want die vind je nou eenmaal altijd, maar in het rapport gaf IP4Sure heel duidelijk aan hoe we die snel konden verhelpen, inclusief links naar relevante artikelen over het onderwerp. Je leert er dus ook nog wat van!”

Waarom een pentest van IP4Sure?

Er waren al gesprekken gevoerd met verschillende grote security-specialisten, maar dat leidde niet tot de gewenste uitkomst. Van de Ven: “Al voor we een afspraak hadden gemaakt, kregen we vragen als: wat is jullie budget? Ik zei dan: ik heb geen specifiek budget, ik wil gewoon de zekerheid dat de applicatie op alle fronten getest wordt. Als je vanuit een beschikbaar budget denkt, geef je de klant niet het gevoel mee te denken over wat er echt nodig is. Ik voelde de klik niet. Toen kreeg ik een mailing van IP4Sure in mijn inbox, over een kennissessie die zij gaven. Ik ben naar de kennissessie gegaan en legde hen mijn vraag voor. In dat eerste gesprek kreeg ik direct het vertrouwen waar ik naar op zoek was. IP4Sure voelde als een specialist die niet in budgetten dacht, maar in security-vraagstukken. En dat gevoel bleek juist.”

IP4Sure: cybersecurity specialisten

Van de Ven: “Er is een mooie parallel te trekken met onze eigen dienstverlening. Door een partner als IP4Sure zijn wij in staat om ons te focussen op waar we goed in zijn. Net als bedrijven hun personeelsadministratie aan ons uitbesteden, besteden wij het testen van onze webapplicatie uit aan een specialist die we vertrouwen. En net als wij geen leverancier-afnemer-relatie met onze klanten willen, zoeken we zelf ook externe specialisten die echt een partner voor ons kunnen zijn.

Ik ben zelf van huis uit automatiseerder, dus goed in staat om te bepalen of een partner wel genoeg van de materie weet. Ik kan met zekerheid zeggen dat de mensen van IP4Sure echt specialisten zijn op hun gebied. Ze kijken bovendien goed met wie ze te maken hebben en welke aanpak daarbij past. Ze gingen bijvoorbeeld vooraf met onze developers in gesprek om te bepalen wat er wel en niet getest moest worden, zodat er meer tijd was om de relevante zaken te testen. Dat is heel wat anders dan simpelweg vragen wat ons budget is.”